bpeter
Goto Top

Wo und wie sichert ihr die LAPS Passwörter außerhalb vom AD?

Hallo,
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.
Wie habt ihr das Problem gelöst oder ist es für euch keine Überlegung wert, weil dieser Zustand nicht eintritt?

VG
Peter

Content-ID: 82280082385

Url: https://administrator.de/forum/wo-und-wie-sichert-ihr-die-laps-passwoerter-ausserhalb-vom-ad-82280082385.html

Ausgedruckt am: 22.12.2024 um 17:12 Uhr

Starmanager
Starmanager 24.05.2024 um 13:43:36 Uhr
Goto Top
Wenn man Microsoft 365 Premium hat, kann man dort die LAPS Passwoerter bei den Geraeten eintragen lassen.

Server mit LAPS ist schon schoen... aber wehe es streikt mal das AD und die Schluessel sind alle gerade gewechselt worden. Ich wuerde die Server vom Laps nicht kontrollieren lassen. Ein kompliziertes Passwort in einen Briefumschlag in einen Tresor den man auch ohne Strom erreichen kann...
BPeter
BPeter 24.05.2024 um 14:04:09 Uhr
Goto Top
Wenn man Microsoft 365 Premium hat, kann man dort die LAPS Passwoerter bei den Geraeten eintragen lassen.

aber nur, wenn die Server hybrid joined sind
NordicWorker
NordicWorker 24.05.2024 um 15:26:38 Uhr
Goto Top
Moin!

Veeam sichert die Attribute der AD Computer-Objekte regelmäßig mit.
Also auch die LAPS Passwörter zu den jeweiligen Zeitpunkten eines eventuellen Restores.

Zweite Möglichkeit wäre die Passwörter per Skript auszulesen und sichern.
Diese müssten dann aber auch unverschlüsselt gespeichert werden.
Kann man per GPO festlegen.
BPeter
BPeter 24.05.2024 um 15:48:21 Uhr
Goto Top
Moin,
wir haben Veeam im Einsatz und sind am Überlegen, die Server aus der Domäne zu nehmen. Wenn ich an das Backup nicht komme, nützt mir das auch nichts.
Per Skript auslesen und sichern, die Idee hatte ich auch schon. Nur wohin? Ich muss ja auch drankommen.
Hatte gehofft, dass es schon fertige Ideen gibt, die ihr nutzt.
NordicWorker
NordicWorker 24.05.2024 um 16:00:28 Uhr
Goto Top
Wohin? Auf Notfall PCs, die im Angriffsfall funktionieren und sonst nur ausgeschaltet sind.
Dani
Dani 24.05.2024 um 20:19:52 Uhr
Goto Top
Moin,
wir überlegen LAPS auf Server einzuführen.
von wie vielen Servern sprechen wir denn?

Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich.
Aber das ist doch Broken by Design. DAs höchste Gut ist das Active Directory. Sprich muss sowohl im Backup als Disaster Recovery (DR) Plan die höchste Priorität haben. Die Szenarien aufzeigen und Lösungen dokumentieren.

Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.

Wie habt ihr das Problem gelöst oder ist es für euch keine Überlegung wert, weil dieser Zustand nicht eintritt?
Wir haben LAPS lange auf Clients und Servern genutzt. Allerdings hatten wir wie du das Problem, dass bei einem Restore einer VM von vor 3 Wochen, 5 Monate, 2 Jahre, etc. die Passwörter nicht mehr stimmen. Der Umweg über das Backup hat immer funktioniert. War aber ein Zeit Fresser. Zumal wir in den letzten Jahren unser Tiering Architektur überarbeitet haben und damit das Backup für solche Zwecke nicht mehr zur Verfügung stand.

Inzwischen nutzen dafür ein PAM System. Sprich dort sehe ich sowohl das aktuelle Passwort sowie mit entsprechender Berechtigungen auch vorherige Passwörter. Somit eine WIN-WIN Situation. Wird aber vermutlich für euch keine Option sein. Sowohl personell als auch von den Kosten her (ist eine reine Vermutung)! Weil wenn ihr keinen DR Plan für AD habt, wie wollt ihr dann einen für ein PAM aufbauen?!

wir haben Veeam im Einsatz und sind am Überlegen, die Server aus der Domäne zu nehmen.
Was ist der Vorteil, wenn du die Server aus der Domäne nimmst? Weil du verlierst damit die zentrale Steuerung via GPO, zentraler Benutzerverwaltung, zentrale Berechtigungsverwaltung, etc.


