Alex - stock.adobe.com
Wie Sie ein lokales Administratorkonto mit Intune verwalten
Lokale Administratorkonten können Probleme bereiten, da sie nicht überwacht werden und den Status privilegierter Konten haben. Erfahren Sie, wie Sie diese Konten mit Intune verwalten.
Das lokale Administratorkonto ist Teil der Windows-Konten, die bei der Installation automatisch erstellt werden, und diese privilegierte Anmeldung kann IT-Administratoren vor Herausforderungen stellen.
Im Gegensatz zu einem Domänenadministratorkonto verfügt das lokale Administratorkonto nicht über die Berechtigungen zur Verwaltung der Active-Directory-Umgebung oder anderer Netzwerkressourcen. Es bietet jedoch erweiterte Berechtigungen für den lokalen PC, was gefährlich sein kann, wenn die IT-Abteilung dieses Konto nicht einplant.
Wenn es Cyberkriminellen gelingt, sich Zugang zum lokalen Administratorkonto eines Geräts zu verschaffen, können sie den PC vollständig kompromittieren. Sie könnten auf private Daten zugreifen, Einstellungen ändern, um Sicherheitsmaßnahmen zu lockern, und sogar Malware auf dem Gerät installieren.
Noch problematischer ist jedoch, dass viele Unternehmen auf allen PCs dasselbe lokale Administratorkennwort verwenden. Das bedeutet, dass jeder, der das lokale Administratorkennwort herausfindet, vollen Zugriff auf jeden PC im Unternehmen erhalten kann. Es könnte sogar Administratoren geben, die dasselbe Kennwort sowohl für die lokalen Administratorkonten als auch für den Domänenadministrator verwenden.
Es gibt eine Möglichkeit, die mit lokalen Administratorkennwörtern verbundenen Risiken zu verringern. Microsoft bietet eine Funktion namens Local Administrator Password Solution, besser bekannt als Windows LAPS. Windows LAPS ist eine Standardfunktion von Windows Server, aber sie ist auch in Entra ID verfügbar – früher bekannt als Azure AD.
Als Windows-Desktop-Administrator können Sie mit Windows LAPS jedem Windows-PC ein zufälliges lokales Administratorkennwort zuweisen und das Kennwort in regelmäßigen Abständen automatisch erneuern. Zunächst müssen Sie sicherstellen, dass Intune für die Geräteverwaltung eingerichtet ist.
Aktivierung von Windows LAPS
Um zu beginnen, öffnen Sie das Entra-Administrationszentrum – früher das Azure-AD-Administrationszentrum – und klicken Sie auf Identität\Geräte\Alle Geräte (Identity\Devices\All Devices). Daraufhin sollte eine Liste aller Geräte angezeigt werden, die in der Organisation verwendet werden (Abbildung 1).
Klicken Sie anschließend auf Geräteeinstellungen (Device Settings). Hier müssen Sie die Option zur Aktivierung der Microsoft Entra Local Administrator Password Solution (LAPS) auf Ja (Yes) setzen (Abbildung 2).
Aktivierung des lokalen Administratorkennworts
Der nächste Schritt besteht darin, die Verwendung eines lokalen Administratorkennworts zu aktivieren, was Sie im Intune Admin Center tun können. Je nachdem, von welchen Ort aus Sie das Intune Admin Center starten, wird es möglicherweise als Endpoint Manager und nicht als Intune Admin Center aufgeführt.
Wenn sich das Intune Admin Center öffnet, wählen Sie die Registerkarte Geräte (Devices) und klicken Sie dann auf Konfigurationsprofile (Configuration Profile). Klicken Sie dann auf die Schaltfläche Erstellen (Create) und wählen Sie die Option Neue Richtlinie (New Policy). Daraufhin werden Sie von Intune aufgefordert, eine Plattform und einen Profiltyp auszuwählen. Stellen Sie die Plattform auf Windows 10 und Später (Later) und den Profiltyp auf Einrichtungskatalog (Settings Catalog).
Klicken Sie auf Erstellen (Create), um das Profil zu erstellen. Jetzt startet Intune den Assistenten zum Erstellen von Profilen. Vergeben Sie einen Namen und eine optionale Beschreibung für das Profil, das Sie erstellen möchten.
Klicken Sie auf Weiter (Next), um zum Bildschirm mit den Konfigurationseinstellungen zu gelangen. Klicken Sie hier auf den Link Einstellungen hinzufügen (Add Settings). Wenn Sie dazu aufgefordert werden, wählen Sie Sicherheitsoptionen für lokale Richtlinien (Local Policies Security Options) und aktivieren Sie dann das Kontrollkästchen Konten aktiviert Administratorkontostatus (Accounts Enabled Administrator Account Status).
