Ein großes Sicherheitsproblem in IT-Infrastrukturen sind die lokalen Administratoraccounts (SID 500).

Dieser Account wird meist nur in Notfällen benötigt und ansonsten völlig vernachlässigt. Die Konfiguration dieses Accounts erfolgt meist bei der Installation des Betriebssystems mit einem Standardkennwort und wird im Nachgang über Gruppenrichtlinien angepasst. Hierbei wird ein komplexes Kennwort erstellt, welches auf allen Maschinen für den „Administrator“-Account gilt. Dies gibt einem ein grundsätzliches Gefühl von Sicherheit. Was wenn ich Ihnen nun sage, dass genau diese Gruppenrichtlinien ausgelesen werden können und somit das Passwort des lokalen Administrators (für alle Maschinen dasselbe) in die falschen Hände gelangen kann.

Hierüber hat sich Microsoft auch Gedanken gemacht. Die Konsequenz hierbei ist, dass die Möglichkeit das Passwort über eine Gruppenrichtlinie festzulegen, bei den neuen Betriebssystemen wegfällt.

Im selben Zuge hat die Microsoft ein Tool mit in ihr Portfolio aufgenommen, welches in der Lage ist, Passwörter für den lokalen Administrator völlig zufällig und individuell für jede Maschine innerhalb der Domäne festzulegen und alle 30 Tage zu ändern. Es handelt sich hierbei um die Local Administrator Password Solution (LAPS).

Hierfür werden für jedes Computerkonto innerhalb des Active Directorys zwei neue Attribute hinzugefügt. Zum einen das Passwort selbst und zum anderen das Ablaufdatum. Der Computer selbst ändert mit Hilfe eines Agenten sein Administratorpasswort, und schreibt dieses dann im Active Directory in die Attribute seines Computerkontos. Das Auslesen dieser Daten erfolgt mittels der grafischen Oberfläche von LAPS oder auch mit der Powershell. Der Zugriff auf die Kennwörter kann über Active Directory Sicherheitsgruppen gesteuert werden.

 

 

Mit diesem Tool kann die Sicherheit innerhalb einer IT-Infrastruktur enorm erhöht werden und es lohnt sich, diese Lösung genauer zu betrachten.

 

Redakt.: Michael Kasper