Gruß,
Dani
Celiko
Celiko 24.05.2024 aktualisiert um 22:23:40 Uhr
Goto Top
Moin,

Ich lese die Passwörter aller Geräte aus die LAPS nutzen und synchronisiere die Daten in einer sharepoint Liste per powershell.
Zusätzlich haben wir noch eine powerapp die auf die Liste zugreift, damit wir die Passwörter sowohl über sharepoint am PC und am Handy einsehen können.

Muss das Script noch aktualisieren, weil wir das neue LAPS mittlerweile nutzen.
Liste und powerapp ist nur für die IT nutzbar
Ist nice, dem helpdesk vorallem hilft es sehr wenn Sie vor Ort support geben

Man kann natürlich auch eine Passwort historie mit einbauen damit man auch nach einem restore die Passwörter nutzen kann. Haben wir nicht, sollte ich mir evtl. Nochmal überlegen ob das nicht sinnvoll wäre

Vg
BPeter
BPeter 27.05.2024 um 10:08:38 Uhr
Goto Top
Hallo Dani,
deine Vermutungen treffen nicht ganz zu.
Weltweit haben wir knapp 1000 VM's und 30 Child-Domains. Ein DR Plan haben wir bereits. Nichts desto trotz könnte ich besser schlafen, wenn die Passwörter für die VM's sicher hinterlegt wären.
Wenn das Passwort eines privilegierten Accounts gehackt wurde, kann dieser dann auch auf die Backup Server und das Backup verschlüsseln. Deshalb sollte eigentlich der Backup Server aus der Domäne. Dass dann eine zentrale Verwaltung nicht mehr funktioniert, ist bekannt.
BPeter
BPeter 27.05.2024 um 10:17:45 Uhr
Goto Top
Zitat von @Celiko:

Moin,

Ich lese die Passwörter aller Geräte aus die LAPS nutzen und synchronisiere die Daten in einer sharepoint Liste per powershell.
Zusätzlich haben wir noch eine powerapp die auf die Liste zugreift, damit wir die Passwörter sowohl über sharepoint am PC und am Handy einsehen können.

Muss das Script noch aktualisieren, weil wir das neue LAPS mittlerweile nutzen.
Liste und powerapp ist nur für die IT nutzbar
Ist nice, dem helpdesk vorallem hilft es sehr wenn Sie vor Ort support geben

Man kann natürlich auch eine Passwort historie mit einbauen damit man auch nach einem restore die Passwörter nutzen kann. Haben wir nicht, sollte ich mir evtl. Nochmal überlegen ob das nicht sinnvoll wäre

Vg

Hallo,
ihr habt die Passwörter nicht verschlüsselt hinterlegt oder?

VG
Dani
Dani 27.05.2024 um 10:38:46 Uhr
Goto Top
Moin,
Weltweit haben wir knapp 1000 VM's und 30 Child-Domains. Ein DR Plan haben wir bereits. Nichts desto trotz könnte ich besser schlafen, wenn die Passwörter für die VM's sicher hinterlegt wären.
war aus deiner Frage nicht abzuleiten. face-wink Bei der Anzahl ist ein PAM eigentlich heutzutage Pflicht. Damit erledigst du auch gleich Themen wie Protokollierung, Rechte Management, Passwort History, Passwort Change, etc. Wir verwalten damit ein paar Kisten mehr als ihr habt - Windows, Linux, teilweise Appliance, etc. Server - Clients - Kassensysteme, etc.

Wenn das Passwort eines privilegierten Accounts gehackt wurde, kann dieser dann auch auf die Backup Server und das Backup verschlüsseln.
In der Regel, gibt es nicht viele Konten welche auf ein Tier 1 System (Backup Server) zugreifen darf. In der Regel geht dieser noch über einen Jump Host, welcher mit 2FA gesichert ist. Zudem ist die Anmeldung grundsätzlich auf die betroffenen Systemen eingegrenzt ist.

