Jump to content

LAPS auf DCs


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich benötige mal wieder eure Hilfe.

Der Sicherheitsbeauftragte möchte gerne, dass wir LAPS (Local Administrator Password Solution) einführen. So weit so gut.

Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird.

 

Ich persönlich finde es eine schlechte Idee das Passwort für den Domänen Admin in das AD zu legen. Schon aus Recovery / Desaster Recovery Gründen.

 

Gibt es eventl. eine Empfehlung seitens Microsoft? Ich habe da leider nichts gefunden...

Was haltet ihr davon, LAPS auch für DCs zu implementieren.

 

Gibt es eventl. andere Gründe LAPS nicht auf DCs wirken zu lassen? Oder vielleicht empfiehlt es ihr ja auch?

Link zu diesem Kommentar
Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird

 

Es gibt auf einem DC keinen lokalen Admin. Wenn ein Server zum DC hochgestuft wird, dann wird die lokale Kontendatenbank abgeschalten.

 

Lies dir einmal diesen Artikel von Nils durch - https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

 

LG Günther

Link zu diesem Kommentar

Es gibt auf einem DC keinen lokalen Admin. Wenn ein Server zum DC hochgestuft wird, dann wird die lokale Kontendatenbank abgeschalten.

 

LG Günther

Korrekt, deswegen habe ich ja auch geschrieben, dass dann der Domänen Admin (gemeint war "DOMAIN\Administrator") mittels LAPS gesteuert wird.

LAPS verwendet zur Steuerung des Passwortes die SID (...XXX-500)...

Link zu diesem Kommentar

Moin,

 

das ist keine gute Idee. Der Zugriff auf das Attribut, in dem das Kennwort im Klartext liegt, wird nur über AD-Attributberechtigungen gesteuert. Wer die hat oder ändern kann, hat damit Zugriff auf das Kennwort.

Aus naheliegenden Gründen ist das für jegliche Domänen-Accounts ein No-Go. Dafür ist LAPS auch nicht entworfen worden.

 

Gruß, Nils

PS. Aus diversen Gründen bin ich kein Freund von LAPS und würde es auf keinen Fall ohne exakte Prüfung der Gegebenheiten und Anforderungen empfehlen oder einführen.

bearbeitet von NilsK
Link zu diesem Kommentar

Moin,

 

kurz gefasst: LAPS erfordert ein Maß an Prozesstreue, das kaum ein Kunde wirklich aufbringt. Ich behaupte, dass von allen AD-Umgebungen, die ich in den letzten 18 Jahren gesehen habe, keine fünf Prozent die nötige Sorgfalt aufweisen, um LAPS sinnvoll zu betreiben. Daher halte ich den Ansatz, administrative Kennwörter im Klartext im AD zu speichern, für nahezu unvertretbar.

 

Wenn ich dann noch solche Fragen lese, wie sie hier diskutiert werden - und die dann auch noch von "Sicherheitsbeauftragten" gestellt werden bzw. auf deren Forderungen beruhen - dann zeigt mir das, dass das Konzept von LAPS praktisch vollständig missverstanden wird. Das ist durchaus ein Fehler des Konzepts selbst, das einfach nicht als Standardlösung taugt, aber als solche positioniert wird.

 

Gruß, Nils

Link zu diesem Kommentar

Fragen wir uns mal, was wahrscheinlicher ist. ;) Ein "normalgeschütztes/konfiguriertes" AD in dem vielleicht der Dom-Admin die Passworte per Default lesen kann und PCs die per Rollout einmalig ihr Adminkennwort bekommen (im Normalfall alle gleich) oder ein so granular berechtigtes AD wie du es "voraussetzt". ;) Ich seh es eben eher weiß und schwarz. :p

Link zu diesem Kommentar

Moin,

 

also - ich bin der Ansicht, um LAPS sinnvoll einzusetzen, braucht es passende Prozesse. Da müssen die Berechtigungen passen - OK, in den meisten Netzwerken ein einmaliger Vorgang, was die Attributberechtigungen betrifft. Da müssen die Gruppenmitgliedschaften passen, wenn das System überhaupt einen Sinn haben soll. Und da muss es eine regelmäßige Kontrolle geben, ob das alles so läuft, wie es soll. Es sind ja eine ganze Reihe von Komponenten beteiligt.

 

Mindestens bei den letzten beiden Punkten sehe ich in den meisten Umgebungen ein Problem prozessualer Art.

 

Und dann ist ja noch die Frage, ob die Kennwörter im AD wirklich richtig und sinnvoll aufgehoben sind. Sie mögen dort geschützt sein, wenn man obige Voraussetzungen einhält. Aber warum müssen diese sensiblen Daten auf alle DCs repliziert werden? Und warum soll das weniger ein "large security hole" sein als eine Excel-Kennwortliste, wie ein Microsoft-Mitarbeiter in einem Blog-Beitrag zu LAPS behauptet?

 

Ich rede natürlich nicht der sattsam bekannten Technik das Wort, auf jedem PC dasselbe Lulli-Kennwort einzurichten und das nie zu ändern. Aber angesichts der Voraussetzungen, die LAPS an die Umgebung und die Prozesse stellt, bin ich absolut nicht der Meinung, dass es per se besser geeignet sei als andere Methoden. Und genau das sollte man sich dann schon in Ruhe ansehen - wenn man dann die Entscheidung für LAPS begründet und passend vorbereitet trifft, mag es ja OK sein. Das ist dann das, was ich oben in meinem PS meinte.

 

Wer allen Ernstes Lulli-Kennwörter per Deployment ausrollt, wird ja auch LAPS nicht implementieren, weil ganz offensichtlich das Bewusstsein für Prozesse fehlt. Da haben wir also schon eine unpassende Annahme.

 

Gruß, Nils

Link zu diesem Kommentar

Das mag vielleicht eine unpassende Annahme sein, aber die hat sich oft genug in der Praxis bestätigt. Und bei mehreren 100 PCs mal eben ein, von mir aus auch komplexes aber identisches Kennwort zu ändern, ist auch nicht so trivial wie es sich möglicherweise anhört. Abgesehen davon, wer es mit mehr Security (verschlüsselt, Reporting usw.) haben will, für den gibt es ja auch Lösungen.

http://www.laps-e.net/

https://www.synergix.com/products/active-directory-client-extensions/microsoft-laps-compared/

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...