Zum Inhalt wechseln


Foto

LAPS auf DCs


  • Bitte melde dich an um zu Antworten
12 Antworten in diesem Thema

#1 kwakS

kwakS

    Board Veteran

  • 586 Beiträge

 

Geschrieben 19. Juni 2017 - 14:25

Hallo zusammen,

 

ich benötige mal wieder eure Hilfe.

Der Sicherheitsbeauftragte möchte gerne, dass wir LAPS (Local Administrator Password Solution) einführen. So weit so gut.

Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird.

 

Ich persönlich finde es eine schlechte Idee das Passwort für den Domänen Admin in das AD zu legen. Schon aus Recovery / Desaster Recovery Gründen.

 

Gibt es eventl. eine Empfehlung seitens Microsoft? Ich habe da leider nichts gefunden...

Was haltet ihr davon, LAPS auch für DCs zu implementieren.

 

Gibt es eventl. andere Gründe LAPS nicht auf DCs wirken zu lassen? Oder vielleicht empfiehlt es ihr ja auch?


MfG kwakS :confused:

#2 GuentherH

GuentherH

    Super Moderator

  • 19.423 Beiträge

 

Geschrieben 19. Juni 2017 - 14:46

Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird

 

Es gibt auf einem DC keinen lokalen Admin. Wenn ein Server zum DC hochgestuft wird, dann wird die lokale Kontendatenbank abgeschalten.

 

Lies dir einmal diesen Artikel von Nils durch - https://www.faq-o-ma...endlich-sicher/

 

LG Günther



#3 kwakS

kwakS

    Board Veteran

  • 586 Beiträge

 

Geschrieben 19. Juni 2017 - 14:51

Es gibt auf einem DC keinen lokalen Admin. Wenn ein Server zum DC hochgestuft wird, dann wird die lokale Kontendatenbank abgeschalten.

 

LG Günther

Korrekt, deswegen habe ich ja auch geschrieben, dass dann der Domänen Admin (gemeint war "DOMAIN\Administrator") mittels LAPS gesteuert wird.

LAPS verwendet zur Steuerung des Passwortes die SID (...XXX-500)...


MfG kwakS :confused:

#4 NilsK

NilsK

    Expert Member

  • 12.216 Beiträge

 

Geschrieben 19. Juni 2017 - 15:02

Moin,

 

das ist keine gute Idee. Der Zugriff auf das Attribut, in dem das Kennwort im Klartext liegt, wird nur über AD-Attributberechtigungen gesteuert. Wer die hat oder ändern kann, hat damit Zugriff auf das Kennwort.

Aus naheliegenden Gründen ist das für jegliche Domänen-Accounts ein No-Go. Dafür ist LAPS auch nicht entworfen worden.

 

Gruß, Nils

PS. Aus diversen Gründen bin ich kein Freund von LAPS und würde es auf keinen Fall ohne exakte Prüfung der Gegebenheiten und Anforderungen empfehlen oder einführen.


Bearbeitet von NilsK, 19. Juni 2017 - 15:05.

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#5 tesso

tesso

    Board Veteran

  • 2.210 Beiträge

 

Geschrieben 19. Juni 2017 - 16:02

PS. Aus diversen Gründen bin ich kein Freund von LAPS und würde es auf keinen Fall ohne exakte Prüfung der Gegebenheiten und Anforderungen empfehlen oder einführen.

 

Interessant. Was sind deine Vorbehalte gegen LAPS?

Könne wir auch gern in einem anderen Thread diskutieren.



#6 NilsK

NilsK

    Expert Member

  • 12.216 Beiträge

 

Geschrieben 19. Juni 2017 - 18:42

Moin,

 

kurz gefasst: LAPS erfordert ein Maß an Prozesstreue, das kaum ein Kunde wirklich aufbringt. Ich behaupte, dass von allen AD-Umgebungen, die ich in den letzten 18 Jahren gesehen habe, keine fünf Prozent die nötige Sorgfalt aufweisen, um LAPS sinnvoll zu betreiben. Daher halte ich den Ansatz, administrative Kennwörter im Klartext im AD zu speichern, für nahezu unvertretbar.

 

Wenn ich dann noch solche Fragen lese, wie sie hier diskutiert werden - und die dann auch noch von "Sicherheitsbeauftragten" gestellt werden bzw. auf deren Forderungen beruhen - dann zeigt mir das, dass das Konzept von LAPS praktisch vollständig missverstanden wird. Das ist durchaus ein Fehler des Konzepts selbst, das einfach nicht als Standardlösung taugt, aber als solche positioniert wird.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#7 NorbertFe

NorbertFe

    Expert Member

  • 30.486 Beiträge

 

Geschrieben 19. Juni 2017 - 18:54

Hmm naja... das stimmt zwar, aber wechselnde lokale Admin-Kennworte in einem "normal gesicherten" ad finde ich immer noch sinnvoller als ein Kennwort "beliebiger Komplexität" für alle Server und Clients.

