Local Admin Password Solution (LAPS)

Unsere Local Administrator Password Solution (LAPS) wurde entwickelt, um das Problem identischer Konten in Ihrer Umgebung für Benutzersupport oder Rechteerweiterung zu lösen. LAPS erstellt starke Passwörter für lokale Konten, die sicher in eigenem Azure Key Vault. Für die Prüfung/Auditierung haben Sie die Möglichkeit, eine Application Insights Instanz oder einen Log Analytics Workspace.

Voraussetzungen

Bevor Sie mit LAPS beginnen können, müssen Sie die folgenden Voraussetzungen erfüllen:

• Einrichten von Application Insights ODER Log Analytics Workspace

• LAPS-Kontotypen explizit über Gruppen- (oder Benutzer-)Einstellungen aktivieren

Wir betrachten beide unten.

Protokollierung

Application Insights und Log Analytics spielen eine wichtige Rolle bei der Verwendung von LAPS. Die durch LAPS ausgelösten Passwortanforderungen werden von RealmJoin protokolliert und an die konfigurierte Application Insights-Instanz oder den Log Analytics Workspace weitergeleitet. Auf diese Weise haben Sie vollständige Einsicht, wer Passwörter abruft.

Es muss nur eine Form der Protokollierung gewählt werden – entweder Application Insights oder Log Analytics. Die Protokollierung ist optional beim Einrichten von LAPS und kann übersprungen werden, wenn Ihre Organisation diese Informationen nicht benötigt.

Weitere Details finden Sie in unseren Application Insights als auch für Log Analytics Artikeln.

Gruppeneinstellungen

LAPS unterstützt die folgenden globalen Einstellungen.

Die folgenden Kontotypen werden unterstützt.

Jeder Kontotyp kann unabhängig mit den folgenden gemeinsamen Einstellungen konfiguriert werden. Einige Typen haben spezielle Einstellungen, die in ihrem jeweiligen Abschnitt beschrieben sind.

Passwort Erneuerung

Standardmäßig werden wirklich zufällige Passwörter basierend auf den Einstellungen generiert PasswordCharSet als auch für PasswordLength. Der Standardzeichensatz wurde so gewählt, dass ähnlich aussehende Zeichen wie I1l als auch für O0. Für die Erzeugung wird der kryptografische Zufallszahlengenerator von Windows verwendet, um hochwertige Zufälligkeit sicherzustellen.

Wirklich zufällige Passwörter können mühsam im Umgang sein, weshalb auch spezielle voreingestellte Vorlagen unterstützt werden.

• Vorgabe 1 ⇒ [1 Großbuchstabe][3 Kleinbuchstaben][4 Ziffern]

  • Tuci9325

  • Lnso5050

  • Khwn2174

• Vorgabe 2 ⇒ Key-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]-[6 Ziffern]

  • Einstellung PasswordLength wird unterstützt! Die Einstellung bestimmt die Anzahl der Ziffernblöcke.

  • Key-012993-230956-976475 (PasswordLength = 3)

  • Key-497254-679158-631224-278319 (PasswordLength = 4)

  • Key-506179-861369-706482-613244-730371-097689-404350-340073 (Standard)

• Vorgabe 3 ⇒ [Wort]-[Wort]-[Wort]-[Wort]-[Wort]-[Wort] generiert aus Eff Long List​

  • Einstellung PasswordLength wird unterstützt! Die Einstellung bestimmt die Anzahl der Wörter.

  • Exciting-Unearth-Cried-87 (PasswordLength = 3)

  • Neurology-Astute-Debate-Marshy-15 (PasswordLength = 4)

  • Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26 (Standard)

Konto-Neuerstellung

Nachdem ein Konto verwendet wurde, kann RealmJoin so konfiguriert werden, dass das Konto gelöscht und anhand der MaxStaleness Einstellung neu erstellt wird. Auf diese Weise sind Konten immer sauber. Wenn nicht konfiguriert, werden Konten nie neu erstellt und bleiben unbegrenzt bestehen.

Konfliktvermeidung

Obwohl RealmJoin sein Bestes tut, um Namenskonflikte bei der Verwaltung der Konten auf einem Gerät zu vermeiden, besteht immer die Möglichkeit, dass Konten bereits auf einem Gerät existieren und Konflikte verursachen. Aus diesem Grund unterstützt die NamePattern Einstellung diese Token mit besonderer Bedeutung für RealmJoin. Die Token werden durch die angegebene Funktion und ihren Längenparameter nach dem Doppelpunkt transformiert.

