{"id":219689,"date":"2019-06-24T08:19:57","date_gmt":"2019-06-24T06:19:57","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=219689"},"modified":"2020-02-11T10:28:50","modified_gmt":"2020-02-11T09:28:50","slug":"powershell-local-administrator-password-solution-laps","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/06\/24\/powershell-local-administrator-password-solution-laps\/","title":{"rendered":"PowerShell: Local Administrator Password Solution (LAPS)"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/07\/05\/powershell-local-administrator-password-solution-laps\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Hier ein Tipp f\u00fcr Administratoren im Unternehmensumfeld, auf den ich k\u00fcrzlich gesto\u00dfen bin. Es geht um das PowerShell-Script der Woche, \"Local Administrator Password Solution\" (LAPS), welches die Verwaltung von Passw\u00f6rtern f\u00fcr lokale Konten von Dom\u00e4nencomputern erm\u00f6glicht.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/b4e5d35bed4a417d82dbcdf859518471\" alt=\"\" width=\"1\" height=\"1\" \/>Passw\u00f6rter werden im Active Directory (AD) gespeichert und sind durch die ACL (Access Control Lists) gesch\u00fctzt, so dass nur berechtigte Benutzer sie lesen oder einen Reset anfordern k\u00f6nnen. In einem Tweet weist Windows IT Pro (von Microsoft) auf eine PowerShell-L\u00f6sungen zur Verwaltung der lokalen Administrator Passw\u00f6rter hin.<\/p>\n<blockquote class=\"twitter-tweet\" data-lang=\"de\">\n<p dir=\"ltr\" lang=\"en\">Script of the week: Audit Local Administrator Password Solution (LAPS) usage in an Active Directory environment with <a href=\"https:\/\/twitter.com\/hashtag\/PowerShell?src=hash&amp;ref_src=twsrc%5Etfw\">#PowerShell<\/a> &#8211; <a href=\"https:\/\/t.co\/D6qc3RO9UZ\">https:\/\/t.co\/D6qc3RO9UZ<\/a>. (What is LAPS? Visit <a href=\"https:\/\/t.co\/9cJnHiQwIA\">https:\/\/t.co\/9cJnHiQwIA<\/a> for details and the download.)<\/p>\n<p>\u2014 Windows IT Pro (@MSWindowsITPro) <a href=\"https:\/\/twitter.com\/MSWindowsITPro\/status\/1142103634227945473?ref_src=twsrc%5Etfw\">21. Juni 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<h2>Local Administrator Password Solution (LAPS)<\/h2>\n<p>In Umgebungen, in denen Benutzer sich ohne Dom\u00e4nen-Anmeldeinformationen an Computern anmelden m\u00fcssen, kann die Passwortverwaltung zu einem komplexen Problem werden. Solche Umgebungen erh\u00f6hen das Risiko eines Pass-the-Hash (PtH) Credential Replay Angriffs erheblich. Die Local Administrator Password Solution (LAPS) bietet eine L\u00f6sung f\u00fcr das Problem der Verwendung eines gemeinsamen lokalen Kontos mit identischem Passwort auf jedem Computer in einer Dom\u00e4ne.<\/p>\n<p>LAPS l\u00f6st dieses Problem, indem es f\u00fcr das gemeinsame lokale Administratorkonto auf jedem Computer in der Dom\u00e4ne ein anderes, zuf\u00e4lliges Passwort festlegt. Dom\u00e4nenadministratoren, die die L\u00f6sung verwenden, k\u00f6nnen bestimmen, welche Benutzer, wie z.B. Helpdesk-Administratoren, berechtigt sind, Passw\u00f6rter zu lesen.<\/p>\n<p>LAPS vereinfacht die Passwortverwaltung und unterst\u00fctzt Kunden bei der Implementierung empfohlener Abwehrma\u00dfnahmen gegen Cyberangriffe. Insbesondere reduziert die L\u00f6sung das Risiko einer seitlichen Eskalation. So etwas ergibt sich, wenn Kunden die gleiche administrative lokale Konto- und Passwortkombination auf ihren Computern verwenden.<\/p>\n<p>LAPS speichert das Passwort f\u00fcr das lokale Administratorkonto jedes Computers in Active Directory, das in einem vertraulichen Attribut im entsprechenden Active Directory-Objekt des Computers gesichert ist. Der Computer darf seine eigenen Passwortdaten in Active Directory aktualisieren, und Dom\u00e4nenadministratoren k\u00f6nnen autorisierten Benutzern oder Gruppen, wie beispielsweise Helpdesk-Administratoren f\u00fcr Workstations, Lesezugriff gew\u00e4hren.<\/p>\n<h2>Wie funktioniert LAPS?<\/h2>\n<p>Der Kern der LAPS-L\u00f6sung ist eine GPO-Client-seitige Erweiterung (CSE), die die folgenden Aufgaben erf\u00fcllt und die folgenden Aktionen w\u00e4hrend eines GPO-Updates durchsetzen kann:<\/p>\n<p>&nbsp;<\/p>\n<ul>\n<li>\u00dcberpr\u00fcft, ob das Passwort des lokalen Administratorkontos abgelaufen ist.<\/li>\n<li>Erzeugt ein neues Passwort, wenn das alte Passwort entweder abgelaufen ist oder vor Ablauf ge\u00e4ndert werden muss.<\/li>\n<li>\u00dcberpr\u00fcft das neue Passwort anhand der Passwortrichtlinie.