LAPS maakt wachtwoordbeheer van lokale admin-accounts eenvoudig

In een ideale wereld hebben gebruikers en beheerders alleen de rechten en permissies die ze nodig hebben om hun werk uit te voeren. Helaas is dit niet het geval: er is ook een lokaal administrator-account, waar eigenlijk niet naar omgekeken wordt. Dit account heeft veel rechten/permissies, maar vaak geen uniek wachtwoord. Dat terwijl dit met LAPS van Microsoft snel op te lossen is.

Het lokale administrator-account is van groot belang. Wordt een server uit het domein gehaald, dan is het mogelijk om via dit account er weer in te komen. Het lokale administrator-account heeft mede om die reden ontzettend veel rechten en permissies.

Het is dan ook zorgwekkend dat het beheer van dit type account nog te wensen overlaat. Juist met het oog op server hardening, waar mijn collega Sander Bruijs onlangs over schreef, is het belangrijk dat anderen niet zomaar bij dit account kunnen komen.

Dat begint met een complex, uniek wachtwoord voor het account, dat regelmatig gewijzigd wordt. Maar als servers vanuit een template of via een geautomatiseerde methode worden uitgerold, is de kans groot dat ze allemaal hetzelfde wachtwoord gebruiken. Ontdekt een kwaadwillende dan het wachtwoord van één server, dan heeft hij ze voor allemaal, bijvoorbeeld ook die voor het systeem waar alle belangrijke bedrijfsdocumenten opstaan.


Bescherm jezelf met LAPS

De oplossing is dus eenvoudig: geef iedere server zijn eigen, complexe wachtwoord. Dit zorgt echter voor administratie waar de gemiddelde beheerder niet op zit te wachten. Laat staan het periodiek wijzigen van dit wachtwoord. Het is dan ook niet verrassend dat ik in passwordmanagers vaak een enkel wachtwoord voor de lokale administrator-accounts zie.

Microsoft zag dit probleem ook, en ontwikkelde een tool om het op te lossen. Met de zogenaamde Local Administrator Password Solution (LAPS) is het mogelijk om de wachtwoorden van de lokale administrators volledig geautomatiseerd en regulier te wijzigen.

LAPS maakt daarvoor gebruik van de Active Directory. Beheerders kunnen in een Active Directory Group Policy aangeven met welke frequentie een wachtwoord gewijzigd moet worden en andere eisen invoeren. LAPS wijzigt het wachtwoord vervolgens volgens die regels automatisch naar een unieke, gegenereerde variant. Het wachtwoord wordt daarna binnen Active Directory opgeslagen.

Om rekening mee te houden

LAPS vereist geen extra server(rol), omdat het een uitbreiding is op Active Directory. Daarentegen moeten alle servers wel een Group Policy Extension bevatten. Daarna is het mogelijk om de wachtwoorden centraal te beheren via een Group Policy Object (GPO).

Daarnaast kan het zo zijn dat er een back-up van een VM teruggezet moet worden, die waarschijnlijk een ouder wachtwoord heeft. Als dat wachtwoord niet ergens is weggeschreven, is het ook niet meer te achterhalen.

Het is mogelijk om LAPS-wachtwoorden automatisch op te laten slaan op een aparte plek voor dit scenario, maar daar moet dan wel een apart script voor worden geschreven.

Server hardening kan makkelijk zijn

LAPS maakt duidelijk dat bepaalde delen van server hardening behoorlijk eenvoudig kunnen zijn.  Bovendien is er nu geen excuus meer om het beheer van het lokale administrator-wachtwoord niet goed te regelen.

 


Het belang van Server Hardening

Voorkom aanvallen als NotPetya en Stuxnet

De wereld is de afgelopen jaren meermaals opgeschrikt door ernstige cyberdreigingen. Twee daarvan waren Stuxnet en NotPetya. Deze vormen van malware wisten veel schade aan te richten, mede door een gebrek aan server hardening.

Stuxnet werd in 2010 ontdekt en is een malafide computerworm. De worm kon zich verspreiden dankzij een (toen al bekende) kwetsbaarheid in de printer spooler service op Windows servers die het doelwit waren van de aanval. Die service was in de meeste gevallen niet noodzakelijk, het waren immers geen printservers maar systemen die onder meer werden ingezet in het proces om uranium te verrijken.

Uiteindelijk werden 200.000 computers getroffen door Stuxnet. Was de spooler service niet aanwezig geweest op deze systemen, dan was dit aantal waarschijnlijk lager geweest.

