• Windows LAPS bringt mit April 2023 Update automatisch mehr Sicherheit

Windows LAPS bringt mit April 2023 Updates automatisch mehr Sicherheit

Maarten Liphardt, Junior Consultant Microsoft Security
Autor: Maarten LiphardtDualer Student Modern WorkplaceAuf LinkedIn vernetzen

Die Sicherheit sensibler Daten ist in der heutigen digitalen Landschaft von größter Bedeutung. Unternehmen stehen vor der Herausforderung, ihre IT-Infrastrukturen vor Bedrohungen zu schützen und potenzielle Angriffspunkte zu minimieren. Eine effektive Verwaltung der Passwörter für lokale Admin-Konten spielt dabei eine zentrale Rolle. In diesem Blog-Beitrag stellen wir Ihnen Windows LAPS (Local Admin Password Solution) vor – eine Lösung, mit der Sie lokale Admin-Konten absichern und die Sicherheit Ihres Unternehmens verbessern können.

Verwendung von lokalen Admin Passwörtern:

Die lokalen Admin-Passwörter der Endgeräte in Unternehmen werden für verschiedene Zwecke verwendet, um die Effizienz, Sicherheit und Funktionalität der IT-Infrastruktur zu gewährleisten. Hier sind einige der Hauptanwendungsfälle, in denen diese Passwörter zum Einsatz kommen:

  • Systemwartung und -reparatur: Bei der Fehlerbehebung oder Reparatur von Endgeräten kann der Zugriff auf die lokalen Admin-Rechte erforderlich sein. Dies ermöglicht es den Technikern, auf geschützte Systemdateien oder Einstellungen zuzugreifen und gegebenenfalls Probleme zu beheben.
  • Software- und Betriebssystemupgrades: Bei der Aktualisierung von Software oder des Betriebssystems auf den Endgeräten können die lokalen Admin-Passwörter benötigt werden, um erforderliche Berechtigungen für die Installation oder Konfiguration zu erhalten.
  • Datensicherung und Wiederherstellung: Für die Durchführung von Datensicherungs- und Wiederherstellungsvorgängen kann der Zugriff auf die lokalen Admin-Rechte erforderlich sein, um auf bestimmte Systemkomponenten oder Verzeichnisse zuzugreifen und die notwendigen Aktionen durchzuführen.

Die Evolution der LAPS-Technologie

Microsoft hat mit den Windows Updates im April 2023 Windows LAPS automatisch auf allen Geräten installiert, die sich in einer lokalen oder Azure-basierten Active Directory Umgebung befinden. Dieses neue Feature ist der Nachfolger der älteren legacy LAPS-Erweiterung, die manuell auf Clients und Servern installiert werden konnte. Mit Windows LAPS wird nicht nur eine einheitliche Einrichtung gewährleistet, sondern auch das Funktionsset erweitert, um mehr Sicherheit und nützliche Verwaltungs- und Überwachungsoptionen anzubieten.

Leistungsstarke Funktionen von Windows LAPS

Windows LAPS bietet eine Vielzahl von Funktionen, die es Ihnen ermöglichen, lokale Admin-Passwörter effektiv abzusichern und die Verwaltung zu optimieren.

