Cyber Response Team
LAPS (Local Administrator Password Solution)
1. Introductie
In de hedendaagse digitale wereld waarin lokale besturen opereren, is cybersecurity van cruciaal belang om gevoelige informatie en systemen te beschermen. Een essentieel onderdeel van deze bescherming is het beheren van wachtwoorden voor lokale administrator accounts op Windows-systemen. Hier komt LAPS (Local Administrator Password Solution) van Microsoft in beeld. Dit artikel biedt een diepgaand overzicht over LAPS, waarom het nodig is, en hoe lokale besturen het kunnen implementeren.
2. Wat is LAPS?
LAPS is een gratis beveiligingstool van Microsoft die helpt bij het beheren van de wachtwoorden van lokale administrator accounts op Windows-computers. Het zorgt ervoor dat elk beheerde computer een uniek en willekeurig gegenereerd wachtwoord heeft voor het lokale administrator account, dat centraal wordt opgeslagen in Active Directory (AD) en regelmatig wordt gewijzigd. Deze aanpak helpt bij het verminderen van het risico op pass-the-hash aanvallen en andere soorten inbreuken waarbij lokale administrator rechten worden misbruikt.
LAPS is geen oplossing voor het beheer van andere geprivilegieerde accounts, zoals Enterprise Administrators, Domein Administrators, Backup Operatoren, etc. Hiervoor kan gebruik worden gemaakt van ingebouwde oplossingen of oplossingen van derden (zie 6. Alternatieve oplossingen).
3. Waarom is LAPS belangrijk?
LAPS biedt diverse voordelen:
Vermindert het risico op laterale bewegingen: Door unieke wachtwoorden toe te wijzen aan elk administrator account, wordt het moeilijker voor aanvallers om van de ene werkstation/server naar de andere te bewegen binnen het netwerk.
Minimaliseert beheerinspanningen: Handmatig beheren van lokale administrator-wachtwoorden op een groot aantal systemen is onpraktisch en foutgevoelig. LAPS automatiseert dit proces, waardoor het beheer efficiënter en minder foutgevoelig wordt.
Verbetert naleving van beveiligingsbeleid: Veel organisaties, inclusief lokale besturen, zijn onderworpen aan strikte regelgeving wat betreft informatiebeveiliging. LAPS helpt bij het voldoen aan deze vereisten door een robuust mechanisme te bieden voor het beheren van deze wachtwoorden.
4. Hoe implementeer je LAPS?
De implementatie van LAPS vereist enkele stappen, die technisch van aard kunnen zijn. Hier is een overzicht van het proces:
Voorbereiding van de omgeving:
Zorg ervoor dat je over de vereiste rechten beschikt om wijzigingen aan te brengen in AD en om software te installeren op doelsystemen.
Download de LAPS-software van de officiële Microsoft-website.
Installatie en configuratie:
Installeer de LAPS Management Tools op een beheerserver (bv. Domein controller). Deze tools omvatten de LAPS UI, PowerShell-module, en GPO Client-side Extension.
Update het Active Directory-schema om de LAPS-specifieke attributen toe te voegen. Dit kan gedaan worden met de PowerShell-module die bij LAPS wordt geleverd.
Delegatie van rechten:
Configureer de juiste rechten in AD om te bepalen welke gebruikers of groepen toegang hebben tot de wachtwoorden van lokale administrator accounts.
Implementatie van Group Policy:
Maak en configureer Group Policy Objects (GPO's) om LAPS-instellingen toe te passen op de doelsystemen. Dit omvat het instellen van het wachtwoordbeleid, zoals de complexiteit en vernieuwingsfrequentie van de wachtwoorden.
Installatie van de LAPS-client op doelsystemen:
De LAPS-client moet worden geïnstalleerd op elke Windows-computer waarvan je het lokale beheerderswachtwoord wilt beheren. Dit kan handmatig of via softwareverdelingstools (bv. SCCM, Intune, etc.).
Monitoring en onderhoud:
Na de implementatie is het belangrijk om de werking van LAPS te monitoren en te zorgen voor regelmatig onderhoud, zoals het bijwerken van de software en het controleren van de toegangsrechten.
Voor een succesvolle implementatie van LAPS is grondige planning en voorbereiding vereist, evenals een goede kennis van Active Directory en Group Policy management. Het wordt sterk aanbevolen om de officiële documentatie van Microsoft en best practices te volgen bij het implementeren van LAPS.
5. Implementatie van LAPS met Intune
Indien u gebruik maakt van Intune kan u via het volgende proces LAPS implementeren:
LAPS inschakelen in Microsoft Entra:
Meld u aan bij het Microsoft Entra beheercentrum als Cloudapparaatbeheerder.
Navigeer naar 'Identiteit > Apparaten > Overzicht > Apparaatinstellingen'.
Selecteer 'Ja' voor de optie 'Local Administrator Password Solution (LAPS) inschakelen' en klik op 'Opslaan'.
Een LAPS-beleid maken in Intune:
Log in op het Microsoft Intune-beheercentrum en ga naar 'Endpointbeveiliging > Accountbeveiliging', en kies vervolgens 'Beleid maken'.
Stel het platform in op 'Windows 10 en hoger', stel het profiel in op 'Local Administrator Password Solution (Windows LAPS)' en selecteer 'Maken'.
Op het tabblad 'Basis' voert u de volgende gegevens in:
Naam: Geef een beschrijvende naam voor het profiel die gemakkelijk te identificeren is.
Beschrijving: Voeg een korte beschrijving van het profiel toe.
LAPS-beleidsinstellingen configureren in Intune:
Back-updirectory: Configureer naar welke directory het wachtwoord van de lokale beheerdersaccount wordt geback-upt.
Wachtwoordleeftijd dagen: Stel de maximale leeftijd van het wachtwoord in. Standaard is dit 30 dagen, met een minimum van 1 dag en een maximum van 365 dagen.
Naam beheerdersaccount: Stel de naam van de beheerde lokale beheerdersaccount in.
Wachtwoordcomplexiteit: Configureer de complexiteit van het wachtwoord van de beheerde lokale beheerdersaccount.
Het Intune LAPS-beleid toewijzen aan Windows-apparaten
Zodra je de LAPS-instellingen hebt geconfigureerd, is het tijd om het beleid toe te wijzen aan Windows apparaten. We raden aan om het beleid eerst toe te wijzen aan een paar testgroepen en het vervolgens uit te breiden naar de resterende systemen.Selecteer op de pagina 'Scope Tags' de gewenste scope tags.
Op het tabblad 'Toewijzingen' selecteert u de groepen die dit beleid moeten ontvangen en klikt u op 'Volgende'.
Controleer alle instellingen op de pagina 'Review + Create' en selecteer 'Create'.
De Intune-beleidssynchronisatie voor Windows-apparaten starten
Wacht tot het LAPS-beleid is toegepast en de apparaten zich aanmelden bij de Microsoft Intune-service om de beleidsregels te ontvangen. Apparaten moeten online zijn om de beleidsregels te ontvangen. U kunt de synchronisatie van Intune-beleidsregels ook forceren met methoden zoals PowerShell.
6. Referenties
Microsoft. "Local Administrator Password Solution (LAPS)." https://learn.microsoft.com/nl-be/windows-server/identity/laps/laps-overview
Microsoft. “Microsoft Intune beheert op beveiligde wijze identiteiten, apps en apparaten.” https://learn.microsoft.com/nl-nl/mem/intune/fundamentals/what-is-intune
Microsoft. “Manage Windows LAPS policy with Microsoft Intune“ https://learn.microsoft.com/en-us/mem/intune/protect/windows-laps-policy
7. Alternatieve oplossingen
Buiten de oplossing die Microsoft biedt, zijn er nog andere alternatieven voor Privileged Access Management (PAM) waarvan u gebruik kunt maken.
Dit is een document voor publiek gebruik.