NotPetya is een recentere aanval. Deze malware, gebaseerd op de ourdere ransomware variant Petya, sloeg in 2017 om zich heen, en dan met name in Oekraïne. Volgens een schatting van het Witte Huis wist deze aanval in totaal 10 miljard dollar aan schade aan te richten bij zijn slachtoffers.

Ook NotPetya had voorkomen kunnen worden (of de impact had kleiner kunnen zijn) als er geen misbruik gemaakt had kunnen worden van het SMB1-protocol. Dit protocol werd in 1983 ontworpen en onder andere door Windows ’95 gebruikt voor het delen van bestanden. Het protocol is logischerwijs flink verouderd maar op veel getroffen servers werd het nog toegestaan, terwijl het al lang niet meer nodig is en al enige tijd als onveilig wordt bestempeld.

Server hardening

Beide aanvallen hadden dus voorkomen kunnen worden als er server hardening plaats had gevonden. Server hardening is het proces waarbij onnodige zaken als software, services, serverrollen en dergelijke zo veel mogelijk worden uitgeschakeld om zo het aanval “oppervlak” zo klein mogelijk te maken en te houden.

Bekende maatregelen zijn het installeren van updates en het inzetten van een gedegen beveiliging beleid, bijvoorbeeld rondom wachtwoorden. Maar diverse andere maatregelen blijken minder bekend of worden vergeten. Het uitzetten van ongebruikte en onnodige functies, services en rollen - zoals het SMB-protocol of de print spooler service in het geval van NotPetya en Stuxnet - behoren hier ook toe.

Daarnaast kan een server beschermd worden door administrator-accounts restricties te geven. Het is bijvoorbeeld vrij gemakkelijk om op een Active Directory-account in te stellen tussen welke tijden iemand in mag loggen. Een hele simpele maatregel om ongeautoriseerde actoren beter buiten de deur te houden.

Een geavanceerdere maatregel is het gebruik van Group Managed Service Accounts voor het beheer van Service Accounts. Een specifiek account dat wordt ingezet ten behoeve van specifieke services en/of applicaties. De wachtwoorden voor deze accounts worden beheerd door Active Directory Domain Services waardoor jij niet hoeft na te denken over wanneer een Service Account toe is aan een nieuw wachtwoord, iets wat in de praktijk vaak vergeten of lastig gevonden wordt.

Een nadeel van dit alles is wel dat het veiliger maken van een systeem in de praktijk vaak ten koste gaat van bepaalde functionaliteit of de snelheid waarmee een systeem reageert. Ook kan het andere beperkingen met zich meebrengen - bijvoorbeeld het gebrek aan de optie om vanaf bepaalde locaties in te loggen. Iets om rekening mee te houden.  

Aanvallen vanaf de werkvloer

Wat nog wel eens over het hoofd wordt gezien is een fysieke aanval in plaats van een aanval via het internet. Uiteraard moet iemand daarvoor wel fysiek aanwezig zijn maar ook dat is niet ongewoon. In het geval van Stuxnet werd de malware onder andere in de beoogde omgeving geïntroduceerd via een geïnfecteerde USB-stick. Een apparaat hoeft dus niet eens met het internet verbonden te zijn om gevaar te lopen.

Het kan daarom ook verstandig kan zijn om de BIOS af te schermen met een wachtwoord. Staat iemand dan bij een server met de intentie om in te breken dan wordt het, met (wederom) een simpele ingreep op z’n minst moeilijker gemaakt de controle over het system te krijgen.

In mijn werk zie ik vaak dat vergeten wordt om gastaccounts uit te schakelen, zowel op servers als op werkstations. Deze accounts vereisen geen wachtwoord om in te loggen wat betekent dat iemand vrij gemakkelijk op het systeem en het netwerk kan komen. Aangezien gastaccounts een integraal onderdeel zijn van Windows 7 en Windows Server 2008, beiden nog veel gebruikt in productieomgevingen, blijft dit een punt van aandacht.

Zo zijn er nog talloze andere maatregelen die je kunt nemen als onderdeel van server hardening. Voor het gemak heeft Microsoft een security baseline opgezet en ook CIS benchmarks heeft een zeer nuttige en waardevolle collectie benchmarks met daarin een reeks configuratie-instellingen die een positieve impact hebben op de beveiliging van je infrastructuur. Deze worden allemaal gratis ter beschikking gesteld dus doe er je voordeel mee!