Mehr Sicherheit durch Microsoft Local Administrator Password Solution LAPS: Effektives Privileged Access Management für lokale Admin-Konten

Anbieter zum Thema

JDisc UG (haftungsbeschränkt

Fsas Technologies GmbH

FAST LTA GmbH

FTAPI Software GmbH

Einheitliche oder schwache Admin-Passwörter sind ein hohes Sicherheitsrisiko. Microsoft LAPS löst dieses Problem, indem es für jeden Rechner automatisch eindeutige, regelmäßig wechselnde Passwörter generiert und sicher in Active Directory oder Entra ID speichert. Der Artikel zeigt, wie LAPS funktioniert und warum es ein Muss für die IT-Sicherheit ist.

Local Administrator Password Solution (LAPS) ist eine Technologie vom Microsoft zur Verbesserung der Sicherheit durch die Verwaltung lokaler Administratorkennwörter auf Computern, die einer Domäne angeschlossen sind. LAPS bietet die Möglichkeit, automatisch eindeutige und komplexe Kennwörter für das lokale Administratorkonto auf jedem verwalteten Gerät zu generieren und sie sicher an einem zentralen Ort zu speichern. IT-Administratoren können diese Passwörter bei Bedarf abrufen und so die mit statischen oder gemeinsam genutzten Anmeldeinformationen verbundenen Risiken reduzieren.

Zu den wichtigsten Vorteilen von LAPS gehören:

• Verbesserte Sicherheit: Es wird sichergestellt, dass lokale Administratorkonten über eindeutige, regelmäßig geänderte Kennwörter verfügen. Nie wieder das gleiche Passwort für alle Rechner!

• Einhaltung von Vorschriften: Hilft Unternehmen, gesetzliche und interne Sicherheitsanforderungen zu erfüllen.

• Reduzierte Angriffsfläche: Verringert das Risiko im Falle einer Kompromittierung von Anmeldeinformationen.

• Automatisierte Verwaltung: Verringert den Verwaltungsaufwand durch die Automatisierung von Passwortänderungen und -speicherung.

Legacy LAPS

Bei der älteren Version von LAPS, die gemeinhin als „Legacy LAPS“ bezeichnet wird, handelt es sich um eine Vor-Ort-Lösung, die in Active Directory (AD) integriert ist. Sie erfordert die Installation eines Agenten auf jedem verwalteten Endgerät, der die Erstellung und Speicherung lokaler Administratorkennwörter im AD ermöglicht.

So funktioniert Legacy LAPS

Ein Gruppenrichtlinienobjekt (GPO) wird verwendet, um LAPS-Einstellungen für Computer einer Domäne zu konfigurieren. Der clientseitige LAPS-Agent generiert ein eindeutiges Kennwort und speichert es im Computerobjekt in Active Directory. IT-Administratoren können auf die gespeicherten Kennwörter über die PowerShell oder eine spezielle LAPS-Verwaltungsoberfläche zugreifen.

Herausforderungen mit Legacy LAPS:

• Erfordert eine Active-Directory-Infrastruktur vor Ort.

• Begrenzte Skalierbarkeit für Hybrid- oder Cloud-Umgebungen.

• Manuelle Bereitstellung des LAPS-Client-Agenten.

• Mögliche Fehlkonfiguration, die zu Sicherheitslücken führen kann.

• Speichert nur das Passwort, aber nicht den Benutzernamen. Dies führt zu Problemen bei der Anmeldung, da das integrierte Administratorkonto für verschiedene Sprachen unterschiedlich sein kann.

Das neue Microsoft LAPS

Mit Windows 11 und neueren Versionen von Windows 10 hat Microsoft eine aktualisierte Version von LAPS eingeführt, die in das Betriebssystem integriert ist. Dadurch entfällt die Notwendigkeit einer separaten Client-Installation und die Lösung bietet mehr Flexibilität bei der Speicherung von Kennwörtern. Darüber hinaus enthält es auch den Benutzernamen, der bei Legacy LAPS fehlt.

Zwei Speicheroptionen für das neue LAPS

Active Directory (On-Premises) Storage: Das neue LAPS speichert Kennwörter weiterhin im lokalen Active Directory, ähnlich wie die Vorgängerversion, jedoch mit zusätzlichen Verbesserungen wie Verschlüsselung, sowie erweiterten Protokollierungs- und Audit-Funktionen. Die Konfiguration erfolgt über Gruppenrichtlinien oder Intune. Administratoren können Passwörter mit beliebten Tools wie z.B. der PowerShell verwalten. Geeignet ist diese Variante für Unternehmen mit einer bestehenden AD-Infrastruktur, die einen nahtlosen Upgrade-Pfad suchen. Damit bietet das neue LAPS hier eine bessere Kontrolle über Kennwortrichtlinien und Zugriffsberechtigungen.

Microsoft Intune (Cloud) Storage: Eine wichtige Neuerung des neuen LAPS ist die Möglichkeit, lokale Administratorkennwörter sicher in Microsoft Intune zu speichern. Dieser Cloud-basierte Ansatz ermöglicht eine zentralisierte Passwortverwaltung in hybriden und Cloud-Umgebungen. IT-Administratoren können über das MEM-Portal (Microsoft Endpoint Manager) auf die gespeicherten Passwörter zugreifen. Diese Variante bietet eine verbesserte Sichtbarkeit und Kontrolle für die Verwaltung von Remote-Mitarbeitern und ist ideal für Unternehmen, die auf eine Cloud-first-Strategie umstellen oder Remote-Endpunkte verwalten.

Abbildung 2 zeigt die Architektur von LAPS in Verbindung mit Intune. Dabei werden der Benutzer und das Passwort in der Cloud gespeichert und können über die MS Graph API abgefragt werden, wenn die entsprechenden Berechtigungen vorliegen. Falls Sie sich entscheiden, LAPS mit dem lokalen Active Directory einzusetzen, dann ist die grobe Architektur identisch mit dem Legacy LAPS.

Die wichtigsten Verbesserungen des neuen LAPS sind:

• Integrierte Unterstützung innerhalb des Betriebssystems.

• Verbesserte Audit-Protokollierung für verbesserte Compliance.

• Verbesserte Verwaltung durch Intune, wodurch die Abhängigkeit vom herkömmlichen On-Premises-AD eliminiert wird.

• Automatischer Ablauf und Rotation von Passwörtern.

• Verbesserte Verschlüsselungsmethoden für eine sichere Passwortspeicherung.

• Bereitstellung des lokalen Administratorkontos zusätzlich zu seinem Kennwort.

Über den Autor

Thomas Trenz ist Gründer und Geschäftsführer der JDisc GmbH, einem Software-Unternehmen, das sich auf Lösungen zur automatischen Netzwerk Inventarisierung und Dokumentation spezialisiert hat.

(ID:50618164)