• {HEX:8} ⇒ F4D027EF, B3C4F74E, ... (zufällige hexadezimale Zeichen)

• {DEC:6} ⇒ 506453, 066946, ... (zufällige dezimale Zeichen)

• {COUNT:2} ⇒ 01, 02, ... (Zähler, bleibt 01 wenn keine Konflikte bestehen)

Notfallkonto

Dieser Kontotyp ist Ihr Backup-Zugang zum Gerät, falls es katastrophal ausfällt. Er wird proaktiv erstellt. Auf diese Weise haben Sie immer Zugang zur Wiederherstellung. Wir empfehlen, ihn für Konto-Neuerstellung.

Beispiel

Schlüssel LocalAdminManagement.EmergencyAccount zu konfigurieren (für allgemeine Einstellungen siehe Gruppeneinstellungen)

Support-Konto

Dieser Kontotyp kann für die bedarfsorientierte Erstellung konfiguriert werden. Er ist für die Verwendung in einem begrenzten Zeitfenster von 12 Stunden im On-Demand-Modus vorgesehen.

Anforderungen für den On-Demand-Workflow:

• Der Modus wird aktiviert durch Setzen von "OnDemand": true.

• Ein Benutzer ist angemeldet

• Der RealmJoin-Agent läuft

• Das Gerät ist mit dem Internet verbunden

• Das Gerät kann das RealmJoin-Backend erreichen

Wenn es nicht im On-Demand-Modus ist, wird es proaktiv erstellt.

Beispiel

Schlüssel LocalAdminManagement.SupportAccount zu konfigurieren (für allgemeine Einstellungen siehe Gruppeneinstellungen)

Privilegiertes Konto

Dieser Kontotyp ist für Power-User gedacht, die regelmäßige, aber kontrollierte Administratorrechte auf ihren eigenen Geräten benötigen. Ein festes Ablaufdatum des Kontos kann angegeben werden (Ablaufdatum).

Erzwungene Passwortrotationen werden unterstützt:

1. 2021-11-20T12:34:56+01:00: Jeder explizite Zeitstempel im ISO-8601-Format. Mehrere Zeitstempel können angegeben werden.

2. DayAfterCreate: Nachdem das Konto erstellt wurde, wird das Passwort des Kontos geändert. Dies ist nützlich, wenn Benutzer Windows Hello für zusätzliche Anmeldeoptionen einrichten sollen.

3. Jährlich, Monatlich oder Wöchentlich: Das kürzere Intervall hat Vorrang (Wöchentlich > Monatlich > Jährlich). Wenn keine weiteren Bedingungen angegeben sind, sind die Standardwerte "1. Tag des Monats" für Monatlich oder "Montag" für Wöchentlich. Zusätzlich gilt, Jährlich als Standard das Datum der letzten Passwortsetzung + 365 Tage. Alle sieben Wochentage können angegeben werden. Wenn also Mittwoch als auch für Wöchentlich angegeben sind, wird das Passwort jeden Mittwoch geändert. Wenn Mittwoch als auch für Monatlich angegeben sind, wird das Passwort am ersten Mittwoch jedes Monats geändert. Die Kombination von Jährlich mit Wochentagen setzt die Frist auf den zuletzt möglichen angegebenen Wochentag kurz bevor 365 Tage verstrichen sind.

Beispiel

Schlüssel LocalAdminManagement.PrivilegedAccount zu konfigurieren (für allgemeine Einstellungen siehe Gruppeneinstellungen)

Zugriff auf Passwörter

Verwenden Sie das RealmJoin-Portal, um auf die Passwörter zuzugreifen.

Self-Service aktivieren

Benutzer können auf Konten zugreifen, die auf ihren eigenen Geräten erstellt wurden (sie sind "PrimaryUser"), wenn dies über die RealmJoin-Portal ab Version 2022.5.1aktiviert ist. Um dies zu aktivieren, definieren Sie eine Einstellung mit dem Schlüssel Allow.SelfLAPS. Diese Einstellung kann für Gruppen und Benutzer definiert werden. Wie bei allen Einstellungen, die mit Allow.* präfixiert sind, werden sie über den Benutzer und alle seine Gruppen mit einer UND-Verknüpfung zusammengeführt.

Der Wert kann auch ein reiner Boolean sein true/false. Dies kann als Platzhalter verwendet werden und umfasst jeden aktuellen und zukünftigen Kontotyp. Bitte beachten Sie, dass dies nur zum Deaktivieren des Zugriffs empfohlen wird (false).

Eine Beispielkonfiguration könnte so aussehen: