Zusammenfassung
Windows LAPS automatisiert die Verwaltung lokaler Administratorpasswörter, indem es diese regelmäßig rotiert und in Active Directory oder Microsoft Entra ID sichert. Die Lösung erhöht die Sicherheit durch Schutz vor Pass-the-Hash-Angriffen und vereinfacht die Verwaltung. Seit April 2023 ist LAPS nativ in Windows integriert, ohne zusätzliche Installation. Dieser Beitrag erläutert die Funktionen, Vorteile, Kompatibilität und Implementierung von Windows LAPS.
Einleitung
Die Verwaltung lokaler Administratorenkonten stellt Unternehmen vor Sicherheits- und Verwaltungsherausforderungen. 🛡️ Windows Local Administrator Password Solution (LAPS) bietet eine robuste Lösung, indem es Passwörter automatisiert verwaltet und speichert. Seit der Integration in die Windows-Updates vom April 2023 ist die Nutzung einfacher und effizienter geworden. Dieser Beitrag beleuchtet die Kernfunktionen, Kompatibilität und Implementierungsschritte.
Funktionen und Vorteile
Windows LAPS generiert zufällige, komplexe Passwörter für lokale Administratorenkonten und rotiert diese regelmäßig. 🔄 Die Passwörter werden sicher in Active Directory (AD) oder Microsoft Entra ID gespeichert, wobei eine optionale Verschlüsselung in AD unterstützt wird. Neue Funktionen wie die automatische Passwortrotation nach Kontoverwendung, ein dedizierter Ereignisprotokollpfad (Applications and Services Logs > Microsoft > Windows > LAPS) und ein PowerShell-Modul (z. B. Reset-LapsPassword) verbessern Diagnose und Verwaltung. Die Unterstützung hybrider Geräte und die Integration in Intune machen LAPS flexibel einsetzbar. 💾
Kompatibilität mit älteren Systemen
Für ältere Betriebssysteme wie Windows 7, Windows 8.1 oder Windows Server 2012/2016, die nicht die nativen LAPS-Funktionen ab April 2023 unterstützen, ist eine separate Installation der klassischen LAPS-Anwendung möglich. 📀 Diese kann von der Microsoft-Website heruntergeladen werden und ermöglicht die Passwortverwaltung in Active Directory. Die Funktionalität ist eingeschränkter als die moderne Integration, bietet jedoch weiterhin Schutz durch automatische Passwortrotation. Eine Migration auf aktuelle Windows-Versionen wird dennoch empfohlen, um alle Features zu nutzen.
Implementierung
Die Einrichtung erfordert eine Aktualisierung auf Windows 10/11 oder Server 2019/2022 mit dem Update vom April 2023 für die native Integration. 📅 Für ältere Systeme ist die Installation der klassischen LAPS-Anwendung erforderlich. Für AD-Szenarien muss das AD-Schema erweitert werden (Update-LapsADSchema). Gruppenrichtlinien oder Intune-Richtlinien konfigurieren Einstellungen wie Passwortlänge oder Speicherort. Die Berechtigungen für den Passwortzugriff sollten gezielt auf autorisierte Gruppen beschränkt werden, um die Sicherheit zu gewährleisten.
Fazit
Windows LAPS ist ein unverzichtbares Werkzeug für Unternehmen, die lokale Administratorkonten sicher verwalten möchten. Die nahtlose Integration in moderne Windows-Versionen und die Kompatibilität mit älteren Systemen machen es vielseitig einsetzbar. Eine sorgfältige Implementierung und regelmäßige Überprüfung der Richtlinien maximieren den Nutzen. Die Nutzung von LAPS sollte als Teil der IT-Sicherheitsstrategie priorisiert werden. ✅
Zusätzlich sollte auch das Admin Tiering mit integriert werden.
Quellen
- Microsoft Learn: Windows LAPS Overview, https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-overview
- Microsoft Tech Community: By popular demand: Windows LAPS available now!, https://techcommunity.microsoft.com/t5/windows-it-pro-blog/by-popular-demand-windows-laps-available-now/ba-p/3788747
- Microsoft Download Center: Local Administrator Password Solution (LAPS), https://www.microsoft.com/en-us/download/details.aspx?id=46899
