Bescherm computerwachtwoorden die lid zijn van een domein met de lokale beheerderswachtwoordoplossing van Windows

Afbeelding: Ivan/Adobe-voorraad.

Een van de beste manieren om uw netwerk te verdedigen, is ervan uit te gaan dat u uw netwerk niet volledig kunt verdedigen en dat het op een gegeven moment door aanvallers zal worden geschonden: die “aanname van een inbreuk” -benadering dwingt u om de activa te beschermen op uw netwerk — vooral de hoogwaardige doelen zoals domeinservers.

In een ideale wereld zou je altijd domeinaccounts gebruiken om in te loggen op servers wanneer je administratieve taken moet uitvoeren waarvoor escalatie van bevoegdheden vereist is, omdat je ze dan kunt beheren met wachtwoordregels. Maar dat werkt niet voor het oplossen van problemen met machines die de verbinding met het netwerk of domein hebben verloren, en in de praktijk hebben zelfs computers die lid zijn van een domein vaak een lokaal beheerdersaccount. Om het voor drukke IT-teams eenvoudiger te maken, is het wachtwoord voor die accounts vaak hetzelfde voor al die machines, maar het is vaak een zwakker wachtwoord dat gemakkelijk te onthouden is en nooit wordt gewijzigd.

ZIEN: Wachtwoordinbreuk: waarom popcultuur en wachtwoorden niet samengaan (gratis pdf) (TechRepublic)

Dat komt omdat het wijzigen van de wachtwoorden handmatig en individueel moet gebeuren, en je moet een manier vinden om iedereen ergens op de hoogte te houden van het unieke nieuwste sterke wachtwoord voor elke server zonder die wachtwoorden op te slaan. Een aanvaller kan ze ook vinden, zoals een PASWOORDEN .XLS-spreadsheet.

De Local Administrator Password Solution is een tool die Microsoft sinds 2015 aanbiedt en die precies dat probleem aanpakt. Het genereert unieke, sterke wachtwoorden voor de lokale beheerdersaccount op elke computer in uw domein met behulp van uw beleid voor wachtwoordcomplexiteit, slaat ze op in uw Active Directory en vervangt ze automatisch door nieuwe wachtwoorden, opnieuw met behulp van uw beleid voor de leeftijd van wachtwoorden. De standaard is wachtwoorden van 14 tekens die elke 30 dagen veranderen, maar u kunt langere wachtwoorden kiezen met specifieke regels zoals cijfers, hoofdletters en speciale tekens, een ander schema voor wijzigingen en u kunt een wijziging forceren voor een individueel systeem zonder in te loggen .

Afbeelding: Microsoft. LAPS is een van de tools die u kunnen helpen zodra aanvallers uw netwerk binnendringen, zoals in deze Microsoft-beveiligingscasestudy.

Zolang ze deel uitmaken van de juiste beveiligingsgroep in AD, kunnen IT-medewerkers een PowerShell-opdracht of de LAPS GUI-tool gebruiken om het wachtwoord op te halen dat ze nodig hebben om beheerderstaken uit te voeren, maar omdat de wachtwoorden worden beschermd door toegangslijsten per kenmerk , kunnen gewone gebruikers die details niet zien. Zelfs als een aanvaller erin slaagt om toegang te krijgen tot een server die wordt beschermd door LAPS, kunnen ze het beheerderswachtwoord niet van AD krijgen, zelfs niet als ze de LAPS-tool of iets als Remote Server Administration Tools gebruiken, laat staan ​​wachtwoorden voor andere systemen lezen.

LAPS is ingebouwd en klaar

Hoe handig LAPS ook is, het moest altijd op elke computer worden geïnstalleerd, samen met de client-side-extensie voor Groepsbeleid en de PowerShell-module, plus je moest de ADMX-sjabloon toevoegen die je AD-schema uitbreidt met nieuwe attributen om het wachtwoord op te slaan en wachtwoordverlooptijdstempel voor elke computer. Dat kan ertoe leiden dat onervaren beheerders denken dat ze LAPS op alle machines hebben, terwijl ze in werkelijkheid alleen het beheerdersaccount zouden beschermen.

Nu integreert Microsoft eindelijk LAPS in zowel Windows 11 als de volgende versie van Windows Server: de preview maakt deel uit van Windows 11 Insider Preview Build 25145 en Windows Server Preview Build 25151.

U zult de LAPS-app echter niet meer zien op beheerde pc’s: u werkt er nu mee via PowerShell (en de Groepsbeleid-editor). Dat is waarschijnlijk een goede zaak, aangezien het lettertype in de nogal oudere app het moeilijk kan maken om een ​​hoofdletter I van een kleine l te onderscheiden, en veel beheerders kopieerden routinematig het wachtwoord en plakten het in Kladblok. Als u al gewend bent om LAPS met PowerShell te gebruiken, hebben sommige opdrachten nieuwe namen.

U moet uw AD-schema nog steeds bijwerken, maar u kunt dat doen door de cmdlet Update-LapsADSchema uit te voeren in de nieuwe LAPS PowerShell-module die vroeger Update-AdmPwdADSchema was. U moet ook machtigingen voor die kenmerken configureren om geautoriseerde gebruikers en groepen toegang te geven om opgeslagen wachtwoorden te bekijken, de cmdlet Set-LapsADComputerSelfPermission uitvoeren op de computers die u gaat beheren en het groepsbeleid maken met de gewenste instellingen voor wachtwoordbeheer.

U vindt alle instellingen in de Groepsbeleid-editor onder Computerconfiguratie > Beheersjablonen > Systeem > LAPS. Begin met het toevoegen van een nieuw LAPS-groepsbeleidsobject, schakel de instelling Wachtwoordback-upmap configureren in en maak de back-upopslag Active Directory.

