Die „Local Administrator Password Solution“ (Lokale Administratorkennwortlösung oder kurz LAPS) trägt mit starken und einmaligen Kennwörtern, die auch regelmäßig geändert werden können, deutlich zur Netzwerksicherheit bei. Da diese Kennwörter allerdings zentral in Active Directory gespeichert werden, besteht die Gefahr, dass sich nicht autorisierte Anwender Zugriff auf das Kennwortdepot verschaffen und sich an fremden Arbeitsstation anmelden. Da es bei LAPS keine integrierte Auditing-/Überwachungsfunktion gibt, müssen Drittanbieteranwendungen zum Auditieren der Benutzer eingesetzt werden, die Zugriff auf lokale Administratorkennwörter genießen.
ManageEngine ADAudit Plus, eine ausgereifte AD-Echtzeitauditinglösung, bietet eine deutlich einfachere Alternative als native AD-Mittel.
Dieser Artikel zeigt die Möglichkeiten zum Auditieren des LAPS-Kennwortzugriffs mit Windows PowerShell und ADAudit Plus auf.
PowerShell kann zum Auditieren des LAPS-Kennwortzugriffs eingerichtet werden. Dabei werden Benutzer auditiert/überwacht, die Zugriff auf LAPS-Kennwörter in Active Directory genießen. Die entsprechenden Angaben werden unter der Ereignis-ID 4662 in der AD-Ereignisanzeige aufgezeichnet.
Der LAPS-Kennwortbericht nennt die Benutzer, die Kennwörter im ausgewählten Zeitraum abriefen. Im Normalfall sollte lediglich nur eine kleine Gruppe autorisierter Benutzer (gewöhnlich Netzwerkadministratoren) Zugriff auf die Kennwörter erhalten. Regelmäßiges Prüfen des Berichtes kann dafür sorgen, dass lediglich dazu autorisierte Benutzer Zugriff auf die Daten erhalten.
Mit diesen Einschränkungen müssen Sie beim PowerShell-Einsatz zum LAPS-Auditing rechnen:
ADAudit Plus ist ein ausgereiftes Active-Directory-Auditing- und -berichtswerkzeug, welches das Netzwerk kontinuierlich überwacht und einsatzfertige Berichte zu sämtlichen AD-Objekten liefert. Darüber hinaus alarmiert ADAudit Plus Administratoren in Echtzeit, sobald verdächtige Aktivitäten im Netzwerk erkannt werden. Es gibt einen eigenen LAPS-Bereich, Berichte können im Handumdrehen nach Bedarf erzeugt und abgerufen werden.