Auch wenn es etwas seltsam erscheinen mag, besteht der nächste Schritt im Prozess darin, auf die Schaltfläche Weiter (Next) und dann auf die Schaltfläche Zurück (Previous) zu klicken. Dadurch gelangen Sie direkt zum Bildschirm Konfigurationseinstellungen (Configuration Settings) zurück. Der Grund dafür ist, dass Intune dadurch gezwungen wird, die Option zum Aktivieren der von Ihnen ausgewählten Richtlinienstellung anzuzeigen. Sie müssen lediglich die Einstellung Konten aktiviert Administratorkontostatus (Accounts Enabled Administrator Account Status) auf Aktivieren (Enable) setzen (Abbildung 3).
Klicken Sie auf Weiter (Next), um den Bildschirm Bereichs-Tags (Scope Tags) anzuzeigen. Wählen Sie die Tags aus, die Sie anwenden möchten, und klicken Sie auf Weiter (Next).
Daraufhin wird der Bildschirm Zuweisungen (Assignments) angezeigt. Wählen Sie auf diesem Bildschirm alle Gruppen aus, für die die Richtlinie gelten soll. Sie können bestimmte Benutzer- und Gerätegruppen angeben. Es gibt auch eine Option Gruppen ausschließen (Exclude Groups), aber wenn Sie Gruppen ausschließen, können Sie nicht sowohl Benutzer- als auch Gerätegruppen verwenden. Sie müssen die eine oder andere Gruppe verwenden.
Klicken Sie auf Weiter (Next), um zu einem Übersichtsbildschirm zu gelangen. Nehmen Sie sich einen Moment Zeit, um zu überprüfen, ob die Einstellungen in der Zusammenfassung korrekt sind, und klicken Sie dann auf die Schaltfläche Erstellen (Create).
Erstellung einer LAPS-Richtlinie
Nachdem nun das lokale Administratorkennwort auf Windows-Geräten aktiviert ist, ist es an der Zeit, eine LAPS-Richtlinie zu erstellen. Wählen Sie dazu die Registerkarte Endpoint Security und klicken Sie auf Kontoschutz (Account Protection), gefolgt von Richtlinie erstellen (Create Policy). Auch hier müssen Sie die Plattform auf Windows 10 und höher einstellen. Das Profil sollte jedoch auf Local Admin Password Solution (Windows LAPS) eingestellt sein. Klicken Sie auf die Schaltfläche Erstellen (Create), um fortzufahren.
Intune startet den Assistenten zum Erstellen von Profilen (Create Profile Wizard). Geben Sie wie zuvor einen Namen und eine Beschreibung für das Profil ein, das Sie erstellen möchten, und klicken Sie auf Weiter (Next).
Daraufhin wird der Bildschirm Konfigurationseinstellungen (Configuration Settings) angezeigt. Auf diesem Bildschirm können Sie die verschiedenen Attribute steuern, die mit dem lokalen Administratorkennwort verbunden sind. Sie müssen diese Einstellungen auf der Grundlage der Richtlinien Ihres Unternehmens konfigurieren. Hier sind jedoch die empfohlenen Einstellungen (Abbildung 4):
- Backup Directory: Sicherung des Passworts nur in Azure AD (Entra ID)??
- Password Age Days: nicht konfiguriert. Damit wird das maximale Passwortalter auf 30 Tage festgelegt.
- Administrator Account Name: Administrator
- Password Complexity: Großbuchstaben + Kleinbuchstaben + Zahlen + Sonderzeichen
- Password Length: 20
- Post Authentication Actions: Zurücksetzung des Passworts nach Ablauf der Karenzzeit
- Post Authentication Reset Delay: nicht konfiguriert
Der Rest dieses Prozesses ist im Wesentlichen derselbe wie für das Konfigurationsprofil, das Sie zuvor erstellt haben. Sie müssen die verbleibenden Bildschirme durchlaufen, um die Bereichs-Tags und Gruppenzuweisungen festzulegen. Wenn Sie den Zusammenfassungsbildschirm erreichen, nehmen Sie sich einen Moment Zeit, um sicherzustellen, dass alles korrekt ist, und klicken Sie dann auf Erstellen (Create).
Wenn sich Geräte registrieren, können Sie deren lokale Administratorkennwörter abrufen, indem Sie auf Geräte, Alle Geräte (Devices, All Devices) und dann auf den Link zur Wiederherstellung des lokalen Administratorkennworts klicken.
