Windows LAPS: Lokales Administratorkennwort für kleine Unternehmen in Berlin
Auf jedem Windows-Gerät existiert ein lokales Administratorkonto – ein Konto, das ausserhalb der Microsoft-Entra-ID-Identitätsgrenze liegt, keinen Conditional-Access-Richtlinien unterliegt und keine Entra-ID-Risikoereignisse auslöst. In den meisten kleinen Unternehmen ist dieses Konto auf jedem Gerät mit demselben Kennwort versehen, das beim Imaging gesetzt und seitdem nie geändert wurde. Wer dieses Kennwort einmal erlangt, kann sich auf allen Geräten der Organisation als lokaler Administrator anmelden – ohne ein einziges Identitätssignal auszulösen. Windows LAPS (Local Administrator Password Solution) eliminiert diesen Angriffsvector, indem das lokale Administratorkennwort auf jedem Gerät automatisch rotiert und in Microsoft Entra ID sicher gespeichert wird – ein einzigartiges, zufällig generiertes Kennwort pro Gerät, nach Plan rotiert.
Windows LAPS ist in Windows 10 22H2, Windows 11 und Windows Server 2019 und später integriert. Für Entra-ID-verbundene Geräte benötigt es nur eine Entra-ID-P1-Lizenz – bereits in Microsoft 365 Business Premium enthalten. Die Bereitstellung über eine Intune-Richtlinie dauert weniger als eine Stunde.
Das Problem mit gemeinsam genutzten lokalen Administratorkennwörtern
Lokale Administratorkonten sind ein blinder Fleck in der Identitätssicherheit kleiner Unternehmen. Sie existieren ausserhalb des Identitätsperimeters: kein Entra-ID-Konto, keine Conditional-Access-Richtlinien, keine Risikoerkennung durch Entra ID Protection. In Umgebungen, in denen jedes Gerät dasselbe lokale Administratorkennwort verwendet – ein häufiges Ergebnis imagebasierter Bereitstellungen – ermöglicht ein einziges kompromittiertes Gerät den sofortigen Administratorzugriff auf alle anderen Geräte.
Dies ist der Mechanismus hinter einem grossen Teil der Ransomware-Bereitstellungen: initialer Zugriff über Phishing, Credential-Erfassung von einem Gerät, Lateral Movement mit dem gemeinsamen lokalen Administratorkennwort, massenhafte Ransomware-Verteilung von einem einzelnen Konto, das auf jedem Gerät existiert. LAPS unterbricht diese Kette beim Lateral-Movement-Schritt.
Wie Windows LAPS funktioniert
Windows LAPS ist als Komponente des Windows-Betriebssystems implementiert und wird über eine Gerätekonfigurationsrichtlinie in Intune gesteuert. Der Ablauf ist unkompliziert:
- Richtlinienzuweisung: Eine LAPS-Richtlinie wird über Intune an Geräte übertragen und legt das Zielkonto, Kennwortkomplexitätsanforderungen, das Rotationsintervall und den Speicherort (Entra ID oder lokales Active Directory) fest.
- Kennwortgenerierung und Upload: Bei jedem Rotationsintervall generiert die LAPS-Komponente auf dem Gerät ein kryptografisch zufälliges Kennwort und lädt es verschlüsselt in Entra ID hoch (als Geräteattribut gespeichert).
- Kennwortrotation: Das lokale Administratorkonto erhält das neu generierte Kennwort. Das vorherige Kennwort wird sofort ungültig.
- Autorisierter Abruf: IT-Administratoren rufen das aktuelle Kennwort für ein bestimmtes Gerät über das Intune Admin Center, das Entra-ID-Portal oder die Microsoft-Graph-API ab – mit vollständigem Prüfpfad jedes Abrufs.
Voraussetzungen
- Betriebssystem: Windows 10 22H2 (KB5025221+), Windows 11 21H2 (KB5025224+), Windows Server 2019 (KB5025229+) oder Windows Server 2022 (KB5025230+).
- Geräteverknupfung: Entra-ID-verbunden oder hybrid-verbunden. Nur im Arbeitsbereich registrierte Geräte werden nicht unterstützt.
- Lizenz: Microsoft Entra ID P1 (in Microsoft 365 Business Premium enthalten).
- Verwaltung: Microsoft Intune für die Richtlinienbereitstellung.
Windows LAPS über Intune konfigurieren
Navigieren Sie zu Intune Admin Center › Endpunktsicherheit › Kontoschutz › Richtlinie erstellen › Windows 10 und höher › Windows LAPS. Die Richtlinie erfordert vier Entscheidungen:
- Sicherungsverzeichnis: Wählen Sie „Azure Active Directory“ (Entra ID) für cloudnative Umgebungen.
