Windows LAPS – Automatische Rotation lokaler Administrator-Passwörter für kleine Unternehmen in Berlin
Jedes Windows-Gerät verfügt über ein lokales Administrator-Konto. In den meisten KMU-Umgebungen existiert dieses Konto mit demselben Passwort auf jedem Rechner — einmal beim Imaging gesetzt, nie rotiert und häufig undokumentiert. Wenn ein Angreifer einen Rechner kompromittiert und diese Anmeldedaten über einen Memory-Dump oder Registry-Lesezugriff extrahiert, erhält er sofortigen Lateral-Movement-Zugriff auf alle anderen Geräte im Netzwerk. Windows LAPS (Local Administrator Password Solution) eliminiert dieses Problem, indem es automatisch einzigartige lokale Admin-Passwörter pro Gerät generiert, rotiert und sicher in Entra ID oder Active Directory speichert.
Legacy LAPS vs. Windows LAPS
Das ursprüngliche Microsoft LAPS war ein eigenständiges Tool, das eine AD-Schemaerweiterung und Gruppenrichtlinien erforderte und nur lokale AD-Umgebungen unterstützte. Windows LAPS (nativ eingeführt in Windows 11 22H2, Windows 10 22H2 und Windows Server 2019+) ist ins Betriebssystem integriert und unterstützt drei Sicherungsziele:
| Sicherungsziel | Umgebung | Verwaltungsebene |
|---|---|---|
| Entra ID | Entra-joined Geräte (Cloud-only) | Intune / Entra-Portal |
| Active Directory | AD-joined Geräte (On-Premises / Hybrid) | AD-Schema + Gruppenrichtlinie |
| Entra ID (Hybrid) | Hybrid Azure AD-joined Geräte | Intune mit Entra-Sicherung |
Für Berliner KMU mit M365 Business Premium, Intune-verwalteten und Entra-joined Geräten ist das Ziel die Entra-ID-Sicherung. Keine AD-Schemaerweiterung, keine Gruppenrichtlinien — lediglich eine Intune-Richtlinie und native BS-Funktionalität.
Funktionsweise von Windows LAPS
- Der Windows-LAPS-Client (in unterstützten BS-Versionen integriert) generiert ein kryptografisch zufälliges Passwort für das bezeichnete lokale Administratorkonto
- Das Passwort wird verschlüsselt und in Entra ID (oder AD) gegen das Geräteobjekt gespeichert
- Nach dem konfigurierten Rotationsintervall (oder nachdem das Passwort abgerufen wurde) wird automatisch ein neues Passwort generiert
- Autorisierte Administratoren rufen das aktuelle Passwort über das Intune-Portal, Entra-Portal oder das PowerShell-Cmdlet
Get-LapsAADPasswordab — das Passwort wird nie im Klartext gespeichert und der Abruf wird auditiert
Intune-Konfiguration für Entra-joined Geräte
Konfigurationspfad in Intune: Endpoint Security → Account Protection → Create Policy → Windows → Local admin password solution (Windows LAPS)
| Einstellung | Empfohlener Wert | Hinweis |
|---|---|---|
| Backup-Verzeichnis | Azure Active Directory | Für Entra-joined Geräte verwenden |
| Passwortgültigkeit (Tage) | 30 | 30–90 Tage üblich; kürzer = bessere Hygiene |
| Passwortkomplexität | Groß- + Kleinbuchstaben + Ziffern + Sonderzeichen | Maximale Komplexität |
| Passwortlänge | 20 | Minimum 14; 20 ist besser für Brute-Force-Resistenz |
| Administrator-Kontoname | Benutzerdefinierten Kontonamen angeben | Zuerst integrierten Admin umbenennen, dann umbenanntes Konto angeben |
| Aktion nach Authentifizierung | Passwort zurücksetzen und abmelden | Erzwingt sofortige Rotation nach Verwendung des Passworts |
Die Aktion nach Authentifizierung ist sicherheitskritisch. Wenn ein Administrator das LAPS-Passwort für legitime Fehlerbehebung abruft und damit einloggt, soll das Passwort sofort nach dem Sitzungsende rotiert werden, damit das abgerufene Credential nicht wiederverwendet werden kann. Die Karenzzeit (wie lange nach erster Verwendung bis die Rotation ausgelöst wird) auf 4–8 Stunden setzen.
Passwort abrufen
Drei Methoden, alle auditiert:
- Intune-Portal: Geräte → Gerät auswählen → Local admin password → Show local administrator password
- Entra-Portal: Geräte → Alle Geräte → Gerät auswählen → Local administrator password
- PowerShell:
Get-LapsAADPassword -DeviceIds "Gerätename" -IncludePasswords -AsPlainText
Jeder Abruf wird im Entra-ID-Auditprotokoll unter Read LAPS password protokolliert. Diese Audit-Ereignisse sollten in Ihr SIEM (Microsoft Sentinel) fließen, um unerwartete Abrufe zu melden — insbesondere außerhalb der Geschäftszeiten oder durch Konten, die normalerweise keine Geräteverwaltung durchführen.
Zugriffskontrolle für den Passwortabruf
Passwortabruf erfordert eine der folgenden Rollen:
- Globaler Administrator
- Cloud Device Administrator
- Intune-Administrator
- Benutzerdefinierte Rolle mit Berechtigung
microsoft.directory/deviceLocalCredentials/password/read
Für minimale Rechtevergabe: Benutzerdefinierte Entra-ID-Rolle nur mit der LAPS-Leseberechtigung erstellen und Helpdesk-Mitarbeitern zuweisen. Setzen Sie diese Rolle in PIM als „eligible“ statt permanent — damit erfordert jeder Abruf einen Aktivierungsschritt mit Begründung.
Betriebssystem-Voraussetzungen
- Windows 11 22H2 (KB5025239) oder neuer
- Windows 10 22H2 (KB5025221) oder neuer
- Windows Server 2022 (KB5025230), 2019, 2016
Härtungsempfehlungen
- Integrierten Administrator umbenennen bevor LAPS eingesetzt wird — Angreifer suchen gezielt nach Konten namens „Administrator“; ein umbenanntes Konto erfordert erst eine Enumeration
- Integrierten Administrator deaktivieren und ein separates benanntes lokales Admin-Konto erstellen, das LAPS verwaltet
- Netzwerkanmeldung mit lokalen Konten blockieren über Gruppenrichtlinie oder Intune (Sicherheitsoptionen: Zugriff auf diesen Computer vom Netzwerk verweigern für lokale Konten)
- LAPS-Passwortabrufe in Sentinel melden mit einer Regel, die auf die Auditprotokoll-Ereigniskategorie abzielt
Windows LAPS ist eine der Maßnahmen mit dem höchsten ROI für KMU, weil sie den häufigsten credential-basierten Lateral-Movement-Vektor mit nahezu null Betriebsaufwand nach der Ersteinrichtung eliminiert. Wenn Ihr Berliner Unternehmen Intune-verwaltete Endpunkte hat und LAPS noch nicht eingesetzt hat, sollte dies die nächste Richtlinie sein, die Sie erstellen.
Weiterfuehrende Artikel