Local Account Management – Alternative zu Microsoft LAPS

Das Verwalten von den lokalen Administratorenkonten gehört zu den Standard Schutzmassnahmen gegen Cyberangriffe. Oft wird dafür Microsoft LAPS eingesetzt. BeyondTrust bietet mit ihren PAM Lösungen Privileged Remote Access (PRA) und Remote Support (RS) einen ganzheitlichen Schutz an, der über den Basisschutz von Microsoft LAPS geht. Was die Unterschiede und Mehrwerte sind, lesen Sie hier.


Wie funktioniert Microsoft LAPS?

Microsoft LAPS kann bei Domain Computern und Servern das Passwort von den lokalen Administratoren verwalten. Diese Informationen werden im Active Directory abgespeichert. Über die ACL kann definiert werden, wer Zugriff auf die Passwörter oder deren Zurücksetzung (Rotation) hat.


Wie verwaltet BeyondTrust die lokalen Administratoren?

Mit der Remote Support (RS) Lösung von BeyondTrust kann man die lokalen Administratoren von den Windows Clients verwalten. Die Verwaltung der lokalen Administratoren bei Windows Servern übernimmt die Privileged Remote Access (PRA) Lösung. In naher Zukunft wird bei beiden BeyondTrust Lösungen auch die Verwaltung von lokalen Linux Accounts möglich sein. Beide Lösungen wenden das gleiche Prinzip an. Damit das Management der lokalen Accounts funktioniert, wird auf dem Zielsystem ein Jump Client (Agent) installiert. Wer bereits die PRA oder RS Lösung einsetzt, der hat mit grosser Wahrscheinlichkeit die Jump Clients für die Fernzugriffe bereits auf den Zielsystemen verteilt. Durch die Jump Clients kann die PRA und die RS die lokalen Accounts verwalten und somit auch die Credential Rotation durchführen. Zusätzlich kann der Jump Client auch die Accounts bei den Windows Services verwalten und somit auch Credential Rotation durchführen. Dieser Artikel beschreibt die Angriffsfläche der Windows Services und wie die PRA die Accounts der Windows Services schützen kann.

Die lokalen Accounts, welche von der RS oder PRA verwaltet werden, sollten in Account Gruppen organisieret werden. Damit lässt sich steuern, ob die Credentials nach jeder Nutzung und / oder nach einem spezifischen Intervall rotiert werden sollen. Zudem zeichnet die PRA & RS alle Credential Rotations und deren Nutzung automatisch auf. Dadurch ist Nutzung sowie die automatische Passwort Rotation komplett nachvollziehbar.


Welchen Mehrwert bietet Privileged Remote Access (PRA) gegenüber LAPS?

Die PRA ist nicht nur eine Session Management Lösung, sondern auch eine Secret Management Lösung. Somit ist die PRA der geeignete Ort, um auch die lokalen Administratoren Accounts zu verwalten. Wenn notwendig und erlaubt, können die PRA Benutzer den lokalen Admin Account in ihrer Remotesession gleich verwenden ohne das Passwort über das Active Directory Users and Computer Snap-in auszuchecken. Dies gibt uns den grossen Security Mehrwert, dass bei der Nutzung des lokalen Admin Accounts diese Credentials nie durch den Client des Administrators fliessen. Stichwort: Segregation of Duties.


Welchen Mehrwert bietet Remote Support (RS) gegenüber LAPS?

Bisher hat man den Service Desk Mitarbeitern einen Domain User zur Verfügung gestellt, welcher auf allen Windows Clients lokaler Administrator ist. Diesen Account kann der Service Desk Mitarbeiter nutzen, wenn er auf den Clients erhöhte Berechtigungen benötigt. Die Clients gehören zu den Geräten, die am meisten exponiert sind. Wenn ein Angreifer eine Pass-the-Hash-Attacke auf den Client Administrator Account vom Service Desk Mitarbeiter durchführt, dann kann er die erbeuteten Rechte meist auch auf allen anderen Clients missbrauchen.

Wenn die lokalen Client Administratoren Accounts von der RS verwaltet werden, dann können die Service Desk Mitarbeiter in der Remote Session den lokalen Admin Account vom jeweiligen Client nutzen. Dies hat den Vorteil, dass der Angreifer bei einer Pass-the-Hash-Attacke nur ein Hash besitzt, der auf dessen Client genutzt werden kann. Zudem wird das Passwort, und somit auch der Hash, direkt nach jeder Remote Session sofort rotiert. Wie bei der PRA haben wir auch bei der RS den Segregation of Duties Vorteil: Die Credentials der lokalen Administratoren fliessen nicht durch den Client des Service Desk Mitarbeiters. Da alle Sessions vom Service Desk von der RS aufgezeichnet werden, hat man auch hier die komplette Nachvollziehbarkeit und kann aufzeigen welcher Service Desk Mitarbeiter den lokalen Admin Account verwendet hat.


Der Beitrag Lokale Accounts verwalten – eine sichere Alternative zu Microsoft LAPS erschien zuerst auf Tec-Bite.