Afbeelding: Microsoft. Beheer LAPS-instellingen zoals wachtwoordgeschiedenis in de Groepsbeleid-editor.

Als u niet wilt wachten op het gebruikelijke GPO-vernieuwingsinterval, kunt u de opdracht gpupdate /target:computer /force uitvoeren of de Invoke-LapsPolicyProcessing PowerShell-cmdlet gebruiken om een ​​nieuw wachtwoord te genereren en een back-up te maken, dat u kunt ophalen met de Get -LapsADPassword-cmdlet.

Afbeelding: Microsoft. Alle wachtwoordwijzigingen en toegangen worden gecontroleerd.

U ziet in het gebeurtenislogboek wanneer het wachtwoord is opgeslagen. Deze nieuwe gebeurtenisregistratie is een verbetering ten opzichte van de vorige, nogal luidruchtige registratie- en controleaanpak, waarvoor vaak tijdelijke oplossingen nodig waren, zoals het naar een winkel sturen van de gebeurtenissen.

Nieuwe LAPS-functionaliteit

Er zijn enkele handige nieuwe opties in LAPS, zoals het opnieuw kunnen instellen van het beheerderswachtwoord, de computer opnieuw opstarten of het beheerdersaccount afmelden nadat een beheerder heeft ingelogd en wijzigingen heeft aangebracht – maar niet onmiddellijk. U wilt een computer niet laten draaien met verhoogde inloggegevens voor het geval deze geïnfecteerd raakt, dus het beleid voor acties na verificatie automatiseert het opschonen. U wilt ook niet dat de machine waaraan u werkt, u uitlogt of opnieuw opstart wanneer u bezig bent met het oplossen van problemen, dus u kunt een respijtperiode instellen die na een paar uur wordt opgeschoond.

U hoeft zich geen zorgen te maken dat externe medewerkers die de lokale beheerdersaccount gebruiken regelmatig de toegang verliezen als ze niet verbonden zijn wanneer LAPS is ingesteld om hun wachtwoord te doorlopen: het wachtwoord wordt alleen gewijzigd als de pc de domeincontroller kan bereiken.

U kunt nu ook de naam instellen van het lokale beheerdersaccount dat u door LAPS wilt laten beheren.

Oorspronkelijk besloot Microsoft de beheerderswachtwoorden voor LAPS-winkels in AD niet te versleutelen vanwege de complexiteit voor beheerders bij het beheer van het versleutelingsschema en vanwege de veronderstelling dat AD meestal goed genoeg is beveiligd om de wachtwoorden te beschermen. Als u op zoek bent naar diepgaande verdediging, kunt u er nu voor kiezen om die wachtwoorden te versleutelen en te kiezen welke gebruikers en groepen ze kunnen ontsleutelen.

Om dit te laten werken, moet u een domeincontroller hebben met Windows Server 2016-functionaliteit om het noodzakelijke beheer van geprivilegieerde toegang te krijgen, hoewel het een latere versie van Windows Server kan zijn). Als u het groepsbeleid Wachtwoordcodering inschakelen inschakelt met een oudere domeincontrollerconfiguratie die de codering niet aankan, worden ze helemaal niet opgeslagen.

Met de extra bescherming van codering kunt u LAPS nu gebruiken om andere soorten accountwachtwoorden en lokale beheerders af te handelen, in het bijzonder het beheerderswachtwoord van de Directory Services Restore Mode waarmee u een domeincontroller kunt opstarten in een speciale modus waar u deze kunt repareren. of herstel Active Directory. U stelt het DSRM-wachtwoord in wanneer u voor het eerst een server promoveert naar domeincontroller, en het is zowel zeer krachtig als zelden gebruikt, waardoor het een referentie is waar u waarschijnlijk niet aan zult denken totdat u een noodgeval heeft.

Sinds Windows Server 2008 kunt u het DSRM-beheerderswachtwoord synchroniseren met een domeingebruikersaccount, maar u moet dat handmatig doen met de opdracht NTDSUTIL. LAPS kan zowel het wachtwoord opslaan als het regelmatig rouleren wanneer u het groepsbeleid Wachtwoordback-up inschakelen voor DSRM-accounts instelt, maar u moet versleuteling hebben ingeschakeld.

Een andere handige nieuwe optie die codering vereist, laat je kiezen hoeveel eerdere wachtwoorden voor elke computer in AD worden opgeslagen. Als u een machine moest terugdraaien met behulp van een back-up die was gemaakt voordat LAPS het wachtwoord rouleerde, kon u het oude beheerderswachtwoord niet ophalen van AD als het sindsdien was bijgewerkt, tenzij u ook een AD-back-up uit dezelfde periode had. In dat geval had u een tool zoals de Microsoft Diagnostics and Recovery Toolset nodig om de computer te herstellen. Nu kunt u Grootte van versleutelde wachtwoordgeschiedenis configureren gebruiken om het aantal oudere wachtwoorden dat u bewaart, af te stemmen op uw back-upbeleid: als u zes maanden of een jaar aan back-ups voor computers bewaart, kunt u ervoor zorgen dat u ook zoveel wachtwoorden opslaat.

Maar de grootste verandering aan LAPS is dat u niet langer beperkt bent tot het gebruik van on-premises AD om wachtwoorden op te slaan. Als u Azure AD gebruikt, kunt u dat instellen als back-upopslag voor wachtwoorden, hoewel dat momenteel alleen beschikbaar is voor een klein aantal organisaties in het Windows Insiders-programma.

Leave a Comment