bpeter
Goto Top

Auslesen von LAPS Passwörter im AD beschränken

Hallo,
wir haben LAPS für Windows bei Server konfiguriert. Das Entschlüsseln der Passwörter ist nur den Domänen Admins erlaubt.

Wie kann ich das Auslesen der verschlüsselten Passwörter auf diese Gruppe beschränken? Standardmäßig darf Jeder die Atribute im AD lesen.

Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln. Dies will ich mit der Berechtigung vermeiden bzw. erschweren.

Danke für eure Unterstützung
Peter

Content-ID: 71776925448

Url: https://administrator.de/forum/auslesen-von-laps-passwoerter-im-ad-beschraenken-71776925448.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

CamelCase
CamelCase 20.06.2024 aktualisiert um 09:30:02 Uhr
Goto Top
Moin

Standardmäßig darf Jeder die Atribute im AD lesen.

die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.

Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln.

Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.

Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.

Gruß
BPeter
BPeter 20.06.2024 um 09:47:56 Uhr
Goto Top
Moin,
Zitat von @CamelCase:

Moin

Standardmäßig darf Jeder die Atribute im AD lesen.

die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.

Weißt du zufällig, welche Gruppen das sind, die die Lese-Berechtigung haben bzw. wo ich das ersehen bzw. ändern könnte?

Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln.

Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.

Laut unserem CISO sollte es Personen geben, die so etwas hinbekommen.

Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.

Dafür hatte ich schon eine Frage hier gestellt.
Gruß

Danke
BPeter
BPeter 20.06.2024 um 10:28:08 Uhr
Goto Top
Ich schau mir die Berechtigungen in unserem AD an.

Erstmal Danke
user217
Lösung user217 20.06.2024 um 10:33:34 Uhr
Goto Top
BPeter
BPeter 20.06.2024 um 12:07:13 Uhr
Goto Top

Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins

Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern. Die Berechtigung zum Entschlüsseln habe ich gesetzt.
Es geht dadrum, dass z.B. Account Operater die Berechtigung haben, das verschlüsselte Passwort zu lesen. Dies würde ich gerne einschränken.
user217
user217 20.06.2024 um 13:02:09 Uhr
Goto Top
dann nimm doch named user statt ou's bzw. gruppen
C.R.S.
C.R.S. 20.06.2024 um 13:15:29 Uhr
Goto Top
Zitat von @BPeter:


Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins

Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.

Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.

Grüße
Richard
BPeter
Lösung BPeter 20.06.2024 aktualisiert um 14:13:33 Uhr
Goto Top
Zitat von @c.r.s.:

Zitat von @BPeter:


Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins

Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.

Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.

Grüße
Richard

Das ist doch das richtige Kommando.
Was mich aber stutzig gemacht hat, ist, dass bei den effektiven Rechten die Account Operators noch Lese-Rechte angezeigt bekommen, sie aber in Wirklichkeit keine mehr haben.

capture-laps
Vielen Dank auch an @user217
BPeter
BPeter 20.06.2024 um 14:25:02 Uhr
Goto Top
Ich glaube, bei uns im AD haben die Account Operators keine Standardberechtigung, deswegen dürfen sie auch die Passwörter auslesen. Das werde ich jetzt ändern.