Dass dann eine zentrale Verwaltung nicht mehr funktioniert, ist bekannt.
Ein PAM funktioniert (wenn es richtig designed wurde), auch ohne Domäne. DR Plan. Wir haben knapp 1 Mio. Einträge drin. Was glaubst du was bei uns los wäre, wenn wir da nicht dran kämen?!


Gruß,
Dani
Celiko
Celiko 27.05.2024 um 15:05:44 Uhr
Goto Top
Nope
erikro
erikro 27.05.2024 um 15:08:28 Uhr
Goto Top
Moin,

Zitat von @BPeter:
Hallo,
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.

Wo ist das Problem? Wenn das AD nicht mehr zur Verfügung steht, also alle DCs abgeschmiert sind und alles kaputt ist, habe ich ein ganz anderes Problem als lokale Admin-Passwörter. In dem Szenario muss ich erst einmal dafür Sorge tragen, dass das AD wieder geht. Geht es wieder, dann kann ich auch wieder LAPS benutzen. Wenn das im AD hinterlegte PW nicht stimmen sollte, dann setzt man halt einfach ein

Reset-AdmPwdPassword -ComputerName "hostname"  

ab und der Rechner bekommt ein neues, das dann wieder im AD steht.

IMHO konterkariert das Vorhaben, die PWs noch einmal irgendwo zu speichern, das Konzept der LAPS.

my 2 cents

Erik
Starmanager
Starmanager 27.05.2024 um 15:12:31 Uhr
Goto Top
Dazu muss man aber erst mal die Geraete wieder ins AD integrieren. Das geht dann aber auch nur mit dem Admin Passwort oder?
erikro
erikro 27.05.2024 um 15:16:29 Uhr
Goto Top
Zitat von @Starmanager:

Dazu muss man aber erst mal die Geraete wieder ins AD integrieren. Das geht dann aber auch nur mit dem Admin Passwort oder?

Also wenn das AD so kaputt ist, dass ich es komplett neu aufsetzen muss, dann habe ich was ganz grundsätzlich falsch gemacht. Das ist mir bisher nur einmal untergekommen. Da stand der DC ohne Redundanz in einer Besenkammer bei einer Raumtemperatur von gemessenen 75°C. face-wink Nein, es war nicht meine Idee, die Besenkammer zum Serverraum zu machen. face-wink
BPeter
BPeter 27.05.2024 um 15:19:11 Uhr
Goto Top
Zitat von @erikro:

Moin,

Zitat von @BPeter:
Hallo,
wir überlegen LAPS auf Server einzuführen. Leider ist es heutzutage nicht so abwegig, dass evtl. das Active Directory nicht mehr zur Verfügung steht und wir es dann auch nicht mehr aus dem Backup bekommen könnten. Das ist zwar sehr unwahrscheinlich, trotzdem evtl. möglich. Hatte mir überlegt, die Passörter täglich in unser Passworttool zu importieren.

Wo ist das Problem? Wenn das AD nicht mehr zur Verfügung steht, also alle DCs abgeschmiert sind und alles kaputt ist, habe ich ein ganz anderes Problem als lokale Admin-Passwörter. In dem Szenario muss ich erst einmal dafür Sorge tragen, dass das AD wieder geht. Geht es wieder, dann kann ich auch wieder LAPS benutzen. Wenn das im AD hinterlegte PW nicht stimmen sollte, dann setzt man halt einfach ein

Reset-AdmPwdPassword -ComputerName "hostname"  

ab und der Rechner bekommt ein neues, das dann wieder im AD steht.

IMHO konterkariert das Vorhaben, die PWs noch einmal irgendwo zu speichern, das Konzept der LAPS.

my 2 cents

Erik

Hallo,
das funktioniert nur, wenn du das kompromittierte AD zum Laufen bekommst. Wenn du ein neues AD installieren musst, kannst du auch noch die 1000 VM's neu aufsetzen.

VG
BPeter
BPeter 27.05.2024 um 15:23:12 Uhr
Goto Top
Zitat von @erikro:

Zitat von @Starmanager:

Dazu muss man aber erst mal die Geraete wieder ins AD integrieren. Das geht dann aber auch nur mit dem Admin Passwort oder?

