[English]Heute noch ein kleiner Tipp für Administratoren in Firmenumgebungen, die LAPS einsetzen. Blog-Leser Heiko hat hat mich zum Sonntag angeschrieben, und mich auf eine von ihm in PowerShell geschriebene Grafik-Umgebung hingewiesen, mit der man die Windows LAPS-Passwörter samt Kennworthistorie anzeigen lassen kann.
Anzeige
Windows Local Administrator Password Solution (Windows LAPS) ist ein Feature, mit dem das Kennwort eines lokalen Administratorkontos auf den in Windows Server Active Directory oder Azure Active Directory eingebundenen Geräten automatisch verwaltet und gesichert werden kann. Diese lokale Administratorkennwortlösung (Local Administrator Password Solution, LAPS) von Microsoft stellt die Verwaltung der Kennwörter lokaler Administratorkonten für in eine Domäne eingebundenen Computer bereit.
Kürzlich hatte ich ja erwähnt, dass Microsoft einen LAPS-Client mit den April 2023-Updates in verschiedenen Windows-Clients integriert hat. Was irgendwie fehlt, ist eine grafische Oberfläche zum Abrufen von Windows LAPS-Passwörtern. Blog-Leser Heiko hat sich dieser Geschichte angenommen und mit Sonntag per Mail auf seine Lösung hingewiesen. Dazu schrieb er:
Microsoft stellt ja aktuell leider keine eigen GUI für das Abrufen der Windows LAPS-Passwörter bereit, welche ohne RSAT-Tools funktioniert. Auch zeigt der Tab in den RSAT-Tools (Active Directory-Benutzer und Computer) die Passwort-Historie für einen Rechnern nicht an.
Das war für ihn Motivation, sich hinzusetzen und in PowerShell eine kleine GUI zu verfassen, die genau diese Aufgaben erledigt. Dazu schrieb er:
Daher hat es sich ergeben, dass ich in den letzten Tagen eine kleine (PowerShell-)Gui geschrieben habe, welche beides bietet. Sie ist stand-alone (portable) und zeigt die aktuellen Passwörter, sowie die Historie an. (Aktuell wird Azure nicht unterstützt.)
Auch wenn es keine Azure-Unterstützung gibt, sollte die PowerShell-GUI für Administratoren vielleicht einen Blick wert sein. Die PowerShell-Scripte werden von Heiko auf GitHub in diesem Repository als Simple LAPS GUI unter MIT-Lizenz gehostet und lassen sich kostenfrei herunterladen.
Anzeige
Heiko schreibt zu den Funktionen und Merkmalen seiner Entwicklung folgendes:
- Einfach und schnell bedienbar: Starten der ausführbare Datei, Computernamen eingeben und die ENTER-Taste drücken.
- Unterstützt Microsoft LAPS (Legacy) und Windows LAPS in Active Directory-Umgebungen.
- Auslesen des aktuellen Kennworts, des aktuellen Ablaufzeitstempels und der Kennworthistorie (Nur bei Windows LAPS verfügbar) aus den Computerobjekten im lokalen Active Directory.
- Kopieren der Kennwörter (aktuell und Historie) über das Kontextmenü.
- Der Ablaufzeitstempel kann angepasst werden.
- Das Fenster kann durch Drücken der ESCAPE-Taste geschlossen werden.
Benötigt werden die PowerShell ab Version 5.1 swoie das Windows LAPS PowerShell-Modul. Das GitHub-Archiv muss heruntergeladen und entpackt werden. Die Nutzung erfordert einen mit Active Directory verbundenen Windows-Rechner, um ordnungsgemäß zu funktionieren. Aktuell wird noch kein Azure AD unterstützt.
Heiko meint dazu: Ich könnte mir vorstellen, dass einige Administratoren das kleine Helferlein gebrauchen können. Vielleicht möchten Sie es in Ihrem Blog ja mal kurz erwähnen und vorstellen. An dieser Stelle mein Dank an Heiko – vielleicht ist die GUI ja hilfreich. Ihr könnt ja ggf. ein Feedback hinterlassen.
