EasyLAPS ist ein Tool, das entwickelt wurde, um regelmäßig das Passwort des lokalen Administratorkontos auf einem Mac zu rotieren und es sicher in einer Mobile Device Management (MDM)-Lösung oder einer Passwortverwaltungslösung zu speichern. Sein Hauptzweck ist es, sicherzustellen, dass jeder Mac in der Flotte ein einzigartiges, regelmäßig aktualisiertes Passwort hat, das zentral über den gewählten Escrow-Dienst zugänglich ist.
EasyLAPS bietet zwei Funktionslogiken und ist so konzipiert, dass es einen Wechsel zwischen den beiden transparent verwaltet.
Logik #1 — Das Passwort wird in verschlüsselter Form im Escrow-Dienst und im EasyLAPS-Schlüsselbund gespeichert. EasyLAPS verwendet das lokal gespeicherte Passwort als aktuelles Passwort, um die Rotation zum neu generierten Passwort zu verwalten, das dann im Escrow-Dienst geschrieben wird. Der öffentliche Schlüssel, der für die Verschlüsselung verwendet wird, ist Teil der EasyLAPS-Konfigurationsdatei. Der private Schlüssel ist nicht auf dem Gerät vorhanden und muss im eingeschränkten Zugriff gehalten werden. Diese Logik passt am besten, wenn eine große Anzahl von Technikern Zugriff auf die Escrow-Dienstkonsole hat und nur diejenigen, die eine Kopie des EasyLAPS-Toolkits mit dem privaten Schlüssel besitzen, ein rotiertes Passwort offenlegen können.
Logik #2 — Das Passwort wird im Klartext im Escrow-Dienst gespeichert und wird lokal nicht gespeichert, es sei denn, eine Passwortumkehrung schlägt fehl. EasyLAPS liest das im Escrow-Dienst gespeicherte Passwort und verwendet es als aktuelles Passwort, um die Rotation zum neu generierten Passwort zu verwalten, das dann im Escrow-Dienst geschrieben wird. Diese Logik passt am besten, wenn eine eingeschränkte Anzahl von Technikern Zugriff auf die Escrow-Dienstkonsole hat und dann in der Lage ist, ein rotiertes Passwort offenzulegen.
Nach der ersten erfolgreichen Rotation ist das neue Passwort im Geräteinventar-Datensatz sichtbar.
EasyLAPS führt eine echte Rotation des lokalen Administratorpassworts durch, sodass das Konto seinen kryptografischen Status beibehält. Das bedeutet, dass, sobald das Passwort geändert wird, das Konto weiterhin ein Kryptobenutzer und Volumeneigentümer ist, in der Lage, das Gerät zu entsperren, macOS-Updates zu installieren, Änderungen an der Startupsicherheitspolitik vorzunehmen, einen Löschvorgang für alle Inhalte und Einstellungen zu initiieren und mehr.
