Letzte Woche ging es um Passwort-Manager für Anwender, heute um Passwort-Manager für Computer. Zumindest indirekt. 😉
In deinem Netzwerk hast du bestimmt hunderte Windows Clients und Windows Server, die über sogenannte Golden-Master-Images aufgesetzt werden. Das spart viel Arbeit und Zeit und schafft eine Basis, auf die du dich verlassen kannst.
Das Problem ist nur, dass du damit auch überall dasselbe Passwort für deinen lokalen Administrator gesetzt hast. Selbst wenn die Clients und Server unter der zentralen Verwaltung von Active Directory oder Entra ID/Intune stehen, ist dieser Account immer noch aktiv. Du kannst ihn zwar deaktivieren, aber was, wenn die Verbindung zum AD fehlerhaft ist und du sie reparieren musst? Du könntest dich ohne lokalen Admin nicht mehr am System anmelden und müsstest es neu installieren.
Wenn Server und Clients die gleichen Passwörter haben, reicht schon ein einziger kompromittierter Host und die Angreifer haben auf alle anderen automatisch Admin-Zugriff.
Administratoren können die Kennwörter, Passwort-Hashes und Kerberos-Tickets von allen aktuell angemeldeten Accounts auslesen. Wenn sich also der Helpdesk am Client, oder ein Server-Admin anmeldet, können auch deren Konten gestohlen werden. Helpdesk und globale Server-Admins haben meistens auf alle Clients bzw. Servern Berechtigungen.
LAPS ist die Local Administrator Password Solution
Ja, das ist wirklich eine Solution, und zwar schon seit über zehn Jahren. LAPS kostet nichts, war früher ein extra Tool von Microsoft und ist mittlerweile ab Windows 10 / Windows Server 2019 im Betriebssystem integriert – unter dem Namen "Windows LAPS". Die genaue Liste, ab welcher Version es dabei ist, findest du hier: https://learn.microsoft.com/de-at/windows-server/identity/laps/laps-overview#windows-laps-supported-platforms
LAPS setzt dir automatisch auf jedem Computer ein zufällig generiertes Kennwort für deinen lokalen Administrator-Account und speichert es im Active Directory, oder Entra ID ab. 🤯 Du kannst die Länge, Komplexität und Gültigkeitsdauer des Passworts frei konfigurieren. So kannst du sicherstellen, dass sich alle paar Tage oder Wochen, das Kennwort regelmäßig ändert.
Du kannst damit den built-in Administrator verwalten, aber auch einen beliebigen anderen Account. Den built-in Admin solltest du dann aber deaktivieren.
Ab Windows 11 24H2 / Windows Server 2025 kannst du mit der "Automatischen Kontenverwaltung" sogar den Benutzernamen zufällig generieren lassen.
Neue Wege für den Support
Statt sich wie bisher mit dem Super-Admin auf jedem Client anzumelden, liest der Helpdesk-Agent jetzt das LAPS-Kennwort für den einen Rechner aus und meldet sich mit dem lokalen Admin an. Wenn der Client kompromittiert ist, bekommen Angreifer dadurch keine neuen Zugangsdaten, um andere Hosts zu übernehmen.
Das gleiche Prinzip gilt auch für Server. Die Server-Admins aus der IT haben meistens Admin-Rechte auf allen Servern. Stell dir mal vor, ein Server würde für die Kompromittierung aller Server verantwortlich sein – vielleicht sogar ein Test-Server. 😭
Die Zugriffsrechte für die LAPS-Kennwörter lassen sich fein-granular steuern. Du kannst zum Beispiel dem Helpdesk in Italien, auch nur Zugriff auf die Kennwörter der italienischen Clients gewähren. Der Server-Admin aus Deutschland darf dann nur die deutschen Server administrieren und der globale Admin aus Österreich, darf, eh klar, auf alle Kennwörter zugreifen. 😂
Das Coolste daran ist, dass jeder Zugriff auf ein LAPS-Kennwort zentral protokolliert werden kann. So weißt du immer, welcher Admin wann auf welches System zugegriffen hat.
Du könntest sogar noch einen Schritt weitergehen und ein Script einrichten, das das LAPS-Kennwort nach ein paar Stunden automatisch ändert. So stellst du sicher, dass deine Admins keinen längerfristigen Zugriff auf die Zielsysteme haben.