Bearbeitet von NorbertFe, 19. Juni 2017 - 18:55.

Make something i***-proof and they will build a better i***.


#8 NilsK

NilsK

    Expert Member

  • 12.216 Beiträge

 

Geschrieben 20. Juni 2017 - 06:12

Moin,

Aber nur, wenn es nur Schwarz und Weiß gibt. ;)

Gruß, Nils

Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#9 NorbertFe

NorbertFe

    Expert Member

  • 30.486 Beiträge

 

Geschrieben 20. Juni 2017 - 07:20

Fragen wir uns mal, was wahrscheinlicher ist. ;) Ein "normalgeschütztes/konfiguriertes" AD in dem vielleicht der Dom-Admin die Passworte per Default lesen kann und PCs die per Rollout einmalig ihr Adminkennwort bekommen (im Normalfall alle gleich) oder ein so granular berechtigtes AD wie du es "voraussetzt". ;) Ich seh es eben eher weiß und schwarz. :p

Make something i***-proof and they will build a better i***.


#10 NilsK

NilsK

    Expert Member

  • 12.216 Beiträge

 

Geschrieben 20. Juni 2017 - 07:52

Moin,

 

also - ich bin der Ansicht, um LAPS sinnvoll einzusetzen, braucht es passende Prozesse. Da müssen die Berechtigungen passen - OK, in den meisten Netzwerken ein einmaliger Vorgang, was die Attributberechtigungen betrifft. Da müssen die Gruppenmitgliedschaften passen, wenn das System überhaupt einen Sinn haben soll. Und da muss es eine regelmäßige Kontrolle geben, ob das alles so läuft, wie es soll. Es sind ja eine ganze Reihe von Komponenten beteiligt.

 

Mindestens bei den letzten beiden Punkten sehe ich in den meisten Umgebungen ein Problem prozessualer Art.

 

Und dann ist ja noch die Frage, ob die Kennwörter im AD wirklich richtig und sinnvoll aufgehoben sind. Sie mögen dort geschützt sein, wenn man obige Voraussetzungen einhält. Aber warum müssen diese sensiblen Daten auf alle DCs repliziert werden? Und warum soll das weniger ein "large security hole" sein als eine Excel-Kennwortliste, wie ein Microsoft-Mitarbeiter in einem Blog-Beitrag zu LAPS behauptet?

 

Ich rede natürlich nicht der sattsam bekannten Technik das Wort, auf jedem PC dasselbe Lulli-Kennwort einzurichten und das nie zu ändern. Aber angesichts der Voraussetzungen, die LAPS an die Umgebung und die Prozesse stellt, bin ich absolut nicht der Meinung, dass es per se besser geeignet sei als andere Methoden. Und genau das sollte man sich dann schon in Ruhe ansehen - wenn man dann die Entscheidung für LAPS begründet und passend vorbereitet trifft, mag es ja OK sein. Das ist dann das, was ich oben in meinem PS meinte.

 

Wer allen Ernstes Lulli-Kennwörter per Deployment ausrollt, wird ja auch LAPS nicht implementieren, weil ganz offensichtlich das Bewusstsein für Prozesse fehlt. Da haben wir also schon eine unpassende Annahme.

 

Gruß, Nils


Nils Kaczenski

MVP Cloud and Datacenter Management
... der beste Schritt zur Problemlösung: Anforderungen definieren!

Kostenlosen Support gibt es nur im Forum, nicht privat!


#11 NorbertFe

NorbertFe

    Expert Member

  • 30.486 Beiträge

 

Geschrieben 20. Juni 2017 - 09:22

Das mag vielleicht eine unpassende Annahme sein, aber die hat sich oft genug in der Praxis bestätigt. Und bei mehreren 100 PCs mal eben ein, von mir aus auch komplexes aber identisches Kennwort zu ändern, ist auch nicht so trivial wie es sich möglicherweise anhört. Abgesehen davon, wer es mit mehr Security (verschlüsselt, Reporting usw.) haben will, für den gibt es ja auch Lösungen.
http://www.laps-e.net/
https://www.synergix...-laps-compared/

Make something i***-proof and they will build a better i***.


#12 kwakS

kwakS

    Board Veteran

  • 586 Beiträge

 

Geschrieben 20. Juni 2017 - 13:45

Hallo zusammen,

 

vielen Dank für eure Antworten.Die entbrannte Diskussion um LAPS finde ich sehr spannend.

Ich finde LAPS für Clients durchaus sinnvoll. Für Server hingegen würde ich es nicht einsetzen wollen. Aber meistens kann ich es nicht entscheiden...


MfG kwakS :confused:

#13 NorbertFe

NorbertFe

    Expert Member

  • 30.486 Beiträge

 

Geschrieben 20. Juni 2017 - 14:21

Und warum würdest du es für Server nicht einsetzen wollen?

Make something i***-proof and they will build a better i***.