Device Management und LAPS: So geht’s auch ohne Active Directory
KATEGORIEN | Cloud | IT-Sicherheit
Lesezeit: 7 min
Florian Wieland

Es geht um Administrator-Kennwörter und wie sie verwaltet werden. Wir stellen hier eine Alternative zum klassischen LAPS vor: sie funktioniert auch ohne ein Active Directory.

Scripting

LAPS mit und ohne AD-Verbindung

Wegen der stärker werdenden Hackerangriffe hat das Thema LAPS (Local Administrator Password Solution) mehr Aufmerksamkeit gewonnen. Die Kennwörter bei lokalen Admin-Konten sind ja ein häufiger Angriffsvektor. Daher ist es vernünftig, vorzusorgen und das durch LAPS zu lösen.

In der hier beschriebenen Variante wird LAPS ohne Verbindung zum klassischen AD eingesetzt. Einzig eine Connection zum Internet ist erforderlich. Es kann allein so oder aber – falls bereits eine LAPS-Installation besteht- auch zusätzlich eingesetzt werden. Da es ja bei Azure AD-Devices keine Verbindung zu einem lokalen Active Directory gibt, ist LAPS für Intune eine schnelle Möglichkeit, um lokale Administratoren mit zufallsgenerierten Passwörtern zu erstellen. Die Passwörter können dabei sogar stündlich rollierend erneuert werden.

So geht’s: Schritt für Schritt

Zuerst muss ein entsprechendes Script für die Einrichtung des LAPS – angepasst auf die Bedürfnisse der Umgebung – erstellt werden. Hierfür gibt es Vorlagen bei Artaker.

Ein Powershell-Script für die Verschlüsselung ist ebenfalls erforderlich. Wenn eine Verschlüsselung aktiviert ist, dann muss der Entschlüsselungs-Key in das GUI eingebaut werden. Diese wird dann angepasst auf den Kunden in eine .exe Datei kompiliert und kann dann dem Kunden zur Verfügung gestellt werden. Die Anmeldung erfolgt dann über ein berechtigtes Benutzerkonto.

 

Ergebnisse

Auf allen Clients wird – je nach eingestelltem Zeitintervall – ein neues Passwort für den ebenfalls vom Script erstellten lokalen Admin generiert.

Das Passwort wird in diesem Fall nur verschlüsselt dargestellt.

LAPS Passwort verschlüsselt

Um das richtige Passwort zu erhalten, ist ein Programm mit dem Entschlüsselungskey notwendig. Dann kann der lokale Admin ausgelesen werden. Man sucht einfach nach dem Device-Namen.

LAPS Device-Suche

Möchten Sie mehr zum Thema wissen oder einfach Ihre Erfahrungen austauschen? Schreiben Sie mir für eine Terminvereinbarung: h.szpott@artaker.at .

Wussten Sie schon: wir veranstalten immer mal wieder Webinare zu diesem Thema – hier ist unsere Eventseite: Unsere Veranstaltungen