Active-Directory-Tipp: Passwörter in der Microsoft Local Administrator Password Solution (LAPS) überwachen
Lokale Administratorkonten haben vollen Zugriff auf ihren jeweiligen Computer und können Benutzern nach Bedarf Rechte und Berechtigungen zuweisen. Das macht sie auch für Cyberkriminelle zu einem begehrten Ziel.
Inzwischen nutzen viele Unternehmen die Local Administrator Password Solution (LAPS) von Microsoft, um lokale Administratorkonten zu verwalten. Eine Herausforderung beim Einsatz ist allerdings das Auditing. So sind auf jeder Workstation zahlreiche manuelle Schritte erforderlich, um sich einen Überblick zu verschaffen, wer auf Passwörter zugegriffen oder deren Ablaufdatum geändert hat.
Da die LAPS domänenweite, lokale Administrator-Passwörter – und damit sicherheitskritische Informationen – enthält, sollte die Microsoft-Lösung idealerweise mit einer AD-Auditing-Lösung überwacht werden, damit Sicherheitsrisiken frühzeitig erkannt werden können.
Wie Sie Passwortzugriffe und -änderungen in der LAPS mit ADAudit Plus oder AD360 von ManageEngine einfach und unkompliziert überwachen können, zeigen wir Ihnen in diesem Tipp. Zudem erklären wir, wie die LAPS funktioniert und welche Vorteile sie bietet.
Produktvorstellung ADAudit Plus
Wir stellen Ihnen die Funktionen von ADAudit Plus gerne in einer unserer regelmäßigen Live-Demos vor - kostenlos und unverbindlich!
Was ist die Microsoft LAPS und welche Vorteile bietet sie?
Die Verwaltung der lokalen Administratorkonten war schon immer eine Herausforderung für IT-Abteilungen. Um den Zugang für Helpdesk-Mitarbeiter zu vereinfachen, haben viele Unternehmen in der Vergangenheit einfach dasselbe Kennwort für die Administratorkonten aller Computer in einer Domäne verwendet. Das hatte allerdings bei Angriffen, wie z. B. Pass-the-Hash-Angriffen, bei denen Passwörter im Klartext ganz ohne Brute-Force-Einsatz erlangt werden können, weitreichende Folgen.
Doch auch bei aktuellen Ransomware-Angriffen sind lokale Administratorkonten nach wie vor ein lohnenswertes Ziel für Angreifer, die versuchen, ihre Privilegien zu erweitern oder sich lateral durchs Netzwerk zu bewegen.
Inzwischen nutzen viele IT-Abteilungen die „Local Administrator Password Solution (LAPS)“ von Microsoft, um ihre lokalen Admin-Konten zu verwalten. Die kostenlose Lösung nutzt eine clientseitige Erweiterung (Group Policy Client Side Extention, kurz: CSE), um zufallsgenerierte Passwörter für lokale Admin-Konten zu erstellen und im Active Directory (AD) zu speichern. Die Passwörter werden dabei als vertrauliches Attribut im AD-Objekt des Computers abgelegt und durch die Access Control List (ACL) geschützt, so dass nur berechtigte Benutzer sie lesen oder ihre Zurücksetzung anfordern können. Darüber hinaus ändert die LAPS die Passwörter in regelmäßigen Abständen. Auflaufdatum, Passwortkomplexität und -richtlinien können dabei individuell angepasst werden.
Die Verwendung der LAPS bietet viele Vorteile: Sie reduziert nicht nur den Zeitaufwand im Vergleich zu einer manuellen Verwaltung deutlich, sondern auch das Sicherheitsrisiko, da jedem Account ein eigenes Passwort zugewiesen wird. Zudem können die Domänenadministratoren mithilfe der LAPS bestimmten Anwendern, beispielsweise Helpdesk-Administratoren, einen Lesezugriff auf die lokal gespeicherten Passwörter gewähren.
Da die LAPS als zentrales Repository für die Passwörter der lokalen Admin-Konten fungiert, sollten IT-Abteilungen allerdings auch im Blick behalten, wer mit diesen Informationen interagiert. Leider liegt genau hier die Herausforderung beim Einsatz der LAPS: Mit den nativen Windows-Tools müssen Administratoren eine Reihe von manuellen Schritten auf jeder Workstation durchführen, wenn sie sich Passwortzugriffe oder -änderungen in der LAPS anzeigen lassen möchten. Deutlich komfortabler und schneller geht es mithilfe spezieller AD-Auditing-Lösungen, bei denen die für das Auditing relevanten Informationen im Idealfall automatisch in einem Bericht zusammengestellt werden.
