profielfoto, man, lach, donkere ogen, blauwe trui, armen over elkaar

Jorrit Wensink

Systems Specialist

Niet nieuw, wel vaak vergeten: Microsoft LAPS

Zijn alle local administrator-wachtwoorden in uw organisatie uniek en worden deze periodiek gewijzigd? Als u deze vragen met ‘nee’ beantwoordt, dan maakt u hoogstwaarschijnlijk geen gebruik van Microsoft Local Administrator Password Solution (LAPS). En dat is een gemiste kans!

Waar wij als systeemspecialisten een wachtwoordbeleid afdwingen voor onze gebruikers- en beheerdersaccounts, gebeurt dat vaak genoeg niet voor de local administrator-accounts. Iedereen is het er toch over eens dat er geregeld een nieuw wachtwoord moet worden ingesteld. Welke afslag hebben sommige organisaties dan gemist?

Pass-the-Hash

In de meeste organisaties rollen de ICT-afdelingen besturingssystemen uit met behulp van een template. Ze configureren daarin het wachtwoord van het local administrator-account. Zo worden alle systemen voorzien van hetzelfde standaard wachtwoord en dit wordt vervolgens zelden meer gewijzigd.

Het gevolg is dat het wachtwoord algemeen bekend raakt binnen uw ICT-afdeling en vaak ook ver daarbuiten. Dit is uiteraard niet gewenst en we weten dat hackers hier gretig gebruik van maken. Met de techniek genaamd ‘Pass-the-Hash’ hoeven zij zelfs het wachtwoord niet eens te weten. Vanaf een enkele computer steelt de hacker de hash van het wachtwoord. Aangezien deze hash op elke computer hetzelfde is, kan deze kinderlijk eenvoudig worden gebruikt om van de ene naar de andere computer te ‘hoppen’ en zo domain administrator credentials of gevoelige informatie te bemachtigen.

 

Geautomatiseerd periodiek gewijzigd

In de inleiding stel ik dat het een gemiste kans is als u LAPS van Microsoft nog niet gebruikt. In 2015 heeft Microsoft namelijk al de oplossing Local Administrator Password Solution (LAPS) uitgebracht. Hiermee wordt het local administrator-wachtwoord van alle computers binnen het domein – geautomatiseerd – periodiek gewijzigd en voorzien van een uniek wachtwoord. Deze simpele oplossing gebruikt Active Directory om de wachtwoorden in op te slaan en een Group Policy client side-extension (CSE) om alle beheertaken uit te voeren. Deze CSE-extension moet dan wel op alle beheerde computers worden geïnstalleerd.

Wat is er nodig om LAPS te implementeren?

  • Uitbreiding Active Directory-schema
    Er worden twee attributen aan computerobjecten toegevoegd: één voor het wachtwoord en de andere voor datum en tijdstip waarop het wachtwoord verloopt en weer moet worden gewijzigd.
  • Toevoegen Group Policy administratieve template
    Hiermee kan vervolgens de Group Policy worden gemaakt om LAPS in te schakelen en te configureren.
  • Autorisaties toekennen
    Elke computer dient rechten te krijgen om het wachtwoord weg te kunnen schrijven in zijn eigen computerobject. Daarnaast dienen rechten te worden toegekend aan gebruikers/groepen om de wachtwoorden uit te kunnen lezen en te resetten.
  • Installatie van Group Policy CSE op alle computers en servers

Geautoriseerde gebruikers kunnen vervolgens de local administrator-wachtwoorden uitlezen uit Active Directory met Powershell of met de optioneel te installeren LAPS UI.

Gemakkelijk en veilig

LAPS is eenvoudig gefaseerd in te voeren door eerst de LAPS Group Policy op OTA Organizational Units (OU’s) te activeren en vervolgens pas op Productie OU’s. Eenmaal geïmplementeerd doet LAPS geautomatiseerd zijn werk en heeft u er eigenlijk geen omkijken meer naar. Toch mooi dat uw ICT-afdeling weer een kwetsbaarheid heeft gemitigeerd.

Meer nuttige informatie

Onze experts helpen je graag om jouw medewerkers altijd en overal veilig te laten werken. Met elk toestel. Of het nu is om thuiswerkers een meer betrouwbare omgeving te bieden of om met mobiel werken een nieuwe boost te geven aan je organisatie, onze experts staan klaar.

Cookies op Fondo
Wij en derden gebruiken cookies op onze website. We gebruiken cookies voor statistische, voorkeur en marketing doeleinden. Google Analytics cookies zijn geanonimiseerd. Je kan je voorkeuren wijzigen door op ‘Verander opties’ te klikken. Door op ‘Accepteren’ te klikken accepteer je het gebruik van alle cookies zoals beschreven in onze privacy-statement.
Noodzakelijk
Noodzakelijke cookies helpen een website bruikbaarder te maken, door basisfuncties als paginanavigatie en toegang tot beveiligde gedeelten van de website mogelijk te maken. Zonder deze cookies kan de website niet naar behoren werken.
Voorkeur
Voorkeurscookies zorgen ervoor dat een website informatie kan onthouden die van invloed is op het gedrag en de vormgeving van de website, zoals de taal van uw voorkeur of de regio waar u woont.
Statische
Statistische cookies helpen eigenaren van websites begrijpen hoe bezoekers hun website gebruiken, door anoniem gegevens te verzamelen en te rapporteren.
Marketing
Marketingcookies worden gebruikt om bezoekers te volgen wanneer ze verschillende websites bezoeken. Hun doel is advertenties weergeven die zijn toegesneden op en relevant zijn voor de individuele gebruiker. Deze advertenties worden zo waardevoller voor uitgevers en externe adverteerders.
Verander opties