9
Auslesen von LAPS Passwörter im AD beschränken
Hallo,
wir haben LAPS für Windows bei Server konfiguriert. Das Entschlüsseln der Passwörter ist nur den Domänen Admins erlaubt.
Wie kann ich das Auslesen der verschlüsselten Passwörter auf diese Gruppe beschränken? Standardmäßig darf Jeder die Atribute im AD lesen.
Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln. Dies will ich mit der Berechtigung vermeiden bzw. erschweren.
Danke für eure Unterstützung
Peter
wir haben LAPS für Windows bei Server konfiguriert. Das Entschlüsseln der Passwörter ist nur den Domänen Admins erlaubt.
Wie kann ich das Auslesen der verschlüsselten Passwörter auf diese Gruppe beschränken? Standardmäßig darf Jeder die Atribute im AD lesen.
Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln. Dies will ich mit der Berechtigung vermeiden bzw. erschweren.
Danke für eure Unterstützung
Peter
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 71776925448
Url: https://administrator.de/contentid/71776925448
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
9 Kommentare
Neuester Kommentar
Moin
die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.
Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.
Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.
Gruß
Standardmäßig darf Jeder die Atribute im AD lesen.
die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.
Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln.
Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.
Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.
Gruß
Moin,
Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.
Laut unserem CISO sollte es Personen geben, die so etwas hinbekommen.
Danke
Zitat von @CamelCase:
Moin
die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.
Weißt du zufällig, welche Gruppen das sind, die die Lese-Berechtigung haben bzw. wo ich das ersehen bzw. ändern könnte?Moin
Standardmäßig darf Jeder die Atribute im AD lesen.
die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.
Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln.
Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.
Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.
Dafür hatte ich schon eine Frage hier gestellt.Gruß
Danke
Ich schau mir die Berechtigungen in unserem AD an.
Erstmal Danke
Erstmal Danke
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Zitat von @user217:
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins
Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern. Die Berechtigung zum Entschlüsseln habe ich gesetzt.
Es geht dadrum, dass z.B. Account Operater die Berechtigung haben, das verschlüsselte Passwort zu lesen. Dies würde ich gerne einschränken.
dann nimm doch named user statt ou's bzw. gruppen
Zitat von @BPeter:
Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins
Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.
Zitat von @user217:
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins
Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.
Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.
Grüße
Richard
Zitat von @c.r.s.:
Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.
Grüße
Richard
Zitat von @BPeter:
Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins
Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.
Zitat von @user217:
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Hier findest du alles was du brauchst
https://www.gruppenrichtlinien.de/artikel/migration-laps-legacy-zu-laps- ...
Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins
Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.
Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.
Grüße
Richard
Das ist doch das richtige Kommando.
Was mich aber stutzig gemacht hat, ist, dass bei den effektiven Rechten die Account Operators noch Lese-Rechte angezeigt bekommen, sie aber in Wirklichkeit keine mehr haben.
Ich glaube, bei uns im AD haben die Account Operators keine Standardberechtigung, deswegen dürfen sie auch die Passwörter auslesen. Das werde ich jetzt ändern.
