Was ist LAPS und welche Vorteile bietet es über Entra ID?

LAPS (Local Administrator Password Solution) ermöglicht eine sichere Verwaltung lokaler Administratorkennwörter auf Windows-Geräten. In Kombination mit Microsoft Entra (ehemals Azure AD) und Microsoft Intune wird die Verwaltung dieser Kennwörter zentralisiert und vereinfacht. Dadurch erhöht sich die Sicherheit, da Passwörter regelmäßig automatisch geändert und sicher in der Cloud gespeichert werden.

In diesem Beitrag zeigen wir euch Schritt für Schritt, wie ihr LAPS über Microsoft Endpoint Manager (Intune) einrichtet und effizient verwaltet.

1. LAPS in Entra ID aktivieren

Zunächst müsst ihr LAPS in Microsoft Entra aktivieren. Dazu geht ihr wie folgt vor:

1. Öffnet das Microsoft Entra Admin Center.

2. Navigiert zu Geräte > Alle Geräte und wählt die Geräteeinstellungen aus.

3. Aktiviert die Option „Lokale Microsoft Entra-Administratorkennwortlösung (LAPS) aktivieren“.

Ihr habt jetzt zwei Optionen:

• Built-in Administrator nutzen: Dieser ist standardmäßig deaktiviert und kann über ein Intune-Konfigurationsprofil aktiviert und umbenannt werden. Die entsprechende Einstellung findet ihr unter: Einstellungskatalog > Sicherheitsoptionen > “Konten: Administratorkontostatus aktivieren”.

• Neuen Administrator erstellen: In unserem Beispiel erstellen wir einen neuen Administrator mithilfe eines PowerShell-Skripts, da die Aktivierung des Built-in Administrators bei einigen Kunden nicht immer reibungslos funktionierte.

2. Neuen lokalen Administrator per PowerShell erstellen

Um einen neuen lokalen Administrator zu erstellen, ladet euch unser PowerShell-Skript von GitHub herunter. Das Skript erstellt einen neuen Administrator „LAPSAdmin“ mit einem zufällig generierten, komplexen Passwort.

# Lukasz Hauptman lukasz.de | 2024
# Create local administrator account

# Setzt den Benutzernamen und das Passwort für den neuen Administrator
$Username = "LAPSAdmin"  # Ändere diesen Namen auf den gewünschten Administrator-Benutzernamen
$SecurePassword = ConvertTo-SecureString -String (-join ((33..126) | Get-Random -Count 32 | % {[char]$_})) -AsPlainText -Force

# Prüft, ob der Benutzer bereits existiert
$User = Get-LocalUser -Name $Username -ErrorAction SilentlyContinue

if ($User -eq $null) {
    # Erstellt den neuen lokalen Benutzer
    New-LocalUser -Name $Username -Password $SecurePassword -FullName $Username -Description "Entra ID LAPS Administrator" -PasswordNeverExpires

    # Fügt den neuen Benutzer der lokalen Administratorengruppe hinzu
    Add-LocalGroupMember -SID S-1-5-32-544 -Member $Username

    Write-Host "User $Username has been successfully created and added to the administrators group."
} else {
    Write-Host "User $Username already exists."
}

Hier die Schritte:

1. Benutzername festlegen: Der Standardbenutzername im Skript ist „LAPSAdmin“. Ihr könnt diesen Namen jedoch nach Belieben anpassen.

2. Benutzer erstellen: Das Skript prüft, ob der Benutzer bereits existiert und erstellt ihn nur, wenn er noch nicht vorhanden ist. Anschließend wird der Benutzer zur lokalen Administratorengruppe hinzugefügt.

Das Skript kann über Microsoft Intune auf alle gewünschten Geräte verteilt werden. So geht’s:

1. Wechselt in das Microsoft Intune Admin Center.

2. Geht zu Geräte > Windows > Skripts und Wartungen > Plattformscripts.

3. Ladet das Skript hoch und weist es einer Gerätegruppe zu.

4. Bei den Skripteinstellungen wählt ihr:

• „Dieses Skript mit den Anmeldeinformationen des angemeldeten Benutzers ausführen“: Nein

• „Skriptsignaturprüfung erzwingen“: Ja

• „Skript im 64-Bit-PowerShell-Host ausführen“: Ja

3. LAPS in Intune konfigurieren

Nachdem ihr den neuen Administrator angelegt habt, könnt ihr LAPS in Intune konfigurieren:

1. Wechselt zum Microsoft Intune Admin Center und navigiert zu Endpunktsicherheit > Kontoschutz.

2. Erstellt eine neue Richtlinie und wählt als Plattform Windows. Weist das Profil „Local admin password solution (Windows LAPS)“ zu.

3. In den Konfigurationseinstellungen setzt ihr folgende Optionen:

• Sicherungsverzeichnis: „Sichert das Kennwort in Azure AD“

• Kennwortalter: „7 Tage“

• Name des Administratorkontos: „LAPSAdmin“ (wie im Skript festgelegt)

• Kennwortkomplexität: Großbuchstaben, Kleinbuchstaben und Zahlen

• Kennwortlänge: „14“

• Aktionen nach der Authentifizierung: „Kennwort zurücksetzen nach Ablauf“

4. Speichert die Konfiguration und weist die Richtlinie einer Windows-Gerätegruppe zu.

Sobald die neuen Richtlinien auf die Geräte angewendet wurden, könnt ihr die administrativen Passwörter über das Intune oder Entra Admin Center abrufen. Geht dafür zu Geräte > Alle Geräte > Wiederherstellung des lokalen Administratorkennworts. Hier seht ihr alle Windows-Geräte, die mit LAPS verwaltet werden.

Fazit:

Die Einrichtung von LAPS über Microsoft Entra und Intune verbessert die Sicherheit und Verwaltung lokaler Administrator-Konten erheblich. Mit einem zentralen Passwortmanagement über die Cloud könnt ihr sicherstellen, dass alle Geräte stets sichere und regelmäßig wechselnde Passwörter haben.