Ergänzung: Es wurde ja in den Kommentaren angemerkt, aktuell meldet Virustotal die .exe-Datei als gefährlich. Ich habe Heiko gebeten, das zu klären. Als Zwischenstand folgende Information von ihm: Ich bin am prüfen und es scheint an einem Parameter von ps2exe zu liegen (siehe diesen issues-Eintrag). Heiko plant eine FAQ in der Readme anzulegen. Möglicherweise realisiert er es ohne den Parameter und zwei Downloads: Exe und Powershell. Seine Erklärung: Die Exe ist tatsächlich nur zum Ausblenden der PowerShell und damit es in der Taskleiste/Taskmanager eigenständig ist.
Ähnliche Artikel:
LAPS-Integration per April 2023-Update in Windows – Ärger für Administratoren
Windows Server Active Directory-Schema für die aktuelle Windows LAPS-Version aktualisieren
Anzeige
Hallo Herr Born.
Virustotal ist nicht wirklich von dem File überzeugt…..
Viele Grüße
HVO
Moin zusammen,
wir nutzen die Tools direkt von MS!
https://www.microsoft.com/en-us/download/details.aspx?id=46899
Vorher war LAPS auf den Win10 Clients erfoderlich und das UI auf Admin PC / PAW (ist beides im msi Setup auswählbar).
Inzwischen nur noch Letzteres, nutzen wir im Enterprise Szenario, sieht ähnlich aus wie oben, funzt 1A.
Liebe Grüße!
das ist aber nur die alte GUI. Die kann keine verschlüsselten Passwörter oder die Passwort-Historie vom neuen LAPS anzeigen
Damit kann man auch auf Server 2016 die LAPS-GUI nachrüsten:
– von einem Server 2019 den Ordner "C:\Windows\System32\WindowsPowerShell\v1.0\Modules\LAPS" kopieren
– im SourceCode von SimpleLapsGui.ps1 Zeile 47-51 ersetzen mit "Import-Module "C:\irgendwo\LAPS\LAPS.psd1"
Da fehlen aber noch weitere Dateien, oder? Seit dem April-Update ist auf Win 10/11, Server 2019/2022 eine c:\windows\system\laps.dll und weitere Dateien dazu gekommen, die den eigentlichen LAPS Dienst, der auf dem jeweiligen System das Passwort erneuert, darstellen.
Mir ging es darum, meinen Kollegen von einem Terminal-Server 2016 die Möglichkeit zu geben auf die verschlüsselten LAPS-Kennwörter der Windows-10/11-Computer mit einer GUI zu geben.
Hab ich auch mal so probiert:
Damit wird mir am Server 2016 zwar der korrekte Expire-Timestamp angezeigt, aber das Passwort ist immer leer…
Hast Du außer o.g. Schritte noch etwas am 2016er angepasst?
ööhm, das Tool wird bei virustotal.com von 20 Scannern als Malicious angezeigt
https://www.virustotal.com/gui/file/323bcb98474b00aecea24c36ac1c5b69611e16e8aeff3976666cbe63c2017a91
Das liegt wohl daran, dass das PowerShell-Skript in eine Exe gepackt wurde.
Laut virustotal sandboxing kommuniziert die Software mit
fp2E7A.wpc.2BE4.phicdn.net
fp2e7a.wpc.phicdn.net
Evtl. ist das genutzte PS to EXE Tool gefährlich
Das sind CNAMEs für ocsp.digicert.com.
https://de.wikipedia.org/wiki/Online_Certificate_Status_Protocol
Das "Tool" ist AutoIt. Ist an sich absolut ungefährlich, kann aber natürlich missbraucht werden.
Hi Boris,
das war mir auch aufgefallen…
Bitdefender und Avira finden die v1.1 EXE leider immernoch verdächtig -> Heur.BZC.PZQ.Boxter.940.017B038F