Nach einigen Schreckensmeldungen über Sicherheitslücken, groß angelegten Cyber Attacken und Schäden in Millionenhöhe machen sich viele Unternehmen vermehrt Gedanken über die Sicherheit ihres Netzwerkes. Erschreckend ist, dass viele der Angriffe bei einer „kleinen“ Sicherheitslücke ihren Anfang nahmen und sich anschließend wie ein Lauffeuer verbreiteten. Oftmals sind es einfache Maßnahmen, die einen großen Nutzen in der Netzwerksicherheit darstellen können. Ich möchte Ihnen in der neuen Serie „Sicherheit im Netzwerk“ einige Mittel, Tipps und Tricks näherbringen, wie auch Sie ihr Netzwerk erheblich sicherer gestalten können. In diesem Teil möchte ich Ihnen LAPS vorstellen.

Microsofts Local Administrator Password Solution (LAPS) ist ein Passwort-Manager, der Active Directory verwendet, um Passwörter für lokale Administratorkonten auf allen Ihren Windows-Endpunkten zu verwalten und zu rotieren. LAPS ist ein großartiges Abwehrtool gegen die Ausweitung einer Attacke im Netzwerk, indem es erzwingt, dass alle lokalen Administratorkonten eindeutige, komplexe Passwörter haben, sodass ein Angreifer, der ein lokales Administratorkonto kompromittiert, nicht zu anderen Endpunkten und Konten wechseln kann, die möglicherweise dasselbe Passwort verwenden. Ein Vorteil im Vergleich zu anderen Passwort-Managern besteht darin, dass LAPS keine zusätzlichen Computer oder Anwendungsserver benötigt, um diese Passwörter zu verwalten. Die Verwaltung dieser Kennwörter erfolgt vollständig über Active Directory-Komponenten.

Die Lösung besteht aus verschiedenen Komponenten. Die Passwörter werden in einem Attribut im Active Directory gespeichert, das durch eine ACL geschützt ist, sodass nur autorisierte Konten das Passwort lesen können. Dies erfordert eine Erweiterung der Active Directory-Schemas, die der Klasse Computer die Attribute ms-Mcs-AdmPwd und ms-Mcs-AdmPwdExpirationTime hinzufügt.

Auf Windows-Systemen ist eine Client Side Extension (CSE) für Gruppenrichtlinien installiert. Über CSEs lässt sich die Funktionalität von Group Policies nahezu unbegrenzt erweitern. CSEs werden als DLL implementiert und in der Windows-Registrierung unter HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions registriert. Die CSE wird dann von der Gruppenrichtlinien-Engine geladen und liest zuerst das ms-Mcs-AdmPwdExpirationTime-Attribut, das das Ablaufdatum des Kennworts speichert. Wenn das Ablaufdatum älter als das aktuelle Datum ist, wird ein neues Kennwort gemäß den über die Gruppenrichtlinieneinstellungen konfigurierbaren Komplexitätskriterien generiert. Die CSE validiert das Kennwort auch anhand der Komplexitätsrichtlinien der Domäne. Die CSE schreibt das neue Passwort im Klartext in das Attribut ms-Mcs-AdmPwd und das neue Ablaufdatum in das Attribut ms-Mcs-AdmPwdExpirationTime. Nach der Aktualisierung beider Attribute wird das neue Passwort für das lokale Konto geändert.

Je nach Methode der Verteilung und Anzahl der Clients, kann sich die Sicherheitsmaßnahme innerhalb weniger Stunden umsetzen lassen. Aus Erfahrung kann ich berichten, dass die Implementierung von LAPS im KMU Netzwerk sehr einfach und schnell umsetzbar ist. Im Anschluss habe ich Ihnen eine ausführliche Schritt-für-Schritt Anleitung von „TeraByte IT Limited“ angehängt. Ich rate unerfahrenen Benutzern von einer Umsetzung auf eigene Faust ab. Wenn Sie Unterstützung bei diesem Projekt brauchen, sind Sie bei uns genau richtig, wir sind Ihr kompetenter Partner bei Fragen rund um Sicherheit im Netzwerk!