Jorrit Wensink
Systems Specialist
Niet nieuw, wel vaak vergeten: Microsoft LAPS
Zijn alle local administrator-wachtwoorden in uw organisatie uniek en worden deze periodiek gewijzigd? Als u deze vragen met ‘nee’ beantwoordt, dan maakt u hoogstwaarschijnlijk geen gebruik van Microsoft Local Administrator Password Solution (LAPS). En dat is een gemiste kans!
Waar wij als systeemspecialisten een wachtwoordbeleid afdwingen voor onze gebruikers- en beheerdersaccounts, gebeurt dat vaak genoeg niet voor de local administrator-accounts. Iedereen is het er toch over eens dat er geregeld een nieuw wachtwoord moet worden ingesteld. Welke afslag hebben sommige organisaties dan gemist?
Pass-the-Hash
In de meeste organisaties rollen de ICT-afdelingen besturingssystemen uit met behulp van een template. Ze configureren daarin het wachtwoord van het local administrator-account. Zo worden alle systemen voorzien van hetzelfde standaard wachtwoord en dit wordt vervolgens zelden meer gewijzigd.
Het gevolg is dat het wachtwoord algemeen bekend raakt binnen uw ICT-afdeling en vaak ook ver daarbuiten. Dit is uiteraard niet gewenst en we weten dat hackers hier gretig gebruik van maken. Met de techniek genaamd ‘Pass-the-Hash’ hoeven zij zelfs het wachtwoord niet eens te weten. Vanaf een enkele computer steelt de hacker de hash van het wachtwoord. Aangezien deze hash op elke computer hetzelfde is, kan deze kinderlijk eenvoudig worden gebruikt om van de ene naar de andere computer te ‘hoppen’ en zo domain administrator credentials of gevoelige informatie te bemachtigen.
Geautomatiseerd periodiek gewijzigd
In de inleiding stel ik dat het een gemiste kans is als u LAPS van Microsoft nog niet gebruikt. In 2015 heeft Microsoft namelijk al de oplossing Local Administrator Password Solution (LAPS) uitgebracht. Hiermee wordt het local administrator-wachtwoord van alle computers binnen het domein – geautomatiseerd – periodiek gewijzigd en voorzien van een uniek wachtwoord. Deze simpele oplossing gebruikt Active Directory om de wachtwoorden in op te slaan en een Group Policy client side-extension (CSE) om alle beheertaken uit te voeren. Deze CSE-extension moet dan wel op alle beheerde computers worden geïnstalleerd.
Wat is er nodig om LAPS te implementeren?
- Uitbreiding Active Directory-schema
Er worden twee attributen aan computerobjecten toegevoegd: één voor het wachtwoord en de andere voor datum en tijdstip waarop het wachtwoord verloopt en weer moet worden gewijzigd. - Toevoegen Group Policy administratieve template
Hiermee kan vervolgens de Group Policy worden gemaakt om LAPS in te schakelen en te configureren. - Autorisaties toekennen
Elke computer dient rechten te krijgen om het wachtwoord weg te kunnen schrijven in zijn eigen computerobject. Daarnaast dienen rechten te worden toegekend aan gebruikers/groepen om de wachtwoorden uit te kunnen lezen en te resetten. - Installatie van Group Policy CSE op alle computers en servers
Geautoriseerde gebruikers kunnen vervolgens de local administrator-wachtwoorden uitlezen uit Active Directory met Powershell of met de optioneel te installeren LAPS UI.
Gemakkelijk en veilig
LAPS is eenvoudig gefaseerd in te voeren door eerst de LAPS Group Policy op OTA Organizational Units (OU’s) te activeren en vervolgens pas op Productie OU’s. Eenmaal geïmplementeerd doet LAPS geautomatiseerd zijn werk en heeft u er eigenlijk geen omkijken meer naar. Toch mooi dat uw ICT-afdeling weer een kwetsbaarheid heeft gemitigeerd.
Onze Microsoft specialisten hebben vaker deze handige tips. Wilt u eens met ze sparren? Neem dan contact met ons op via [email protected] of bel 088 1263500.
Meer nuttige informatie
Onze experts helpen je graag om jouw medewerkers altijd en overal veilig te laten werken. Met elk toestel. Of het nu is om thuiswerkers een meer betrouwbare omgeving te bieden of om met mobiel werken een nieuwe boost te geven aan je organisatie, onze experts staan klaar.