- Kennwortalter (Tage): 14 Tage sind ein vernünftiger Standard für die meisten KMU.
- Kennwortkomplexität: Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen mit einer Mindestlänge von 14 Zeichen.
- Administratorkontoname: Leer lassen, um das integrierte Administratorkonto (RID 500) anzusprechen, oder einen benutzerdefinierten Namen angeben.
LAPS in Entra ID aktivieren
Bevor die Intune-Richtlinie wirksam wird, muss LAPS auf Tenant-Ebene aktiviert werden: Entra Admin Center › Geräte › Geräteeinstellungen › Einstellungen für lokale Administratoren › Azure-AD-LAPS aktivieren = Ja. Diese einmalige Tenant-Einstellung ermöglicht es der Infrastruktur, LAPS-Kennwort-Uploads von Geräten zu akzeptieren. Ohne sie wenden Geräte die Richtlinie lokal an, können aber keine Kennwörter in Entra ID speichern.
LAPS-Kennwörter abrufen
Wenn ein Techniker lokalen Administratorzugriff auf ein bestimmtes Gerät benötigt, ruft er das aktuelle LAPS-Kennwort über eine von drei Methoden ab:
- Intune Admin Center: Geräte › [Gerätename] › Lokales Administratorkennwort. Das aktuelle Kennwort wird mit seinem Ablaufdatum angezeigt.
- Entra-ID-Portal: Geräte › [Gerätename] › Lokales Administratorkennwort. Erfordert die Rolle „Lokaler Geräteadministrator“.
- Microsoft Graph API: GET /devices/{id}/localCredentials – geeignet für automatisierte Workflows oder Helpdesk-Tools.
Jeder Kennwortabruf wird im Entra-ID-Überwachungsprotokoll mit Zeitstempel, Gerät und Identität des abrufenden Benutzers protokolliert. Dies liefert den Nachweisüberblick, den Compliance-Audits und NIS2-Meldeanforderungen erwarten.
Rotation nach der Authentifizierung
Windows LAPS unterstützt die Rotation nach der Authentifizierung: Nach einer interaktiven Anmeldung oder Remotesitzung mit dem lokalen Administratorkonto wird das Kennwort automatisch rotiert. Konfigurieren Sie dies in der Intune-Richtlinie: Aktionen nach der Authentifizierung: Kennwort zurücksetzen und verwaltetes Konto abmelden, mit einer Toleranzzeit von 24 Stunden, damit der Techniker seine Arbeit abschliessen kann.
LAPS als Teil der Strategie für privilegierten Zugriff
Windows LAPS adressiert lokale Konten auf Geräten. Die komplementären Kontrollen für Cloud-privilegierte Konten sind Microsoft Entra Privileged Identity Management (für Just-in-Time-Erhebung zu Administratorrollen) und Conditional Access (für MFA und Gerätekonformität vor administrativem Zugriff). Zusammen schlösst LAPS + PIM + Conditional Access die drei primären Pfade zur Rechteausweitung: Wiederverwendung lokaler Konten auf mehreren Geräten, dauerhafte Cloud-Administratorrollenzuweisungen und schwache Authentifizierung für Cloud-Administrationsvorgänge.
Für Berliner KMU mit NIS2-Verpflichtungen erfüllt die LAPS-Bereitstellung die technische Maßnahme zum Privileged-Access-Management. Es ist eine der Sicherheitsmaßnahmen mit dem höchsten Nutzen-Kosten-Verhältnis: kostenlos zu lizenzieren, schnell bereitzustellen und dauerhaft wirksam gegen eine Klasse von Angriffen, die einen erheblichen Anteil der KMU-Ransomware-Vorfälle in Deutschland verursacht hat.
Weiterfuehrende Artikel
- Microsoft Entra PIM: Windows LAPS verwaltet lokale Administratorkonten auf Geräten, PIM verwaltet privilegierte Cloud-Administratorrollen in Entra ID – zusammen schliessen sie beide Pfade zur Rechteausweitung mit automatischer Rotation und Just-in-Time-Erhebung
- Microsoft Defender for Endpoint: LAPS und MDE bieten komplementären Endpunktschutz – LAPS eliminiert gemeinsam genutzte lokale Administratorkennwörter, die Lateral Movement ermöglichen, MDE erkennt und enthält Bedrohungen auf den durch LAPS geschützten Geräten
- Conditional Access: LAPS-verwaltete Geräte in Conditional-Access-Richtlinien einbeziehen – Geräteintegrität und konforme Konfiguration als Zugriffsbedingungen erzwingen, damit nur ordnungsgemäss verwaltete Endpunkte Zugriff auf Unternehmensressourcen erhalten