So auditieren/überwachen Sie LAPS-Kennwortzugriff mit PowerShell | ManageEngine ADAudit Plus

Die „Local Administrator Password Solution“ (Lokale Administratorkennwortlösung oder kurz LAPS) trägt mit starken und einmaligen Kennwörtern, die auch regelmäßig geändert werden können, deutlich zur Netzwerksicherheit bei. Da diese Kennwörter allerdings zentral in Active Directory gespeichert werden, besteht die Gefahr, dass sich nicht autorisierte Anwender Zugriff auf das Kennwortdepot verschaffen und sich an fremden Arbeitsstation anmelden. Da es bei LAPS keine integrierte Auditing-/Überwachungsfunktion gibt, müssen Drittanbieteranwendungen zum Auditieren der Benutzer eingesetzt werden, die Zugriff auf lokale Administratorkennwörter genießen.

ManageEngine ADAudit Plus, eine ausgereifte AD-Echtzeitauditinglösung, bietet eine deutlich einfachere Alternative als native AD-Mittel.

Dieser Artikel zeigt die Möglichkeiten zum Auditieren des LAPS-Kennwortzugriffs mit Windows PowerShell und ADAudit Plus auf.

Mit Windows PowerShell

PowerShell kann zum Auditieren des LAPS-Kennwortzugriffs eingerichtet werden. Dabei werden Benutzer auditiert/überwacht, die Zugriff auf LAPS-Kennwörter in Active Directory genießen. Die entsprechenden Angaben werden unter der Ereignis-ID 4662 in der AD-Ereignisanzeige aufgezeichnet.

So richten Sie PowerShell-Auditing ein:

Identifizieren Sie die Domäne, die auditiert/überwacht werden soll.
Importieren Sie das AdmPwd.PS-Modul.
Schreiben Sie den Code. Ein PowerShell-Beispielskript finden Sie am Ende dieses Abschnitts.
Kompilieren Sie das Skript.
Führen Sie das Skript in Windows PowerShell aus.
Dies richtet das Auditing/die Überwachung ein.

Hier ein Beispielskript:

Copied

Set-AdmPwdAuditing -Identity:Clients -AuditedPrincipals:Everyone

Mit ADAudit Plus

Zum Erzeugen eines Berichtes zu Nutzern mit Kennwortzugriff klicken Sie in der ADAudit-Plus-Konsole auf Berichte > LAPS-Audit > LAPS-Kennwortauslesungen.
Wählen Sie gewünschte Domäne und Organisationseinheit.
Mit einem einfachen Klick auf Export können Sie den Bericht in unterschiedlichen Formaten (CSV, PDF, HTML, CSVDE und XLSX) exportieren

Der LAPS-Kennwortbericht nennt die Benutzer, die Kennwörter im ausgewählten Zeitraum abriefen. Im Normalfall sollte lediglich nur eine kleine Gruppe autorisierter Benutzer (gewöhnlich Netzwerkadministratoren) Zugriff auf die Kennwörter erhalten. Regelmäßiges Prüfen des Berichtes kann dafür sorgen, dass lediglich dazu autorisierte Benutzer Zugriff auf die Daten erhalten.

Mit diesen Einschränkungen müssen Sie beim PowerShell-Einsatz zum LAPS-Auditing rechnen:

PowerShell kann lediglich Auditing ermöglichen. Der Bericht selbst wird dadurch nicht erstellt.
Bei dieser Methode müssen mehrere unterschiedliche Anwendungen zum Auditing eingesetzt werden. Administratoren müssen Auditing in PowerShell aktivieren, anschließend in der Ereignisanzeige Informationen zu Benutzern heraussuchen, die auf LAPS-Kennwörter zugriffen. Auch mit der Ereignisanzeige ist es nicht möglich, sämtliche LAPS-Kennwortzugriffe in Form eines einzelnen Berichtes konsolidiert abzurufen. Das manuelle Durchkämmen sämtlicher Ereignisse stellt sich nicht selten als zeitraubend und lästig heraus.

ADAudit Plus ist ein ausgereiftes Active-Directory-Auditing- und -berichtswerkzeug, welches das Netzwerk kontinuierlich überwacht und einsatzfertige Berichte zu sämtlichen AD-Objekten liefert. Darüber hinaus alarmiert ADAudit Plus Administratoren in Echtzeit, sobald verdächtige Aktivitäten im Netzwerk erkannt werden. Es gibt einen eigenen LAPS-Bereich, Berichte können im Handumdrehen nach Bedarf erzeugt und abgerufen werden.

PowerShell-Skripte und vereinfachte AD-Änderungsüberwachung mit ADAudit Plus.
Mit einem Klick auf „Kostenlos in Ruhe ausprobieren“ willigen Sie in die Verarbeitung persönlicher Daten gemäß Datenschutzbestimmungen ein.

Danke für das Herunterladen!