[English]Microsoft hat zum 22. Juni 2022 eine neue Windows 11 Insider Preview Build 25145 im Dev-Channel freigegeben – die Ankündigung findet sich im Windows-Blog. Dieser Build enthält einige neue Funktionen, darunter ein Update für die Unterstützung des Narrator-Braille-Treibers, die OneDrive-Speicherwarnung und die Abonnementverwaltung in den Einstellungen sowie die Lösung für lokale Administratorkennwörter (LAPS). Zudem wurde auch das Problem behoben, dass Surface Pro X-Geräte einen schwarzen Bildschirm anzeigen, wenn diese dem Ruhezustand starten.
Anzeige
OneDrive-Speicherwarnung
Eine Neuerung in dieser Insider Build ist die OneDrive-Speicherwarnung. Mit dieser Build hat Microsoft damit begonnen, OneDrive Standalone 100GB-Abonnements auf der Kontenseite in den Einstellungen zu aktivieren, ähnlich wie bei den Microsoft 365-Abonnements. Dadurch können Nutzer Ihre wiederkehrende Abrechnung, die Zahlungsmethode und die OneDrive-Speicherverwendung in Windows 11 anzeigen. Außerdem werden Nutzer auf der gleichen Seite informiert, wenn Sie sich Ihrem OneDrive-Speicherlimit nähern oder es überschreiten.
Local Administrator Password Solution (LAPS)
Für Administratoren in Unternehmen, die Windows 11-Maschinen in Domänen integrieren, dürfte aber eine andere Neuerung von Interesse sein. Local Administrator Password Solution (LAPS) ist jetzt ein nativer Bestandteil von Windows und enthält viele neue Funktionen.
Anzeige
Local Administrator Password Solution (LAPS) war als Download verfügbar und bietet die Verwaltung der Passwörter lokaler Konten von Computern, die der Domäne angeschlossen sind. Die Passwörter werden in Active Directory (AD) gespeichert und durch ACL geschützt, so dass nur berechtigte Benutzer sie lesen oder ihre Rücksetzung anfordern können.
Eine Dokumentation der Funktionen in Windows 11 ist noch nicht verfügbar, aber Microsoft gibt eine kurze Anleitung, um den Einstieg in das Basisszenario eines Active Directory-Domänen-verbundenen Clients zu erleichtern. In der Beschreibung heißt es:
- Erweitern Sie Ihr Active Directory-Schema, indem Sie das Cmdlet "Update-LapsADSchema" im neuen LAPS PowerShell-Modul ausführen.
- Fügen Sie die erforderlichen Berechtigungen für die OU Ihres Computers hinzu, indem Sie das Cmdlet Set-LapsADComputerSelfPermission ausführen.
Fügen Sie ein neues LAPS-Gruppenrichtlinienobjekt hinzu, aktivieren Sie die Einstellung "Kennwortsicherungsverzeichnis konfigurieren" und konfigurieren Sie es so, dass das Kennwort in "Active Directory" gesichert wird. - Der domänenverbundene Client wird die Richtlinie beim nächsten GPO-Aktualisierungsintervall verarbeiten. Führen Sie "gpupdate /target:computer /force" aus, um Wartezeiten zu vermeiden. (Das Cmdlet "Invoke-LapsPolicyProcessing" kann für denselben Zweck verwendet werden).
- Sobald der mit der Domäne verbundene Client ein neues Kennwort gesichert hat (suchen Sie im Ereignisprotokoll nach dem Ereignis 10018 – siehe Screenshot unten), führen Sie das Cmdlet Get-LapsADPassword aus, um das neu gespeicherte Kennwort abzurufen (standardmäßig müssen Sie als Domänenadministrator ausgeführt werden).
Um zu dieser neuen Gruppenrichtlinie zu gelangen, ist der Gruppenrichtlinien-Editor in Windows 11 aufzurufen. Die Optionen finden sich unter Computerkonfiguration > Administrative Vorlagen > System > LAPS. Details finden sich in der Ankündigung im Windows-Blog.
Anzeige
Ich bin eigentlich immer davon ausgegangen dass auf einm OS, welches als sicherer angepriesen wird, LAPS kein Thema ist.
Ich kann nur staunen und bin froh, dass ich das Zeug noch nicht angegriffen habe.
Vielleicht noch ein Jahr gut abliegen lassen, bis alles halbwegs funktioniert?
Ich kann eigentlich nur staunen!
LAPS gibt es schon ewig, muss aber manuell installiert werden. ist doch schön, wenn es schon standardmäßig mitkommt. um die Kennwörter auszulesen kann man das laufen lassen
Get-ADComputer -LdapFilter "(ms-Mcs-AdmPwd=*)" -Properties Name,ms-Mcs-AdmPwd | ft Name,ms-Mcs-AdmPwd -AutoSize
LAPS macht nichts anderes als das Passwort z.B. vom lokalen Administrator zyklisch auf ein zufällig generiertes Passwort zu ändern und in die AD zu schreiben.
So hast du für jeden Client in der Domäne ein zufällig generiertes Passwort für den lokalen Administrator, welches z.B. alle 7 tage geändert wird.
LAPS gibt es schon ewig, musst aber bisher manuell installiert werden, wenn man es nutzen wollte.
Natürlich ist das schön, dass LAPS jetz mit on board ist, aber warum nicht gleich?
Es gibt einige Sicherheitsfeatures, die man mühsam hinten nachreichen darf.
Warum nicht gleich? Warum dauert das immer Jahre?
Ich kann nur weiter staunen, dass Sicherheit verkauft wird und 80% davon muss man eh extra selber liefern!
Ich staune einfach weiter :)
Weil Firmen nicht so administrieren können, wie du :-)
LAPS ist eine CSE für den Gruppenrichtlinien Prozess, die zyklisch läuft, das ist trivial, das ist eine DLL, die wird regsitriert, aber damit ist es nicht getan.
Du musst:
Berechtigungen auf den AD Attributen vergeben, damit sie nur von der Gruppen gelesen werden dürfen die es auch können sollen. Da könnte man die Domänen-Admin eintragen, aber dann verstehen die "Admins" ja wieder nicht, warum der Client-Admin das nicht darf.
Der ComputerAccount als System benötigt Schreibrechte auf den beiden Attributen für LAPS im AD. Die will keiner auf jedem Objekt. Das möchte man zB pro OU steuern.
LAPS ist ein Prozess/Organisatorisches Werkzeug in der es um Delegation geht. Deswegen ist es nicht "schwupps" drin. Baust du es "schwupps", dann hast du genau diese Sicherheitsprobleme, die du gerade belächelst.
Zusätzlich muss LAPS per Registry aktiviert werden.
Jetzt hast du 3 Abteilungen in einem Enterprise Umfeld, die entscheiden, wann LAPS zum Einsatz kommt und damit ein Rollout/Deployment Scenario:
1. AD Admins entscheiden auf welcher OU das Schreibrecht vergeben wird.
2. Das Deployment das, das MSI paketiert und ausrollt
3. Das GPO Team, das die Richtlinie aktiviert.
Erst wenn alle 3 zustimmen und "True" ergeben funktioniert LAPS.
Du möchtest: LAPS immer und Sofort (ich auch), aber dann habe ich Türen offen, die ich nicht geöffnet haben möchte. Ich kann seit Windows 2000 per GPO einfach das Adminkonto deaktivieren und LAPS ist völlig unnötig. Keiner braucht das Konto im LAN.
Was für eine Überraschung – aus aus dem nichts.
Muss ich jetzt meine Installation anpassen, ich habe LAPS bereits seit Jahren im Einsatz…
Nerv