In einem früheren Blogartikel ( Automatisiertes Wechseln lokaler Kennwörter ) hatte ich bereits die "LocalAdministratorPasswordSolution" einmal vorgestellt. Damals musste man manuell noch die Clients verteilen. Seit dem Update vom 11.04.2023 wurde LAPS aber direkt in die Betriebssysteme von Server2019 und Server2022 sowie Windows 10 und Windows 11 integriert inklusive der LTSC Editionen.
Für die die LAPS noch nicht kennen: Windows LAPS ist eine Lösung welche das lokale Administrator Konto in festgelegten Zeitabständen mit einem neuem Passwort versieht. Wenn man es auf Domänencontrollern einsetzt ist auch ein Passwort Rollover der DSRM (Directory Services Restore Mode) möglich. Das Passwort wird dann wie früher in das Active Directory in das Computerkonto geschrieben oder in das Entra Id.
Die vollwertige Unterstützung für das Entra Id haben wir seit dem 23.10.2023, stand also noch nicht von vornherein zur Verfügung. Wichtig zu wissen ist, wenn man bereits das "alte" LAPS im Einsatz hat das man dieses auf das "neue" LAPS migrieren muss um zukünftige Probleme zu vermeiden. Das Legacy Microsoft LAPS ist auch bereits als veraltet markiert laut der Lifecycle Richtlinie von Microsoft. Für die Migration auf die neuere Version bietet Microsoft einen Legacy-Microsoft LAPS-Emulationsmodus an der die Migration erleichtert.
LAPS ist auf allen unterstützen Windows Plattformen kostenlos ohne weiter Lizenzen nutzbar. Doch was sind die Neuerungen:
- Als Speicherziel steht nun auch das Entra Id zur Auswahl
- Das Passwort wird verschlüsselt gespeichert
- Passwort History wenn das Passwort verschlüsselt gespeichert wird
- Aktionen wenn das Passwort verwendet wird wie: Reset Password, Reset Password and logoff, Reset Passwort and reboot nach einem eingestellten Zeitraum
- Auch die Zeichensätze sowie die Länge bzw Wortlisten lässt sich nun konfigurieren dort steht zur Auswahl:
- Großbuchstaben
- Groß- und Kleinbuchstaben
- Groß- und Kleinbuchstaben und Zahlen
- Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen
- Groß- und Kleinbuchstaben und Zahlen (verbesserte Lesbarkeit)
- „ABCDEFGHJKLMNPRSTUVWXYZ“
- „abcdefghijkmnpqrstuvwxyz“
- „23456789“
- "!#%+@:=?*"
Der allgemeine Ablauf von LAPS lässt sich ganz gut mit folgender Grafik aus der Dokumentation von Microsoft darstellen.
Source: https://learn.microsoft.com/de-de/windows-server/identity/laps/media/laps-concepts-overview/laps-concepts-overview-architecture-diagram.png
Die Nutzung von LAPS bietet sehr viele Vorteile. Rein der automatische Rollover der Passwörter und das anschließende speichern im AD oder EntraId erhöht die Sicherheit massiv dadurch das wir vor Pass-the-Hash und Lateral Traversal Angriffen geschützt werden. Die Möglichkeit den Zugriff auf diese Passwörter durch ACL zu schützen bietet ebenfalls den Vorteil das man z.B. dem Helpdesk nur Zugriff auf die Admin Kennwörter normaler Clients, gibt aber nicht auf Workstations von Administratoren. Was ebenfalls entfällt ist das der der Helpdesk lokale Administrationsrechte auf allen Geräten haben.
LAPS lernst du unteranderem in folgender unserer Kurse kennen:
Windows 11 Administration (3 Tage)
Gruppenrichtlinen (2 Tage)