c't 14/2019
S. 158
Praxis
Passwörter in der Domäne
Aufmacherbild

Passwort-Auswürfler

Lokale Admin-Passwörter in der Windows-Domäne verwalten

Das lokale Admin-Passwort ist in vielen Windows-Domänen auf allen Clients identisch, und wird fahrlässigerweise häufig von Admin-Generation zu Generation weitergegeben. Dabei gibt es mit LAPS ein Werkzeug, das die lokalen Passwörter unter Verwaltung des Active Directorys stellt.

Von Jan Mahn

Wäre die Welt perfekt, müsste sich der Windows-Admin an einem Client-PC in der Domäne niemals lokal anmelden. Schließlich wird Software über eine Verteil-Infrastruktur installiert, Updates werden automatisch eingespielt und alle Einstellungen kommen per Gruppenrichtlinie. In der Praxis ist es leider dennoch immer mal wieder nötig, sich lokal anzumelden – zum Beispiel, um im Falle eines Netzwerkproblems nach dem Fehler forschen zu können. Daher lässt sich der Admin als Hintertür den lokalen Benutzer „Administrator“ offen und vergibt ein Kennwort, gern für das ganze Haus das gleiche, und dokumentiert es an sicherer Stelle an der Pinnwand im Büro. In großen Umgebungen passiert das gern schon während der automatisierten Installation. Die Nachteile sind offensichtlich: Verlässt ein Admin das Unternehmen, der das Universalkennwort kennt, wird wohl niemand loslaufen und auf allen Clients ein neues Admin-Kennwort einrichten. Hat ein Unbefugter den Notizzettel gefunden, fehlt es typischerweise ebenso an einer probaten Reaktion.

Naheliegend ist es daher, den lokalen Account per Gruppenrichtlinie einzurichten und das Kennwort zu vergeben. Von diesem Verfahren rät Microsoft aber explizit ab – das Kennwort landet in einer XML-Datei im Netzlaufwerk „SYSVOL“ auf dem Domaincontroller und wird mehr aus kosmetischen Gründen mit einem 32-Bit-Schlüssel verschlüsselt, der obendrein noch bekannt ist. Selbst ein Durchschnittsnutzer könnte auf die Idee kommen, dieses Netzlaufwerk zu öffnen, die passende XML-Datei zu suchen und das Attribut „cpassword“ zu entschlüsseln (den Schlüssel verrät Microsoft, zu finden über ct.de/y7df). Die Leserechte, die Nutzer in „SYSVOL“ haben, reichen dafür aus. Für Angreifer, die schon eine Maschine übernommen haben und sich im Netzwerk ausbreiten wollen, ist das erst recht ein großzügiges Angebot, den lokalen Administrator zu übernehmen, vorbei an sämtlichen Beschränkungen der Domäne.

Alle heise-Magazine mit heise+ lesen

3,99 € / Woche

Ein Abo, alle Magazine: c't, iX, Mac & i, Make & c't Fotografie

  • Alle heise-Magazine im Browser und als PDF
  • Alle exklusiven heise+ Artikel frei zugänglich
  • heise online mit weniger Werbung lesen
  • Vorteilspreis für Magazin-Abonnenten
Jetzt unbegrenzt weiterlesen Vierwöchentliche Abrechnung.

Alle Ausgaben freischalten

2,95 € 0,25 € / Woche

Nach Testphase 2,95 € wtl.

  • Zugriff auf alle c't-Magazine
  • PDF-Ausgaben zum Herunterladen
  • Zugriff in der c't-App für unterwegs
Jetzt testen Nach Testphase jederzeit monatlich kündbar.

Ausgabe einmalig freischalten

5,20 € / Ausgabe

Diese Ausgabe lesen – ohne Abobindung

  • Sicher einkaufen im heise shop
  • Magazin direkt im Browser lesen
  • Dauerhaft als PDF behalten

Leserbrief schreiben

Auf Facebook teilen

Auf X teilen