  1. Regelmäßige Passwortrotation und zentrale Speicherung: Windows LAPS ermöglicht es Ihnen, die Passwörter der Endgeräte Ihrer Mitarbeitenden regelmäßig zu rotieren und zentral im Active Directory zu speichern. Dadurch entfällt die Sorge um veraltete oder bekannte Passwörter, die außerhalb Ihrer Netzwerkinfrastruktur die Unternehmenssicherheit gefährden könnten.
  2. Wahl der Speicherung im Active Directory oder im Azure Active Directory: Mit Windows LAPS haben Sie die Flexibilität zu wählen, ob und welche Geräte ihre Passwörter im lokalen Active Directory oder im Azure Active Directory speichern sollen. Dies ist besonders vorteilhaft, wenn Sie eine cloudbasierte Umgebung haben oder anstreben und die Endgeräte mit Microsoft Intune verwalten möchten.
  3. Übersichtliche Verwaltung der Passwörter:
    1. Im lokalen Active Directory
    2. Im Azure Active Directory
  4. Verschlüsselung der Passwörter: Eine wichtige Verbesserung gegenüber dem legacy LAPS besteht darin, dass die Passwörter jetzt verschlüsselt statt im Klartext im Active Directory gespeichert werden können. Dies erhöht die Sicherheit erheblich und minimiert das Risiko eines Missbrauchs sensibler Zugangsdaten.
  5. Verlauf der letzten Passwörter: Mit Windows LAPS haben Sie die Möglichkeit, den Verlauf der letzten Passwörter zu speichern und auszulesen. Dadurch können Sie den Zugriff auf frühere Passwörter verfolgen und potenzielle Sicherheitsrisiken erkennen. Die Einstellungsattribute wie Erstelldatum und Ablaufdatum bieten zusätzliche Transparenz und Kontrolle über die Passworthistorie. Der Verlauf lässt sich allerdings nicht im Einstellungsfenster einsehen und muss per PowerShell Befehl abgerufen werden:
    1. Im lokalen Active Directory
      Get-LapsADPassword -Identity %Client% -IncludeHistory [-AsPlainText]
    2. Im Azure Active Directory
      Get-LapsAADPassword -DeviceIds %Clients[]% -IncludeHistory[-IncludePasswords] [-AsPlainText]
  6. Automatischer Password-Reset: Windows LAPS bietet die Möglichkeit, nach Verwendung eines Passworts automatisch einen Reset durchzuführen. Sie können ein Intervall festlegen, nach dem das Passwort automatisch rotiert wird. Diese Funktion minimiert das Risiko von unbefugter Nutzung durch autorisierte Admins und gewährleistet, dass nur temporärer Zugriff auf lokale Admin-Konten gewährt wird.
ZurückWeiter
123

Hinweise zur Einrichtung von Windows LAPS

Wenn Sie sich für die Implementierung von Windows LAPS (Local Admin Password Solution) entschieden haben, können Sie folgende Hinweise beachten, um sicherzustellen, dass Sie das volle Potenzial der Funktion nutzen können.

  • Planung und Vorbereitung

    Bevor Sie mit der Einrichtung von Windows LAPS beginnen, ist eine sorgfältige Planung und Vorbereitung unerlässlich. Identifizieren Sie die Zielgeräte, auf denen die lokalen Administratorpasswörter verwaltet werden sollen, und überprüfen Sie die Kompatibilität Ihrer vorhandenen Active Directory-Umgebung.

  • Aktualisierung der Systeme:

    Stellen Sie sicher, dass alle betroffenen Systeme die neuesten Windows-Updates erhalten haben. Windows LAPS wurde in den Windows Updates im April 2023 eingeführt, daher sollten Sie sicherstellen, dass Ihre Systeme auf dem aktuellen Stand sind, um von den neuen Funktionen und Sicherheitsverbesserungen zu profitieren.

  • Definition der Sicherheitsrichtlinien

    Legen Sie die gewünschten Sicherheitsrichtlinien für die Verwaltung der lokalen Admin-Passwörter fest. Definieren Sie beispielsweise die Länge und Komplexität der Passwörter sowie die Zeiträume für die Passwortrotation.

  • Speicheroptionen festlegen

    Entscheiden Sie, ob Sie die Passwörter im lokalen Active Directory oder im Azure Active Directory speichern möchten. Diese Wahl hängt von Ihrer vorhandenen Infrastruktur und Ihren Anforderungen ab. Wenn Sie eine cloudbasierte Umgebung haben oder anstreben, kann die Speicherung im Azure Active Directory von Vorteil sein.

  • Verteilungsvariante festlegen

    Entscheiden Sie, ob Sie die Richtlinie per Gruppenrichtlinie oder Intune verteilen wollen, dies kann insbesondere von der gewählten Speicheroption und den zur Verfügung stehenden Intune Lizenzen abhängen.

  • Verschlüsselung aktivieren

    Aktivieren Sie die Verschlüsselung der Passwörter in Windows LAPS, um eine zusätzliche Sicherheitsebene zu gewährleisten. Dadurch werden die Passwörter nicht mehr im Klartext gespeichert, sondern verschlüsselt, was einen erheblichen Sicherheitsgewinn darstellt.