Es ist echt schade, dass LAPS von den wenigsten Firmen verwendet wird. Die Kosten sind bei null und der Security-Benefit liegt bei zwo – also riesengroß. 😉
Gegen welche Art von Angriffen hilft LAPS?
Vor allem gegen Ransomware-Angriffe ist es super. Wenn du auf allen Clients dasselbe Admin-Kennwort hast, kann sich Malware automatisch über PowerShell, SMB oder WMI auf allen Rechnern rasend schnell und großflächig verteilen. Innerhalb von Minuten wären alle Rechner komplett kompromittiert. Malware wie Petya/NotPetya, WannaCry und Co. haben das ausgenutzt.
LAPS hilft auch, wenn privilegierte Accounts entwendet werden. Die Angreifer provozieren nervige Fehler auf den Clients, sodass der Benutzer Hilfe beim Service Desk sucht. Dann verbindet sich ein Service-Desk-Mitarbeiter mit seinem Admin-Account auf den Client, der dann gestohlen wird. Der Account wird dann auch auf anderen Clients verwendet.
Das Gleiche gilt natürlich auch für Server! Wenn du hier nur lokale Admins mit individuellen Passwörtern verwendest, hast du einen Angriffsvektor weniger.
Wie richte ich LAPS ein?
Ich möchte hier keine technische Anleitung schreiben, denn das würde für alle Möglichkeiten den Rahmen sprengen. Du findest bei Microsoft immer die aktuellen Infos darüber. Hier der Link: https://learn.microsoft.com/de-at/windows-server/identity/laps/laps-scenarios-deployment-migration
Im Großen und Ganzen gibt es zwei verschiedene Möglichkeiten:
- Entra ID (Cloud): Die LAPS-Kennwörter werden beim Geräte-Objekt in der Cloud hinterlegt. Der jeweilige Server oder Client muss Entra ID joined sein, entweder hybrid oder Cloud-only. Intune ist keine zwingende Voraussetzung, aber es erleichtert das Deployment, weil du Windows LAPS auch noch auf den Zielgeräten konfigurieren musst. Das geht über Device-Policies oder (lokale) Gruppenrichtlinien. Und der Zugriff auf die Kennwörter kann per RBAC (Role-Based Access Control) gesteuert werden.
- Und das DSRM-Passwort (Directory Services Recovery Mode) für Domain Controller kannst du auch hinterlegen und automatisch rotieren.
Das technische Deployment kannst du auch in der Mittagspause erledigen. Ernst wird es erst, wenn du LAPS in deine vorhandenen ITSM-Prozesse integrierst und auch die alten Denkweisen in deinen Teams ablöst.
Wie verwende ich LAPS richtig?
Bevor du LAPS als deine neue Lösung präsentierst, musst du den Helpdesk und die Server-Admins schulen, wie sie LAPS richtig verwenden sollen.
Die Kennwörter kannst du einfach per PowerShell, oder über die Active Directory MMC (GUI) abrufen. Bei der Variante mit Entra ID, natürlich auch über den Browser. Im Grunde musst du dafür nur den Computernamen kennen.
Die Anmeldung über den LAPS-Account kann per Remote Desktop auf den Servern erfolgen. Auf Clients verbindet man sich über eine Remote-Support-Lösung wie TeamViewer und führt dann die administrativen Tätigkeiten über "Ausführen als" / "Run As" aus.
LAPS hat dadurch einen entscheidenden Nachteil. Du kannst nicht auf Domain-Ressourcen zugreifen, da es nur ein lokaler Account ist. Wenn du aber zum Beispiel einen Hotfix von einem File-Share brauchst, kannst du ihn vorher über einen normalen Domain-User runterkopieren und danach über den LAPS-Admin auf dem Client installieren.
Wenn das geklärt ist, kannst du damit anfangen, die alten Admin-Accounts zu deaktivieren. Setze am besten eine Übergangszeit von ein paar Wochen an und teste alle Use-Cases. So vermeidest du, dass dir was durch die Finger rutscht.
Fazit
LAPS ist keine Option, sondern ein must-have!
Die technische Einrichtung ist kostenlos, schnell, schmerzlos und du hast dadurch nur Vorteile. Für die Umstellung der Prozesse brauchst du allerdings ein wenig Geschick und Planung, aber das ist auch kein Beinbruch.