Windows LAPS: Den komplette guide til sikkerhed

I enhver organisation, der benytter sig af Microsofts Active Directory, udgør administrationen af lokale administratorkonti en betydelig sikkerhedsudfordring. Genbrug af den samme adgangskode på tværs af flere computere skaber en alvorlig sårbarhed, som angribere kan udnytte til at bevæge sig lateralt i netværket. Her kommer Windows LAPS (Local Administrator Password Solution) ind i billedet som en essentiel og gratis løsning fra Microsoft. Denne teknologi centraliserer og automatiserer håndteringen af adgangskoder til lokale administratorkonti, hvilket markant styrker organisationens overordnede sikkerhed.

Hvad er Windows LAPS (Local Administrator Password Solution)?

Kernen i Windows LAPS er simpel, men yderst effektiv. Løsningen sørger for, at hver enkelt computer, der er tilsluttet et domæne, har en unik og tilfældigt genereret adgangskode til sin lokale administratorkonto. Denne adgangskode ændres automatisk med jævne mellemrum, for eksempel hver 30. dag. Den aktuelle adgangskode gemmes sikkert i et beskyttet attribut på computerens objekt i Active Directory. Kun autoriserede brugere, såsom systemadministratorer eller helpdesk-medarbejdere, får adgang til at læse denne adgangskode, når der er behov for lokal administration på en specifik maskine. Dette eliminerer risikoen ved at have en statisk, kendt adgangskode på tværs af hundredvis eller tusindvis af arbejdsstationer og servere.

Store forbedringer med den indbyggede Windows LAPS

Indtil april 2023 var LAPS en separat løsning, der krævede manuel download og installation af en MSI-pakke. Med de kumulative opdateringer fra april 2023 (f.eks. KB5025221 for Windows 10 og KB5025230 for Windows Server 2022) er LAPS blevet en fuldt integreret og indbygget funktion i Windows. Denne nye version bringer en række markante forbedringer:

• Fuld integration: Alle nødvendige komponenter er nu en del af Windows, hvilket fjerner behovet for separat softwareinstallation.
• Understøttelse af Azure AD: Ud over on-premises Active Directory kan adgangskoder nu også gemmes sikkert i Azure Active Directory.
• Styring af DSRM-adgangskode: LAPS kan nu administrere DSRM-adgangskoden (Directory Services Restore Mode) på domænecontrollere.
• Adgangskodekryptering: Giver et ekstra lag sikkerhed ved at kryptere adgangskoden, før den gemmes i Active Directory. Dette kræver dog et domænefunktionsniveau på mindst Windows Server 2016.
• Adgangskodehistorik: Gør det muligt at gendanne tidligere adgangskoder, hvis det skulle blive nødvendigt.

Sammenligning: Legacy LAPS vs. Indbygget Windows LAPS

Implementeringsguide til Windows LAPS i Active Directory

Følg disse trin for at implementere den nye, indbyggede Windows LAPS i dit on-premises Active Directory-miljø. Sørg for, at alle domænecontrollere og klientcomputere har de relevante kumulative opdateringer fra april 2023 eller nyere installeret.

Trin 1: Opdater Active Directory-skemaet

Den nye LAPS-version bruger nye attributter til at gemme adgangskodeoplysninger. Du skal derfor udvide dit AD-skema. Dette gøres nemt ved at køre en enkelt PowerShell-kommando fra en domænecontroller. Du skal være medlem af 'Schema Admins'-gruppen for at udføre denne handling.

Update-LapsADSchema

Denne kommando tilføjer nye attributter som msLAPS-Password og msLAPS-EncryptedPassword til computerobjekter i dit skema.

Trin 2: Tildel tilladelser til computere

For at LAPS kan fungere, skal hver computer have tilladelse til at opdatere sin egen adgangskode i Active Directory. Dette kaldes 'self-permission'. Du tildeler denne tilladelse på den Organizational Unit (OU), der indeholder de computere, du vil administrere.

Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=ditdomæne,DC=com"

Erstat OU-stien med den korrekte sti til din computer-OU.

Trin 3: Konfigurer læse- og nulstillingstilladelser

Du skal definere, hvilke brugere eller grupper der skal have lov til at se og eventuelt nulstille LAPS-adgangskoder. Det er god praksis at oprette en dedikeret sikkerhedsgruppe til dette formål, f.eks. 'LAPS_Password_Viewers'.