  • Testen und Überprüfen

    Führen Sie umfassende Tests durch, um sicherzustellen, dass die Passwortrotation, die Speicherung und die Verschlüsselung wie erwartet funktionieren. Überprüfen Sie auch die Zugriffsrechte und stellen Sie sicher, dass nur autorisierte Personen auf die Passwortinformationen zugreifen können.

  • Schulung und Dokumentation

    Bieten Sie Schulungen für Ihre IT-Mitarbeitenden an, um sie mit der Verwaltung und dem Einsatz von Windows LAPS vertraut zu machen. Erstellen Sie detaillierte Dokumentationen, die als Referenz dienen und bei Fragen oder Problemen unterstützen.

Migration von legacy LAPS zu Windows LAPS

Wenn Sie bereits die ältere legacy LAPS-Erweiterung verwenden und auf das neue Windows LAPS-Feature umsteigen möchten, stehen Ihnen verschiedene Migrationsmöglichkeiten zur Verfügung. Die Migration ermöglicht es Ihnen, von den erweiterten Funktionen und der verbesserten Sicherheit von Windows LAPS zu profitieren, ohne dabei Ihre vorhandenen Konfigurationen und Einstellungen zu verlieren. Ergänzend zu den Hinweisen zur Erstkonfiguration sollte bei einer schon bestehenden legacy LAPS-Umgebung auf folgende Punkte geachtet werden:

  • Datensicherung: Sichern Sie alle relevanten Daten und Konfigurationsdateien Ihrer legacy LAPS-Erweiterung, um sicherzustellen, dass Sie im Falle eines Problems auf eine Sicherungskopie zurückgreifen können.
  • Bewertung der Konfiguration: Analysieren Sie Ihre aktuelle legacy LAPS-Konfiguration, einschließlich der verwendeten Richtlinien, Passwortlängen und -richtlinien sowie der Speicherorte der Passwortinformationen. Dies wird Ihnen helfen, die entsprechenden Einstellungen in Windows LAPS zu übertragen.
  • Entfernen der legacy LAPS-Konfigurationen: Um eine reibungslose Funktionalität von Windows LAPS sicherzustellen, verteilen Sie eine Richtlinie zum Deaktivieren des legacy LAPS und führen eine Deinstallation der Erweiterung auf allen Clients durch. Dafür kann neben der GPO/Intune-Softwareverteilung ein Cleanup Skript verteilt werden, welches die Deinstallation sicherstellt und den Status der Geräte zentral speichert, um im Problemfall eine weitere Kontrollmöglichkeit zu haben.

Probleme im Parallelbetrieb

Sollten Sie weiterhin die legacy LAPS-Erweiterung verwenden oder aktuell im Einsatz haben, installieren Sie diese nicht mehr auf neuen Geräten, da es durch das automatisch installierte Windows LAPS sonst zu Problemen kommt. Sie brauchen auf neuen Geräten keine weitere Einrichtung am Client vorzunehmen, da das Windows LAPS automatisch die serverseitig konfigurierten legacy LAPS-Einstellungen übernimmt, sofern nichts anderes konfiguriert ist.

Wenn Sie entgegen der Empfehlung weiterhin die legacy LAPS-Erweiterung installieren wollen, müssen Sie Windows LAPS über einen Registry-Eintrag deaktivieren, den Sie manuell setzen oder per GPO oder Intune verteilen können.

Fazit

Die Einrichtung von Windows LAPS bietet Ihnen die Möglichkeit, Ihre Sicherheitsmaßnahmen zu verbessern und von erweiterten Funktionen zu profitieren. Wenn Sie bei der Ersteinrichtung oder Migration Unterstützung benötigen oder weitere Fragen haben, zögern Sie nicht, uns zu kontaktieren. Wir stehen Ihnen gerne zur Seite, um einen reibungslosen Übergang zu gewährleisten und Ihre lokale Admin-Konten effektiv abzusichern.

Microsoft Security Workshop

Im dreitägigen Microsoft Security Workshop entwickeln wir eine auf Ihr Unternehmen zugeschnittene Sicherheitsstrategie.

Jetzt informieren!

Weitere News zu diesem Thema