LAPS, nichts zum Essen
LAPS steht für Local Admin Password Solution und sollte überall dort eingerichtet werden, wenn es sich um eine Domänen-Infrastruktur mit einer Active Directory (AD) handelt. Das lokale Admin-Kennwort wird damit automatisch generiert und in einem (neu anzulegenden) Active Directory Attribut auf dem Computer Objekt gespeichert.
Warum sollte LAPS eingesetzt werden?
Es geht um nicht mehr und nicht weniger als um die Sicherheit Ihrer Domänen-Struktur gegenüber Eindringlingen (bekannte als auch unbekannte), denn so sieht leider der normale Alltag aus:
- alle Systeme haben das gleiche Admin-Kennwort
- dieses Kennwort kennen zu viele Personen
- es gibt keinen Prozess / Richtlinie zum Ändern der Kennworte
Funktionsweise von LAPS
LAPS ist ein kostenfreies und einfach einzusetzendes Tool von Microsoft und sollte in jedem Netzwerk vorhanden sein, eine entsprechende Dokumentation finden Sie hier.
- wie gesagt, nur für Computer in einer AD
- Erweiterung des AD-Schemas um weitere Felder zur Hinterlegung des Kennwortes
- Installation einer Group Policy Extension auf jedem PC
- Steuerung und Einstellung erfolgt über Gruppenrichtlinien
- Ein Client erlaubt berechtigten Personen die Anzeige des Kennworts
- Alle Aktionen werden in Eventlogs protokolliert
Für die genauere Einrichtung von LAPS gibt es im Internet sehr detaillierte Vorgaben, die Sie befolgen können – Viel Erfolg, denn hiermit schlafen Sie mindestens eine Stunde tiefer.
Cybersicherheit verbessern - it-security.de
[…] Begrenzung möglicher Attacken). An dieser Stelle verweise ich auf meinen Beitrag „LAPS, nichts zum Essen„, in welchem innerhalb einer Domäne eine automatische Passwort-Generierung Hacker-Attacken […]