Das Wichtigste in Kürze:
Windows LAPS (Local Administrator Password Solution) ist ein Microsoft-Tool zur automatisierten Verwaltung von lokalen Administratorpasswörtern auf Windows-Geräten. Es ersetzt die manuelle oder skriptbasierte Verteilung von Passwörtern durch eine zentralisierte, sichere Lösung. Der Hauptzweck von Windows LAPS ist es, identische lokale Admin-Passwörter auf mehreren Systemen zu vermeiden, um laterale Bewegungen durch Angreifer zu erschweren.
Das Tool speichert die automatisch generierten Passwörter in einem sicheren Verzeichnis – im Fall von Entra ID Hybrid oder Entra ID Cloud sind dies attributbasierte Speicherorte im Verzeichnisdienst. Nur berechtigte Nutzer oder Gruppen erhalten Zugriff auf diese Passwörter. So wird sichergestellt, dass Passwörter regelmäßig geändert, individuell vergeben und sicher ausgelesen werden können.
Funktionsweise und Architektur von Windows LAPS
Windows LAPS besteht aus mehreren Komponenten: einem Gruppenrichtlinien-Client-Side-Extension (CSE), Registry-Einträgen zur Konfiguration sowie einem AD/Entra ID-Attribut, das das Passwort speichert. Admins konfigurieren Windows LAPS in der Regel über Gruppenrichtlinien oder Intune. Das System generiert bei jeder konfigurierten Passwortrotation ein neues Passwort und speichert es verschlüsselt im Verzeichnis.
Seit April 2023 ist Windows LAPS nativ in Windows 10/11 (ab April-Update) und Windows Server (ab 2019) integriert. Es benötigt keine zusätzliche Installation mehr und ist kompatibel mit Entra ID, Entra ID Hybrid und lokalem Active Directory. Die Integration mit Intune ermöglicht eine moderne, cloudbasierte Verwaltung.
Sicherheitsvorteile von Windows LAPS
Windows LAPS erhöht die Sicherheit von Windows-Umgebungen erheblich. Durch die Vergabe von individuellen, regelmäßig rotierenden Administratorpasswörtern auf jedem Gerät wird verhindert, dass kompromittierte Zugangsdaten für weitere Angriffe im Netzwerk genutzt werden können. Besonders bei Ransomware-Angriffen oder Credential-Stuffing-Angriffen reduziert sich damit die Angriffsfläche signifikant.
Zusätzlich ermöglicht LAPS eine lückenlose Nachvollziehbarkeit: Jede Passwortänderung wird dokumentiert und kann zentral nachvollzogen werden. Zugriff auf gespeicherte Passwörter lässt sich granular steuern und protokollieren, was den Anforderungen vieler Compliance-Richtlinien entspricht.
Windows LAPS einrichten – das solltet ihr wissen
Für die Einrichtung von Windows LAPS benötigt ihr mindestens Windows 10 21H2 (ab April 2023 Update) oder Windows Server 2019. Die Konfiguration kann lokal über Gruppenrichtlinien oder zentral über Microsoft Intune erfolgen. Voraussetzung für die Cloud-Integration ist eine Entra ID (ehemals Azure AD) Anbindung.
Durch eine Pilotphase mit ausgewählten Geräten kann überprüft werden, ob Richtlinien korrekt greifen, Passwörter ordnungsgemäß gespeichert werden und der Zugriff durch Helpdesk-Teams sinnvoll geregelt ist. Beachtet, dass auch Berechtigungen im AD oder Entra ID entsprechend angepasst werden müssen, um Passwortzugriffe zu ermöglichen oder einzuschränken.
In unserem YouTube-Video zu Windows LAPS wird die Einrichtung Schritt für Schritt beschrieben.
Fazit: Windows LAPS als Sicherheitsstandard etablieren
Windows LAPS ist ein essenzielles Tool für moderne IT-Sicherheitsstandards. In einer Zeit zunehmender Cyberangriffe auf privilegierte Konten ist die Absicherung lokaler Administratorzugänge ein Muss. Die einfache Integration, native Unterstützung moderner Windows-Versionen sowie die Verwaltung über Intune machen Windows LAPS zu einer praxistauglichen und effektiven Lösung.
Wer bereits Microsoft 365 und Entra ID nutzt, kann ohne zusätzliche Software mit der Implementierung beginnen. Wenn wir euch bei der Bereitstellung von Windows LAPS unterstützen sollen, meldet euch doch bei uns. Weitere Informationen findet ihr auch auf unserer Seite zu Intune Client Management.