LAPS-Auditing mit ADAudit Plus oder AD360
Sowohl die AD-Auditing-Lösung ADAudit Plus als auch die Identity- & Access-Management-Lösung AD360 von ManageEngine erleichtern es IT-Administratoren, stets den Überblick über die Aktivitäten in der LAPS zu behalten. Beide Lösungen enthalten vorkonfigurierte LAPS-Audit-Berichte, die aus den Event Logs für LAPS intuitive Berichte erstellen.
So lässt sich auf einen Blick erkennen, wer lokale Admin-Anmeldedaten aufgerufen hat oder wer Ablaufzeit oder -datum eines Passworts geändert hat. Die Berichte lassen sich bei Bedarf individuell anpassen und können als PDF-, XLS-, HTML- oder CSV-Datei exportiert werden.
Vorbereitung: So aktivieren Sie das Auditing
Sobald Sie ADAudit Plus oder AD360 installiert haben, konfiguriert die Lösung automatisch die für das Active-Directory-Auditing erforderlichen Überwachungsrichtlinien – sofern Sie die automatische Konfiguration aktiviert haben.
So aktivieren Sie die automatische Konfiguration für das AD-Auditing:
Melden Sie sich bei ADAudit Plus an. Gehen Sie zu Admin / Domain Settings / Audit Policy: Configure und aktivieren Sie die automatische Konfiguration.
Falls Sie AD360 nutzen, klicken Sie nach der Anmeldung auf „ADAudit“ und navigieren dann zu Admin / Domain Settings / Audit Policy: Configure. Dort aktivieren Sie die automatische Konfiguration.
Tipp 1: So überprüfen Sie, wer das Passwort eines lokalen Admin-Kontos angesehen hat
- Melden Sie sich bei ADAudit Plus an. (Falls Sie AD360 nutzen, melden Sie sich an und klicken Sie auf „ADAudit“.)
- Wählen Sie die gewünschte Domäne aus der Drop-Down-Liste aus.
- Gehen Sie auf den Reiter „Reports“.
- Wählen Sie in der linken Navigationsleiste unter „LAPS Audit“ den Bericht „LAPS Password Read“ aus.
In dem Bericht sehen Sie, welcher Anwender wann auf welches lokale Admin-Passwort zugegriffen hat.
Tipp 2: So überprüfen Sie, wer das Ablaufdatum eines Passworts verändert hat
Normalerweise ändert die LAPS die Passwörter automatisch in regelmäßigen Abständen. In ADAudit Plus oder AD360 können Administratoren mit dem Report „LAPS Password Expiry Changes“ auf einen Blick sehen, wenn das Ablaufdatum von Passwörtern verlängert wird. Um den Report aufzurufen, gehen Sie bitte folgendermaßen vor:
- Melden Sie sich bei ADAudit Plus an bzw. melden Sie sich bei AD360 an und wählen Sie „ADAudit“ aus.
- Wählen Sie die gewünschte Domäne aus der Drop-Down-Liste aus.
- Gehen Sie auf den Reiter „Reports“.
- Wählen Sie in der linken Navigationsleiste unter „LAPS Audit“ den Bericht „LAPS Password Expiry Changes“ aus.
Über ADAudit Plus
Mit dem Change-Auditing-Tool ADAudit Plus können sich IT-Administratoren ein umfassendes Bild von allen Aktivitäten machen, die im Netzwerk ihres Unternehmens stattfinden. Das Echtzeit-Auditing und die sofort einsatzbereiten Berichte von ADAudit Plus erleichtern es, kritische Änderungen in DNS-Einträgen zu überwachen und Fehler schneller zu erkennen bzw. ganz zu vermeiden.
Darüber hinaus können Sie mit ADAudit Plus z. B. folgende Änderungen überwachen:
- Zeichnen Sie alle Änderungen an Windows-AD-Objekten auf, einschließlich Usern, Gruppen, Computern, Gruppenrichtlinienobjekten und Organisationseinheiten.
- Überwachen Sie alle Logon-/Logoff-Aktivitäten der User, inklusive erfolgreichen und fehlgeschlagenen Anmeldeversuchen an Workstations im gesamten Netzwerk.
- Auditieren Sie Windows-Dateiserver, Failover Cluster, NetApp- und EMC-Speicher und dokumentieren Sie Änderungen an Dateien und Ordnern.
- Überwachen Sie Änderungen an Systemkonfigurationen, Programmdateien und Ordnern und sorgen Sie für lückenlose Dateiintegrität.
- Lassen Sie sich Änderungen an Windows-Servern, Druckern und USB-Geräten in der Ereignisübersicht anzeigen.
Weitere Active-Directory-Tipps: