Lokale Admin-Passwörter in der Windows-Domäne verwalten

Das lokale Admin-Passwort ist in vielen Windows-Domänen auf allen Clients identisch. Mit dem Tool LAPS verwaltet Active Directory die lokalen Passwörter.

Artikel verschenken

6

21.06.2019, 15:45 Uhr

Lesezeit: 10 Min.

c't Magazin

Von

Jan Mahn

Software wird über eine Verteil-Infrastruktur installiert, Updates werden automatisch eingespielt und alle Einstellungen kommen per Gruppenrichtlinie – in dieser perfekten Welt müsste sich der Windows-Admin an einem Client-PC in der Domäne niemals lokal anmelden. In der Praxis ist es leider immer mal wieder nötig – zum Beispiel, um im Falle eines Netzwerkproblems nach dem Fehler forschen zu können.

Daher lässt sich der Admin als Hintertür den lokalen Benutzer "Administrator" offen und vergibt ein Kennwort, gern für das ganze Haus das gleiche, und dokumentiert es an sicherer Stelle an der Pinnwand im Büro. In großen Umgebungen passiert das gern schon während der automatisierten Installation. Die Nachteile sind offensichtlich: Verlässt ein Admin das Unternehmen, der das Universalkennwort kennt, wird wohl niemand loslaufen und auf allen Clients ein neues Admin-Kennwort einrichten. Hat ein Unbefugter den Notizzettel gefunden, fehlt es typischerweise ebenso an einer probaten Reaktion.

Naheliegend ist es daher, den lokalen Account per Gruppenrichtlinie einzurichten und das Kennwort zu vergeben. Von diesem Verfahren rät Microsoft aber explizit ab – das Kennwort landet in einer XML-Datei im Netzlaufwerk "SYSVOL" auf dem Domaincontroller und wird mehr aus kosmetischen Gründen mit einem 32-Bit-Schlüssel verschlüsselt, der obendrein noch bekannt ist. Selbst ein Durchschnittsnutzer könnte auf die Idee kommen, dieses Netzlaufwerk zu öffnen, die passende XML-Datei zu suchen und das Attribut "cpassword" zu entschlüsseln (den Schlüssel verrät Microsoft im Netz). Die Leserechte, die Nutzer in "SYSVOL" haben, reichen dafür aus. Für Angreifer, die schon eine Maschine übernommen haben und sich im Netzwerk ausbreiten wollen, ist das erst recht ein großzügiges Angebot, den lokalen Administrator zu übernehmen, vorbei an sämtlichen Beschränkungen der Domäne.

Immer mehr Wissen. Das digitale Abo für IT und Technik.

Zweite Chance für Fire-TV-Sticks von Amazon

Wir erklären, wie Sie alte und ungenutzte Fire-TV-Sticks zum Speisen von Public Displays, als TV-Empfänger, Musikserver oder Echo-Ersatz nutzen können.

Lautsprecher wird Streaming-Box

Windows on ARM: Zehn Notebooks mit Copilot+ und Snapdragon X im Vergleichstest

Die ersten Windows-Notebooks, die Microsofts KI-Vision hinsichtlich Copilot+ entsprechen, drücken in den Markt. Wir haben die Geräte ausführlich getestet.

Bauvorschlag: Leiser, sparsamer Mini-PC mit Ryzen 5 8600G

Unser PC-Bauvorschlag für einen 10-Watt-Mini mit Sechskernprozessor erledigt Alltagsaufgaben wie ein Großer. Mit einigen Tricks arbeitet er schön leise.

Mobile Split-Klimaanlage im Praxistest: Midea PortaSplit sorgt für kühle Sommer

Die PortaSplit von Midea verspricht die Effizienz einer Split-Klimaanlage und lässt sich einfach in fast jedes Fenster hängen. Wir schauen, was sie leistet.

Subaru Impreza Hybrid: Exot mit Boxermotor und Allrad im Test

Subaru geht einen eigenwilligen Weg: Boxermotor mit Hybrid, kombiniert mit CVT und Allrad. Der Kunde muss sich darauf einlassen, und mit einem Makel leben.

Gehälter 2024: Das verdienen Mitarbeiter im IT-Support in Deutschland

Support-Mitarbeiter bilden das Rückgrat der IT in vielen Firmen. Der Job bietet einen guten Einstieg in die IT-Branche und ist für Quereinsteiger interessant.

Gehälter von IT-Admins

nach oben

Alle Angebote

Newsletter heise-Bot Push Push-Nachrichten

${intro} ${title}