Den Lokalen Administrator einfangen

Aus allen Kanälen hört man es – verwendet kein Passwort mehrfach. Diese Methode ist auch unumstritten, leider gibt es manche Systeme da lässt sich dieses nicht so einfach umsetzen. In einer Windows Domäne gibt es einen Domänen-Administrator und jeder Client und Server hat zusätzlich noch einen Lokalen Administrator. Dieser wurde wahrscheinlich bei der Einrichtung aktiviert und mit einem Standard-Passwort aktiviert und vergessen.

Sicherheit 1/3 – Lokalen Administrator deaktivieren

In vielen Umgebungen wird der Lokale Administrator dann meistens deaktiviert. Das war unter Windows 7 eine gängige Praxis, den Benutzer Administrator deaktivieren und einen anderen Benutzer mit administrativen Rechten anlegen. Eine wirkliche Hürde stellt das nicht da, damit sind aber die meisten Nutzer schon abgeschreckt.

Im Gegenzug zum verschleiern, kann man das Konto auch deaktivieren. Wenn der Client sich in einer Domäne befindet kann jederzeit über den Domänen Administrator Account darauf zugegriffen werden kann. Sollte es aber zu Problemen mit der Vertrauensstellung kommen und sich kein Domänen Benutzer mehr anmelden kann. Müssen eine Linux Live DVD oder andere Mittel her um das deaktivierte Administrator Konto wieder zu aktivieren.

Vorteile:

  • ohne Zusatzsoftware umsetzbar

Nachteile:

  • bei Probleme mit der Domäne – Konto Aktivierung über Linux Live DVD o.ä.

Sicherheit 2/3 – Kennwort regelmäßig ändern

Den Lokalen Administrator sollte man nicht deaktivieren, darüber sind wir uns einig. Doch ein Kennwort für alle ist auch in Ordnung wenn es Komplex ist. Das heißt nicht das es nur aus !§!“)$)%=“§-Zeichen bestehen muss. Ein 16-stelliges Kennwort mit Groß-/Kleinbuchstaben und Zahlen reicht schon aus, dieses würde ca. 539886407674 Jahre dauern zu knacken. Im Notfall muss dann zwar ein 16-stelliges Kennwort eingegeben werden, aber ihr könnt ohne große Umstände ins System wieder rein.

Die Hürde ist nur, die Kennwort Änderung des Lokalen Administrators am Client bzw. Server durchzuführen. Über eine Gruppenrichtlinie lässt sich kein Kennwort mitgeben. Eine Variante wäre es über Powershell zu lösen und das Script zu verschleiern.

Eine andere Variante wäre die Änderung über IT Asset Management Systeme zu steuern. Diese bringen meistens eine Lösung mit, die euch Jobs/Aufgaben auf dem System ausführen lässt. So kann auch überprüft werden, dass die Änderung auch wirklich am Client angekommen ist.

Vorteile:

  • ohne Zusatzsoftware umsetzbar

Nachteile:

  • Rückmeldung über Änderung vom System? (selber scripten)
  • Kennwort steht teilweise in Klartext in Scripten

Sicherheit 3/3 – Microsoft LAPS

Eine viel einfachere und sichere Variante bietet uns Microsoft an mit dem kostenlos Tool Local Administrator Password Solution. Dieses integriert sich perfekt in eine Windows Domäne und bietet alle Vorteile die man für einen sicheren Lokalen Administrator benötigt. Da es sich um ein von Microsoft entwickeltes Produkt handelt ist es auch für alle aktuellen Betriebssysteme unterstützt. Sogar zurück bis zum Microsoft Windows Server 2003 Service Pack 2 was unterstützt wird. Aber natürlich auch ein Windows Server 2016 ist mit auf der Liste.

Um damit zu starten ladet ihr euch am besten alle Dateien von hier herunter. Eine sehr ausführliche Anleitung die euch Schritt-für-Schritt erklärt wie das ganze einzurichten ist. Eine Schema Erweiterung des Active-Directorys wird durchgeführt, zwei Felder werden erweitert. Das erste ms-Mcs-AdmPwd speichert das Kennwort des jeweiligen Client/Server, also im Computer-Objekt. ms-Mcs-AdmPwdExpirationTime wird benötigt um die Ablaufzeit festzulegen, wann ein Kennwort am Client geändert werden muss.

Anschließend wird das Gruppenrichtlinien Template hinzugefügt. Dieses dient zur Konfiguration der Client Side Group Policy Extension die auf jedem Client installiert werden muss. Nachdem man die ADMX und ADML Dateien kopiert hat kann man die Clients über die Gruppenrichtlinie steuern.

  • Administrator Passwort aktivieren?
  • Administrator Benutzername
  • Passwortlänge
  • Passwortkomplexheit
  • Alter des Kennworts

Die benötigte Client Side Group Policy Extension ist ein .MSI Paket für 32-Bit und 64-Bit Installationen. Dieses kann bequem über die Gruppenrichtlinie oder ein IT Asset Management System installiert werden. Dieses lässt sich im Hintergrund installieren ohne ein Eingreifen des Benutzers.

Muss das Kennwort abgerufen werden, so kann dieses über das Active-Directory geschehen. Hierzu muss das Computer-Objekt aufgerufen werden und nach dem ms-MCS-AdmPwd Attribut gesucht werden. Das Kennwort wird im Klartext gespeichert, ihr benötigt aber Rechte mit eurem Benutzer dieses zu lesen.

Für die Mausschubser unter euch gibt es noch eine GUI, diese findet sich bei jeder Installation unter %ProgramFiles%\LAPS\AdmPwd.UI.exe. Das Computer-Konto eingeben und schon wird das Kennwort angezeigt. Über dieses ist es auch einfacher eine Kennwort-Änderung anzustoßen.

Microsoft LAPS GUI
Microsoft LAPS GUI

Vorteile:

  • Komplexität kann angepasst werden
  • automatische regelmäßige Kennwort Änderung
  • Kennwort Sicher im Active-Directory gespeichert
  • Benutzername des Lokalen Administrators kann angepasst werden

Nachteile:

  • Software auf dem Client

Kommentar verfassen