AD-Security: Windows-LAPS

Ronny Böttcher

Microsoft-Systemadministrator seit 2007 und seit 2021 als IT-Consultant bei Bechtle in Deutschland am Standort Mannheim; alle bisherigen Stationen siehe bei "Über mich". In seiner Freizeit bei der Feuerwehr und Modellbahner, zudem gerne am Kochen/Grillen - oder am Essen 😁

3 Antworten

  1. Milan sagt:

    Moin,
    du hast Windows Laps nun auch für Server vorgesehen.
    Ich habe das auch schon umgesetzt, habe aber mittlerweile Zweifel.
    Szenario: Ransomware (alles inkl. DC betroffen) -> es wird festgestellt, ein paar Server waren vor 6 Monaten nicht betroffen, halten aber geringfügig Daten, die sich in den letzten 6 Monaten geändert haben könnten. Sprich ich würde die gerne aus dem Backup widerherstellen. Wenn ich das mache, fliegt meiner Erfahrung nach, jeder Computer aus der Domäne. Ohne das vor 6 Monaten aktive lokale Administrator Passwort komme ich also nicht weiter. Das setzt natürlich voraus, dass ich als Zyklus für die Passwortänderung 6 Monate eingestellt habe. Du bist da deutlich restriktiver mit deinen 7 Tagen. Hast du dir dazu Gedanken gemacht. Ich stehe gerade am Scheideweg, kurz davor LAPS für die Server wieder zu deaktivieren oder aber jemand kann mir ins Gewissen reden 😀 Ich bin dankbar für jeden Input 🙂

    *Im ersten Kommentar war eine falsche E-Mail Adresse hinterlegt

    • Hallo Milan,

      vielen Dank für deinen Kommentar!

      Das ist eine interessante Frage.
      Grundsätzlich sollten natürlich in erster Linie Maßnahmen ergriffen werden, sodass eine Ransomware frühzeitig erkannt wird bzw. bei Verschlüsselung fällt das in der Regel innerhalb von paar Stunden auf, nicht erst nach Monaten – eine Erfahrung aus Kunden-/Bekanntenkreis 😉
      In dem Fall hier wäre zu überlegen, ob man aus dem Backup tatsächlich die gesamte VM nimmt oder doch nur die (bereinigten) Daten. Oder man stellt sowohl diesen Server als auch die DCs in einem separaten Netzwerk her, kann sich dann mit AD-Credentials anmelden und diesen Server aus der AD rausnehmen, anschließend aus dem separaten Netzwerk in das normale Netzwerk transferieren und dort in die aktive AD wieder aufnehmen.
      Eine andere Möglichkeit wäre das lokale Admin-Kennwort aus der wiederhergestellten VM zurückzusetzen – dazu gibt es Drittanbieter-BootCDs, welche die SAM-Datenbank verändern können. Ob das möglich ist hängt dann wiederrum ab, ob Bitlocker aktiv ist oder nicht.
      Ich denke das ist ein Thema, was man im Gesamten planen muss. LAPS sollte ja dafür eine Lösung sein, dass man nicht zwangsläufig mit dem eigenen Account volle Admin-Rechte auf einem Gerät (Client/Server) braucht.

      Viele Grüße
      Ronny

  1. 1. Juni 2023

    […] April 2023 bietet Microsoft nun für moderne Betriebssysteme das LAPS nativ an. Im Artikel AD-Security: Windows-LAPS wird die Umstellung bzw. der Parallelbetrieb für ältere Betriebssysteme […]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

DSGVO Cookie Consent mit Real Cookie Banner