Also wenn das AD so kaputt ist, dass ich es komplett neu aufsetzen muss, dann habe ich was ganz grundsätzlich falsch gemacht. Das ist mir bisher nur einmal untergekommen. Da stand der DC ohne Redundanz in einer Besenkammer bei einer Raumtemperatur von gemessenen 75°C. face-wink Nein, es war nicht meine Idee, die Besenkammer zum Serverraum zu machen. face-wink

Da hast du grundsätzlich Recht. Zu 100% wirst du mir nicht sagen können, dass du dein AD unter allen Umständen dieser Welt wieder zum Laufen bekommst. Und nur für diesen Fall hätte ich gerne die Passwörter, damit ich nicht noch zusätzlich 1000 Server verloren habe.
BPeter
BPeter 27.05.2024 um 15:30:42 Uhr
Goto Top
Zitat von @Dani:

Moin,
Weltweit haben wir knapp 1000 VM's und 30 Child-Domains. Ein DR Plan haben wir bereits. Nichts desto trotz könnte ich besser schlafen, wenn die Passwörter für die VM's sicher hinterlegt wären.
war aus deiner Frage nicht abzuleiten. face-wink Bei der Anzahl ist ein PAM eigentlich heutzutage Pflicht. Damit erledigst du auch gleich Themen wie Protokollierung, Rechte Management, Passwort History, Passwort Change, etc. Wir verwalten damit ein paar Kisten mehr als ihr habt - Windows, Linux, teilweise Appliance, etc. Server - Clients - Kassensysteme, etc.

Kein Problem. Wir bauen gerade PAM bei uns weiter aus und daher kommt auch meine Frage.

Wenn das Passwort eines privilegierten Accounts gehackt wurde, kann dieser dann auch auf die Backup Server und das Backup verschlüsseln.
In der Regel, gibt es nicht viele Konten welche auf ein Tier 1 System (Backup Server) zugreifen darf. In der Regel geht dieser noch über einen Jump Host, welcher mit 2FA gesichert ist. Zudem ist die Anmeldung grundsätzlich auf die betroffenen Systemen eingegrenzt ist.

Genauso haben wir das auch. Wir werden auch die Berechtigung auf Accounts zeitlich steuern bzw. genehmigen lassen.

Dass dann eine zentrale Verwaltung nicht mehr funktioniert, ist bekannt.
Ein PAM funktioniert (wenn es richtig designed wurde), auch ohne Domäne. DR Plan. Wir haben knapp 1 Mio. Einträge drin. Was glaubst du was bei uns los wäre, wenn wir da nicht dran kämen?!

Genau das, würde ich gerne vermeiden.


Gruß,
Dani
erikro
erikro 27.05.2024 um 15:48:16 Uhr
Goto Top
Zitat von @BPeter:
Da hast du grundsätzlich Recht. Zu 100% wirst du mir nicht sagen können, dass du dein AD unter allen Umständen dieser Welt wieder zum Laufen bekommst.

Warum sollte ich das nicht können? Gut, wenn der Atomkrieg ausbricht und die Bombe meine Server und die Bank mit den Backup-Bändern vaporisiert hat, dann vielleicht nicht. Aber das wäre dann auch egal. Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins. Selbst bei dem abgerauchten Server war das AD nach ein paar Tagen wieder online. Es musste halt Ersatzhardware beschafft werden, auf die man dann das Backup spielen konnte. Danach war (fast) alles wieder gut.
BPeter
BPeter 27.05.2024 um 16:46:56 Uhr
Goto Top
Zitat von @erikro:

Zitat von @BPeter:
Da hast du grundsätzlich Recht. Zu 100% wirst du mir nicht sagen können, dass du dein AD unter allen Umständen dieser Welt wieder zum Laufen bekommst.

Warum sollte ich das nicht können? Gut, wenn der Atomkrieg ausbricht und die Bombe meine Server und die Bank mit den Backup-Bändern vaporisiert hat, dann vielleicht nicht. Aber das wäre dann auch egal. Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins. Selbst bei dem abgerauchten Server war das AD nach ein paar Tagen wieder online. Es musste halt Ersatzhardware beschafft werden, auf die man dann das Backup spielen konnte. Danach war (fast) alles wieder gut.