Set-LapsADReadPasswordPermission –Identity "OU=Workstations,DC=ditdomæne,DC=com" –AllowedPrincipals LAPS_Password_Viewers

Dette giver medlemmer af gruppen 'LAPS_Password_Viewers' rettighed til at læse adgangskoder for computere i den angivne OU.

Konfiguration af LAPS via Group Policy (GPO)

Når skemaet og tilladelserne er på plads, skal du konfigurere LAPS-klientindstillingerne på dine computere. Dette gøres mest effektivt via en GPO.

1. Opret en ny GPO og link den til den OU, der indeholder dine computere.
2. Naviger til: Computer Configuration -> Policies -> Administrative Templates -> System -> LAPS.
3. Konfigurer de nødvendige politikker:
   • Configure password backup directory: Sæt denne til 'Active Directory' for at gemme adgangskoden i dit on-premises AD.
   • Password Settings: Her definerer du kompleksitetskrav, længde og levetid for adgangskoden. Standardindstillingerne er en 14-tegns kompleks adgangskode, der skiftes hver 30. dag, hvilket er et godt udgangspunkt.
   • Name of administrator account to manage: Angiv navnet på den lokale administratorkonto, LAPS skal administrere. Hvis du bruger den indbyggede konto, skriver du 'Administrator'. Bemærk, at LAPS ikke opretter kontoen; den skal eksistere i forvejen.

Efter at GPO'en er anvendt, og computeren er genstartet, vil LAPS begynde at administrere adgangskoden.

Sådan tilgår du en LAPS-administreret adgangskode

Brug af Active Directory Users and Computers (ADUC)

Den nemmeste måde at finde en adgangskode på er via ADUC-konsollen. Find computerobjektet, åbn dets egenskaber, og gå til den nye fane kaldet 'LAPS'. Her kan du se den aktuelle adgangskode og dens udløbsdato.

Brug af PowerShell

For en mere script-venlig tilgang kan du bruge PowerShell til at hente adgangskoden:

Get-LapsADPassword -Identity 'ComputerNavn'

Hvis du har brug for at gennemtvinge en øjeblikkelig ændring af adgangskoden, kan du bruge følgende kommando:

Reset-LapsPassword -Identity 'ComputerNavn'

Fejlfinding i Windows LAPS: Løs de mest almindelige problemer

Selvom implementeringen er ligetil, kan der opstå problemer. Windows LAPS har sin egen log i Event Viewer under Applications and Services Logs -> Microsoft -> Windows -> LAPS -> Operational, som er det første sted, du bør kigge. Her er nogle af de mest almindelige fejl og deres løsninger:

• Event ID 10012: Skemaet er ikke opdateret. Dette betyder, at klienten ikke kan finde de nødvendige LAPS-attributter i AD. Løsningen er at køre Update-LapsADSchema på en domænecontroller og vente på, at replikeringen fuldføres.
• Event ID 10013: Administratorkontoen blev ikke fundet. LAPS har fået besked på at administrere en konto, der ikke findes på den lokale maskine. Sørg for, at den konto, du har angivet i din GPO, eksisterer på klientcomputeren.
• Event ID 10027: Konflikt i adgangskodepolitik. LAPS kunne ikke ændre adgangskoden, fordi den ikke overholder den lokale eller domænebaserede adgangskodepolitik. Sørg for, at LAPS-adgangskodeindstillingerne i din GPO er kompatible med (eller stærkere end) andre gældende politikker.
• Event ID 10065: Utilstrækkelige rettigheder. Dette er en klassisk fejl, der opstår, når computeren ikke har fået 'self-permission' til at opdatere sin egen adgangskodeattribut. Kør Set-LapsADComputerSelfPermission på den relevante OU for at løse problemet.

Ofte Stillede Spørgsmål (FAQ) om Windows LAPS

Afslutningsvis er Windows LAPS et uundværligt værktøj for enhver systemadministrator. Ved at eliminere delte, statiske adgangskoder og automatisere hele livscyklussen for lokale administratoradgangskoder, lukker LAPS en kritisk sikkerhedssårbarhed med minimal administrativ indsats.