<\/li>\n<li>Meldet das Passwort an Active Directory und speichert es mit einem vertraulichen Attribut mit dem Computerkonto in Active Directory.<\/li>\n<li>Meldet die n\u00e4chste Ablaufzeit f\u00fcr das Passwort an Active Directory und speichert es mit einem Attribut mit dem Computerkonto in Active Directory.<\/li>\n<li>\u00c4ndert das Passwort des Administratorkontos.<\/li>\n<\/ul>\n<p>Das Passwort kann dann von Benutzern, die dazu berechtigt sind, aus dem Active Directory gelesen werden. Berechtigte Benutzer k\u00f6nnen eine Passwort\u00e4nderung f\u00fcr einen Computer beantragen.<\/p>\n<h2>Was sind die Funktionen von LAPS?<\/h2>\n<p>Die PowerShell-L\u00f6sung LAPS beinhaltet die nachfolgenden Funktionen:<\/p>\n<ul>\n<li>Sicherheit, die die M\u00f6glichkeit bietet:\n<ul>\n<li>Generieren Sie zuf\u00e4llig Passw\u00f6rter, die auf verwalteten Computern automatisch ge\u00e4ndert werden.<\/li>\n<li>Sch\u00fctzen Sie PtH-Angriffe, die auf identischen lokalen Account-Passw\u00f6rtern beruhen, effektiv.<\/li>\n<li>Erzwungener Passwortschutz beim Transport durch Verschl\u00fcsselung mit dem Kerberos Version 5 Protokoll.<\/li>\n<li>Verwenden Sie Zugriffskontrolllisten (ACLs), um Passw\u00f6rter in Active Directory zu sch\u00fctzen und ein detailliertes Sicherheitsmodell zu implementieren.<\/li>\n<\/ul>\n<\/li>\n<li>Verwaltbarkeit, die die F\u00e4higkeit bietet:\n<ul>\n<li>Konfigurieren Sie Passwortparameter, einschlie\u00dflich Alter, Komplexit\u00e4t und L\u00e4nge.<\/li>\n<li>Erzwingen Sie das Zur\u00fccksetzen des Passworts auf Maschinenebene.<\/li>\n<li>Verwenden Sie ein Sicherheitsmodell, das mit ACLs in Active Directory integriert ist.<\/li>\n<li>Verwenden Sie ein beliebiges Active Directory-Verwaltungstool Ihrer Wahl; benutzerdefinierte Tools, wie beispielsweise Windows PowerShell, werden bereitgestellt.<\/li>\n<li>Sch\u00fctzen Sie sich vor dem L\u00f6schen von Computerkonten.<\/li>\n<li>Einfache Implementierung der L\u00f6sung mit minimalem Platzbedarf.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Das LAPS-PowerShell-Script steht f\u00fcr folgende Windows-Versionen zur Verf\u00fcgung:<\/p>\n<ul>\n<li>Windows Vista<\/li>\n<li>Windows 7<\/li>\n<li>Windows 8<\/li>\n<li>Windows 8.1<\/li>\n<li>Windows 10<\/li>\n<li>Windows Server 2003<\/li>\n<li>Windows Server 2008<\/li>\n<li>Windows Server 2008 R2<\/li>\n<li>Windows Server 2012<\/li>\n<li>Windows Server 2012 R2<\/li>\n<li>Windows Server 2016<\/li>\n<li>Windows Server 2019<\/li>\n<\/ul>\n<p>Zus\u00e4tzlich werden ben\u00f6tigt:<\/p>\n<ul>\n<li><b>Active Directory: <\/b>(erfordert eine D-Schema-Erweiterung)\n<ul>\n<li>Windows 2003 SP1 oder h\u00f6her<\/li>\n<\/ul>\n<\/li>\n<li><b>Verwaltete Maschinen (managed machines): <\/b>\n<ul>\n<li>Windows Server 2003 SP2 oder h\u00f6here, oder Windows Server 2003 x64 Edition SP2 oder h\u00f6her. Itanium-basierende Maschinen werden nicht unterst\u00fctzt.<\/li>\n<\/ul>\n<\/li>\n<li><b>Management-Tools: <\/b>\n<ul>\n<li>.NET Framework 4.0<\/li>\n<li>PowerShell 2.0 or later<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>Die PowerShell-L\u00f6sung l\u00e4sst sich von <a href=\"https:\/\/web.archive.org\/web\/20190903101931\/https:\/\/www.microsoft.com\/en-us\/download\/details.aspx?id=46899\" target=\"_blank\" rel=\"noopener noreferrer\">dieser Microsoft-Seite<\/a> kostenlos herunterladen. Dort finden sich auch Anweisungen zur Installation des Ganzen. Vielleicht ist das Ganze hilfreich.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Hier ein Tipp f\u00fcr Administratoren im Unternehmensumfeld, auf den ich k\u00fcrzlich gesto\u00dfen bin. Es geht um das PowerShell-Script der Woche, \"Local Administrator Password Solution\" (LAPS), welches die Verwaltung von Passw\u00f6rtern f\u00fcr lokale Konten von Dom\u00e4nencomputern erm\u00f6glicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,143,3694,2557],"tags":[4328,4351,3288],"class_list":["post-219689","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-tipps","category-windows-10","category-windows-server","tag-sicherheit","tag-tipp","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219689","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=219689"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/219689\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=219689"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=219689"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=219689"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}