Soweit würde ich gar nicht gehen wollen. Man hat alles richtig gemacht, trotzdem spinnt die Software. Sehr unwahrscheinlich, aber meiner Meinung nach nicht 100% abwegig.
Ich gehe davon aus, dass du deine Backupserver nicht durch LAPS konfiguriert hast, sondern ,mit lokalem Account mit sehr langem Passwort, das du in einem Passworttool gespeichert hast. Das Passworttool ist auch offline verfügbar.
Dani
Dani 27.05.2024 um 20:30:28 Uhr
Goto Top
Moin,
das funktioniert nur, wenn du das kompromittierte AD zum Laufen bekommst. Wenn du ein neues AD installieren musst, kannst du auch noch die 1000 VM's neu aufsetzen.
das eine bringt automatisch das andere mit sich. Wenn ein AD übernommen worden ist, muss entweder das Backup wiederhergestellt werden. Und zwar nicht nur die DCs, sondern von allem was indirekt davon betroffen ist. Oder alternativ eine Neuinstallation durchführen.

Kein Problem. Wir bauen gerade PAM bei uns weiter aus und daher kommt auch meine Frage.
Warum die Passwörter dann in einem Passwort Manager überführen oder/und die Server aus der Domäne nehmen? Macht für mich beides keinen logischen Sinn an Hand der Faken und Informationsgrundlage.

Genau das, würde ich gerne vermeiden.
Was möchtest du vermeiden, das PAM einzuführen oder für ein PAM ein DR Plan erstellen?

Ich gehe davon aus, dass du deine Backupserver nicht durch LAPS konfiguriert hast, sondern ,mit lokalem Account mit sehr langem Passwort, das du in einem Passworttool gespeichert hast. Das Passworttool ist auch offline verfügbar.
Nein, steht ebenfalls im PAM.

@erikro
Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins.
Soweit würde ich gar nicht gehen wollen. Man hat alles richtig gemacht, trotzdem spinnt die Software. Sehr unwahrscheinlich, aber meiner Meinung nach nicht 100% abwegig.
Bei solch einer Größe wissen in der Regel die AD Admins was sie tun. Solch eine Struktur betreut sich nicht von alleine. Da hast du ganz andere Herausforderungen und Probleme.

Bei Letzteren wird sicherlich nicht "blind" probiert, sondern Microsoft Support zur Hilfe gerufen. Weil da kann es schnell um die Existent eines Unternehmen gehen. Je nach Microsoft Vertrag erfolgt auch regelmäßig ein Check der Umgebung mit AD Experten. Was hingegen bei einem KMU sicherlich nicht der Fall sein wird. Da wird gerne mal "Live" getestet ohne Rücksicht auf Verluste.


Gruß,
Dani
erikro
erikro 28.05.2024 um 08:52:42 Uhr
Goto Top
Moin,

Zitat von @Dani:
@eriko
Ansonsten fällt mir kein Szenario ein, bei dem das AD so kaputt geht, dass es nicht wiederherstellbar ist. Nenne mir doch mal eins.
Soweit würde ich gar nicht gehen wollen. Man hat alles richtig gemacht, trotzdem spinnt die Software. Sehr unwahrscheinlich, aber meiner Meinung nach nicht 100% abwegig.
Bei solch einer Größe wissen in der Regel die AD Admins was sie tun. Solch eine Struktur betreut sich nicht von alleine. Da hast du ganz andere Herausforderungen und Probleme.

Eben. Deshalb fällt mir auch kein Szenario ein und der TO kann auch keins nennen. Man kann ja viel über MS meckern, aber das AD ist wirklich ausgereift und stabil. Wenn man das vernünftig aufbaut und gut pflegt, dann läuft das ohne Probleme. BTW: Das größte AD, mit dem ich je gearbeitet habe, umfasste ca. 50.000 User und ca. 30.000 Maschinen. face-wink Da hatte man dann wirklich auch >1.000 VMs.

Liebe Grüße

Erik
BPeter
Lösung BPeter 28.05.2024 um 12:32:41 Uhr
Goto Top
Danke für eure Einschätzungen.
Wenn alle Stricke reißen würden, kann man immer noch mit einer CD die lokale Admin-Kennung zurücksetzen.

VG
Peter