Jump to content
Sign in to follow this  
kwakS

LAPS auf DCs

Recommended Posts

Hallo zusammen,

 

ich benötige mal wieder eure Hilfe.

Der Sicherheitsbeauftragte möchte gerne, dass wir LAPS (Local Administrator Password Solution) einführen. So weit so gut.

Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird.

 

Ich persönlich finde es eine schlechte Idee das Passwort für den Domänen Admin in das AD zu legen. Schon aus Recovery / Desaster Recovery Gründen.

 

Gibt es eventl. eine Empfehlung seitens Microsoft? Ich habe da leider nichts gefunden...

Was haltet ihr davon, LAPS auch für DCs zu implementieren.

 

Gibt es eventl. andere Gründe LAPS nicht auf DCs wirken zu lassen? Oder vielleicht empfiehlt es ihr ja auch?

Share this post


Link to post
Share on other sites
Allerdings möchte er auch, dass der "lokale" Admin des DCs mittels LAPS gesichert wird

 

Es gibt auf einem DC keinen lokalen Admin. Wenn ein Server zum DC hochgestuft wird, dann wird die lokale Kontendatenbank abgeschalten.

 

Lies dir einmal diesen Artikel von Nils durch - https://www.faq-o-matic.net/2015/07/01/laps-lokales-admin-passwort-endlich-sicher/

 

LG Günther

Share this post


Link to post
Share on other sites

Es gibt auf einem DC keinen lokalen Admin. Wenn ein Server zum DC hochgestuft wird, dann wird die lokale Kontendatenbank abgeschalten.

 

LG Günther

Korrekt, deswegen habe ich ja auch geschrieben, dass dann der Domänen Admin (gemeint war "DOMAIN\Administrator") mittels LAPS gesteuert wird.

LAPS verwendet zur Steuerung des Passwortes die SID (...XXX-500)...

Share this post


Link to post
Share on other sites

Moin,

 

das ist keine gute Idee. Der Zugriff auf das Attribut, in dem das Kennwort im Klartext liegt, wird nur über AD-Attributberechtigungen gesteuert. Wer die hat oder ändern kann, hat damit Zugriff auf das Kennwort.

Aus naheliegenden Gründen ist das für jegliche Domänen-Accounts ein No-Go. Dafür ist LAPS auch nicht entworfen worden.

 

Gruß, Nils

PS. Aus diversen Gründen bin ich kein Freund von LAPS und würde es auf keinen Fall ohne exakte Prüfung der Gegebenheiten und Anforderungen empfehlen oder einführen.

Edited by NilsK

Share this post


Link to post
Share on other sites
PS. Aus diversen Gründen bin ich kein Freund von LAPS und würde es auf keinen Fall ohne exakte Prüfung der Gegebenheiten und Anforderungen empfehlen oder einführen.

 

Interessant. Was sind deine Vorbehalte gegen LAPS?

Könne wir auch gern in einem anderen Thread diskutieren.

Share this post


Link to post
Share on other sites

Moin,

 

kurz gefasst: LAPS erfordert ein Maß an Prozesstreue, das kaum ein Kunde wirklich aufbringt. Ich behaupte, dass von allen AD-Umgebungen, die ich in den letzten 18 Jahren gesehen habe, keine fünf Prozent die nötige Sorgfalt aufweisen, um LAPS sinnvoll zu betreiben. Daher halte ich den Ansatz, administrative Kennwörter im Klartext im AD zu speichern, für nahezu unvertretbar.

 

Wenn ich dann noch solche Fragen lese, wie sie hier diskutiert werden - und die dann auch noch von "Sicherheitsbeauftragten" gestellt werden bzw. auf deren Forderungen beruhen - dann zeigt mir das, dass das Konzept von LAPS praktisch vollständig missverstanden wird. Das ist durchaus ein Fehler des Konzepts selbst, das einfach nicht als Standardlösung taugt, aber als solche positioniert wird.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Hmm naja... das stimmt zwar, aber wechselnde lokale Admin-Kennworte in einem "normal gesicherten" ad finde ich immer noch sinnvoller als ein Kennwort "beliebiger Komplexität" für alle Server und Clients.

Edited by NorbertFe

Share this post


Link to post
Share on other sites

Fragen wir uns mal, was wahrscheinlicher ist. ;) Ein "normalgeschütztes/konfiguriertes" AD in dem vielleicht der Dom-Admin die Passworte per Default lesen kann und PCs die per Rollout einmalig ihr Adminkennwort bekommen (im Normalfall alle gleich) oder ein so granular berechtigtes AD wie du es "voraussetzt". ;) Ich seh es eben eher weiß und schwarz. :p

Share this post


Link to post
Share on other sites

Moin,

 

also - ich bin der Ansicht, um LAPS sinnvoll einzusetzen, braucht es passende Prozesse. Da müssen die Berechtigungen passen - OK, in den meisten Netzwerken ein einmaliger Vorgang, was die Attributberechtigungen betrifft. Da müssen die Gruppenmitgliedschaften passen, wenn das System überhaupt einen Sinn haben soll. Und da muss es eine regelmäßige Kontrolle geben, ob das alles so läuft, wie es soll. Es sind ja eine ganze Reihe von Komponenten beteiligt.

 

Mindestens bei den letzten beiden Punkten sehe ich in den meisten Umgebungen ein Problem prozessualer Art.

 

Und dann ist ja noch die Frage, ob die Kennwörter im AD wirklich richtig und sinnvoll aufgehoben sind. Sie mögen dort geschützt sein, wenn man obige Voraussetzungen einhält. Aber warum müssen diese sensiblen Daten auf alle DCs repliziert werden? Und warum soll das weniger ein "large security hole" sein als eine Excel-Kennwortliste, wie ein Microsoft-Mitarbeiter in einem Blog-Beitrag zu LAPS behauptet?

 

Ich rede natürlich nicht der sattsam bekannten Technik das Wort, auf jedem PC dasselbe Lulli-Kennwort einzurichten und das nie zu ändern. Aber angesichts der Voraussetzungen, die LAPS an die Umgebung und die Prozesse stellt, bin ich absolut nicht der Meinung, dass es per se besser geeignet sei als andere Methoden. Und genau das sollte man sich dann schon in Ruhe ansehen - wenn man dann die Entscheidung für LAPS begründet und passend vorbereitet trifft, mag es ja OK sein. Das ist dann das, was ich oben in meinem PS meinte.

 

Wer allen Ernstes Lulli-Kennwörter per Deployment ausrollt, wird ja auch LAPS nicht implementieren, weil ganz offensichtlich das Bewusstsein für Prozesse fehlt. Da haben wir also schon eine unpassende Annahme.

 

Gruß, Nils

Share this post


Link to post
Share on other sites

Das mag vielleicht eine unpassende Annahme sein, aber die hat sich oft genug in der Praxis bestätigt. Und bei mehreren 100 PCs mal eben ein, von mir aus auch komplexes aber identisches Kennwort zu ändern, ist auch nicht so trivial wie es sich möglicherweise anhört. Abgesehen davon, wer es mit mehr Security (verschlüsselt, Reporting usw.) haben will, für den gibt es ja auch Lösungen.

http://www.laps-e.net/

https://www.synergix.com/products/active-directory-client-extensions/microsoft-laps-compared/

Share this post


Link to post
Share on other sites

Hallo zusammen,

 

vielen Dank für eure Antworten.Die entbrannte Diskussion um LAPS finde ich sehr spannend.

Ich finde LAPS für Clients durchaus sinnvoll. Für Server hingegen würde ich es nicht einsetzen wollen. Aber meistens kann ich es nicht entscheiden...

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...