Windows LAPS bringt mit April 2023 Updates automatisch mehr Sicherheit
Die Sicherheit sensibler Daten ist in der heutigen digitalen Landschaft von größter Bedeutung. Unternehmen stehen vor der Herausforderung, ihre IT-Infrastrukturen vor Bedrohungen zu schützen und potenzielle Angriffspunkte zu minimieren. Eine effektive Verwaltung der Passwörter für lokale Admin-Konten spielt dabei eine zentrale Rolle. In diesem Blog-Beitrag stellen wir Ihnen Windows LAPS (Local Admin Password Solution) vor – eine Lösung, mit der Sie lokale Admin-Konten absichern und die Sicherheit Ihres Unternehmens verbessern können.
Verwendung von lokalen Admin Passwörtern:
Die lokalen Admin-Passwörter der Endgeräte in Unternehmen werden für verschiedene Zwecke verwendet, um die Effizienz, Sicherheit und Funktionalität der IT-Infrastruktur zu gewährleisten. Hier sind einige der Hauptanwendungsfälle, in denen diese Passwörter zum Einsatz kommen:
- Systemwartung und -reparatur: Bei der Fehlerbehebung oder Reparatur von Endgeräten kann der Zugriff auf die lokalen Admin-Rechte erforderlich sein. Dies ermöglicht es den Technikern, auf geschützte Systemdateien oder Einstellungen zuzugreifen und gegebenenfalls Probleme zu beheben.
- Software- und Betriebssystemupgrades: Bei der Aktualisierung von Software oder des Betriebssystems auf den Endgeräten können die lokalen Admin-Passwörter benötigt werden, um erforderliche Berechtigungen für die Installation oder Konfiguration zu erhalten.
- Datensicherung und Wiederherstellung: Für die Durchführung von Datensicherungs- und Wiederherstellungsvorgängen kann der Zugriff auf die lokalen Admin-Rechte erforderlich sein, um auf bestimmte Systemkomponenten oder Verzeichnisse zuzugreifen und die notwendigen Aktionen durchzuführen.
Die Evolution der LAPS-Technologie
Microsoft hat mit den Windows Updates im April 2023 Windows LAPS automatisch auf allen Geräten installiert, die sich in einer lokalen oder Azure-basierten Active Directory Umgebung befinden. Dieses neue Feature ist der Nachfolger der älteren legacy LAPS-Erweiterung, die manuell auf Clients und Servern installiert werden konnte. Mit Windows LAPS wird nicht nur eine einheitliche Einrichtung gewährleistet, sondern auch das Funktionsset erweitert, um mehr Sicherheit und nützliche Verwaltungs- und Überwachungsoptionen anzubieten.
Leistungsstarke Funktionen von Windows LAPS
Windows LAPS bietet eine Vielzahl von Funktionen, die es Ihnen ermöglichen, lokale Admin-Passwörter effektiv abzusichern und die Verwaltung zu optimieren.
- Regelmäßige Passwortrotation und zentrale Speicherung: Windows LAPS ermöglicht es Ihnen, die Passwörter der Endgeräte Ihrer Mitarbeitenden regelmäßig zu rotieren und zentral im Active Directory zu speichern. Dadurch entfällt die Sorge um veraltete oder bekannte Passwörter, die außerhalb Ihrer Netzwerkinfrastruktur die Unternehmenssicherheit gefährden könnten.
- Wahl der Speicherung im Active Directory oder im Azure Active Directory: Mit Windows LAPS haben Sie die Flexibilität zu wählen, ob und welche Geräte ihre Passwörter im lokalen Active Directory oder im Azure Active Directory speichern sollen. Dies ist besonders vorteilhaft, wenn Sie eine cloudbasierte Umgebung haben oder anstreben und die Endgeräte mit Microsoft Intune verwalten möchten.
- Übersichtliche Verwaltung der Passwörter:
- Im lokalen Active Directory
- Im Azure Active Directory
- Verschlüsselung der Passwörter: Eine wichtige Verbesserung gegenüber dem legacy LAPS besteht darin, dass die Passwörter jetzt verschlüsselt statt im Klartext im Active Directory gespeichert werden können. Dies erhöht die Sicherheit erheblich und minimiert das Risiko eines Missbrauchs sensibler Zugangsdaten.
