bpeter
Goto Top

Auslesen von LAPS Passwörter im AD beschränken

Hallo,
wir haben LAPS für Windows bei Server konfiguriert. Das Entschlüsseln der Passwörter ist nur den Domänen Admins erlaubt.

Wie kann ich das Auslesen der verschlüsselten Passwörter auf diese Gruppe beschränken? Standardmäßig darf Jeder die Atribute im AD lesen.

Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln. Dies will ich mit der Berechtigung vermeiden bzw. erschweren.

Danke für eure Unterstützung
Peter

Content-Key: 71776925448

Url: https://administrator.de/contentid/71776925448

Printed on: July 24, 2024 at 21:07 o'clock

Member: CamelCase
CamelCase Jun 20, 2024 updated at 07:30:02 (UTC)
Goto Top
Moin

Standardmäßig darf Jeder die Atribute im AD lesen.

die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.

Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln.

Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.

Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.

Gruß
Member: BPeter
BPeter Jun 20, 2024 at 07:47:56 (UTC)
Goto Top
Moin,
Zitat von @CamelCase:

Moin

Standardmäßig darf Jeder die Atribute im AD lesen.

die meisten Attribute ja, msLAPS-Password jedoch meines Wissens standardmäßig nicht, was mir auch ein kurzer Test hier bestätigte.

Weißt du zufällig, welche Gruppen das sind, die die Lese-Berechtigung haben bzw. wo ich das ersehen bzw. ändern könnte?

Es scheint ja Programme zu geben, die es ermöglicht, die Passwörter trotzdem zu entschlüsseln.

Daran habe ich meine Zweifel. LAPS-Passwörter werden mittels DPAPI und AES-256 verschlüsselt, und können nur durch berechtigte Benutzer entschlüsselt werden.

Laut unserem CISO sollte es Personen geben, die so etwas hinbekommen.

Bei Servern sollte meiner Meinung nach unbedingt noch ein "break glass" lokaler Adminaccount mit sicherem (60+ Stellen) für den Notfall vorgehalten werden, falls eine Situation auftritt, in der LAPS nicht mehr funktioniert.

Dafür hatte ich schon eine Frage hier gestellt.
Gruß

Danke
Member: BPeter
BPeter Jun 20, 2024 at 08:28:08 (UTC)
Goto Top
Ich schau mir die Berechtigungen in unserem AD an.

Erstmal Danke
Member: user217
Solution user217 Jun 20, 2024 at 08:33:34 (UTC)
Goto Top
Member: BPeter
BPeter Jun 20, 2024 at 10:07:13 (UTC)
Goto Top

Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins

Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern. Die Berechtigung zum Entschlüsseln habe ich gesetzt.
Es geht dadrum, dass z.B. Account Operater die Berechtigung haben, das verschlüsselte Passwort zu lesen. Dies würde ich gerne einschränken.
Member: user217
user217 Jun 20, 2024 at 11:02:09 (UTC)
Goto Top
dann nimm doch named user statt ou's bzw. gruppen
Member: C.R.S.
C.R.S. Jun 20, 2024 at 11:15:29 (UTC)
Goto Top
Zitat von @BPeter:


Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins

Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.

Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.

Grüße
Richard
Member: BPeter
Solution BPeter Jun 20, 2024 updated at 12:13:33 (UTC)
Goto Top
Zitat von @c.r.s.:

Zitat von @BPeter:


Set-LapsADReadPasswordPermission -Identity "OU=Server,OU=Das Dorf,DC=gallier,DC=ads" -AllowedPrincipals Gallier\01-Admins

Das scheint mir die Gruppe zum Entschlüsseln zu sein. Das kann man auch über die GPO steuern.

Nein, das ist das Recht zu Lesen (ACL im AD). Die GPO "Configure authorized password decryptors" legt für den verschlüsselnden Computer die einbezogenen Entschlüsselungsberechtigten fest.

Grüße
Richard

Das ist doch das richtige Kommando.
Was mich aber stutzig gemacht hat, ist, dass bei den effektiven Rechten die Account Operators noch Lese-Rechte angezeigt bekommen, sie aber in Wirklichkeit keine mehr haben.

capture-laps
Vielen Dank auch an @user217
Member: BPeter
BPeter Jun 20, 2024 at 12:25:02 (UTC)
Goto Top
Ich glaube, bei uns im AD haben die Account Operators keine Standardberechtigung, deswegen dürfen sie auch die Passwörter auslesen. Das werde ich jetzt ändern.