- Verlauf der letzten Passwörter: Mit Windows LAPS haben Sie die Möglichkeit, den Verlauf der letzten Passwörter zu speichern und auszulesen. Dadurch können Sie den Zugriff auf frühere Passwörter verfolgen und potenzielle Sicherheitsrisiken erkennen. Die Einstellungsattribute wie Erstelldatum und Ablaufdatum bieten zusätzliche Transparenz und Kontrolle über die Passworthistorie. Der Verlauf lässt sich allerdings nicht im Einstellungsfenster einsehen und muss per PowerShell Befehl abgerufen werden:
- Im lokalen Active Directory
Get-LapsADPassword -Identity %Client% -IncludeHistory [-AsPlainText] - Im Azure Active Directory
Get-LapsAADPassword -DeviceIds %Clients[]% -IncludeHistory[-IncludePasswords] [-AsPlainText]
- Im lokalen Active Directory
- Automatischer Password-Reset: Windows LAPS bietet die Möglichkeit, nach Verwendung eines Passworts automatisch einen Reset durchzuführen. Sie können ein Intervall festlegen, nach dem das Passwort automatisch rotiert wird. Diese Funktion minimiert das Risiko von unbefugter Nutzung durch autorisierte Admins und gewährleistet, dass nur temporärer Zugriff auf lokale Admin-Konten gewährt wird.
Hinweise zur Einrichtung von Windows LAPS
Wenn Sie sich für die Implementierung von Windows LAPS (Local Admin Password Solution) entschieden haben, können Sie folgende Hinweise beachten, um sicherzustellen, dass Sie das volle Potenzial der Funktion nutzen können.
Migration von legacy LAPS zu Windows LAPS
Wenn Sie bereits die ältere legacy LAPS-Erweiterung verwenden und auf das neue Windows LAPS-Feature umsteigen möchten, stehen Ihnen verschiedene Migrationsmöglichkeiten zur Verfügung. Die Migration ermöglicht es Ihnen, von den erweiterten Funktionen und der verbesserten Sicherheit von Windows LAPS zu profitieren, ohne dabei Ihre vorhandenen Konfigurationen und Einstellungen zu verlieren. Ergänzend zu den Hinweisen zur Erstkonfiguration sollte bei einer schon bestehenden legacy LAPS-Umgebung auf folgende Punkte geachtet werden:
- Datensicherung: Sichern Sie alle relevanten Daten und Konfigurationsdateien Ihrer legacy LAPS-Erweiterung, um sicherzustellen, dass Sie im Falle eines Problems auf eine Sicherungskopie zurückgreifen können.
- Bewertung der Konfiguration: Analysieren Sie Ihre aktuelle legacy LAPS-Konfiguration, einschließlich der verwendeten Richtlinien, Passwortlängen und -richtlinien sowie der Speicherorte der Passwortinformationen. Dies wird Ihnen helfen, die entsprechenden Einstellungen in Windows LAPS zu übertragen.
- Entfernen der legacy LAPS-Konfigurationen: Um eine reibungslose Funktionalität von Windows LAPS sicherzustellen, verteilen Sie eine Richtlinie zum Deaktivieren des legacy LAPS und führen eine Deinstallation der Erweiterung auf allen Clients durch. Dafür kann neben der GPO/Intune-Softwareverteilung ein Cleanup Skript verteilt werden, welches die Deinstallation sicherstellt und den Status der Geräte zentral speichert, um im Problemfall eine weitere Kontrollmöglichkeit zu haben.
Probleme im Parallelbetrieb
Sollten Sie weiterhin die legacy LAPS-Erweiterung verwenden oder aktuell im Einsatz haben, installieren Sie diese nicht mehr auf neuen Geräten, da es durch das automatisch installierte Windows LAPS sonst zu Problemen kommt. Sie brauchen auf neuen Geräten keine weitere Einrichtung am Client vorzunehmen, da das Windows LAPS automatisch die serverseitig konfigurierten legacy LAPS-Einstellungen übernimmt, sofern nichts anderes konfiguriert ist.
Wenn Sie entgegen der Empfehlung weiterhin die legacy LAPS-Erweiterung installieren wollen, müssen Sie Windows LAPS über einen Registry-Eintrag deaktivieren, den Sie manuell setzen oder per GPO oder Intune verteilen können.
Fazit
Die Einrichtung von Windows LAPS bietet Ihnen die Möglichkeit, Ihre Sicherheitsmaßnahmen zu verbessern und von erweiterten Funktionen zu profitieren. Wenn Sie bei der Ersteinrichtung oder Migration Unterstützung benötigen oder weitere Fragen haben, zögern Sie nicht, uns zu kontaktieren. Wir stehen Ihnen gerne zur Seite, um einen reibungslosen Übergang zu gewährleisten und Ihre lokale Admin-Konten effektiv abzusichern.
Microsoft Security Workshop
Im dreitägigen Microsoft Security Workshop entwickeln wir eine auf Ihr Unternehmen zugeschnittene Sicherheitsstrategie.