Ein kurzes Follow-up zum Artikel „Effektive Sicherheit mit Microsofts Local Administrator Password Solution (LAPS)“ auf LinkedIn
Eine kurze und knappe Zusammenfassung: Windows Local Administrator Password Solution (LAPS) ist eine Sicherheitsfunktion von Microsoft, die dazu entwickelt wurde, die Verwaltung lokaler Administratorpasswörter auf Windows-Geräten zu vereinfachen und zu sichern. Ursprünglich als eigenständiges MSI-Paket verfügbar, ist LAPS mittlerweile direkt in Windows integriert. LAPS funktioniert, indem es automatisch starke, einzigartige Passwörter für lokale Administrator-Konten generiert und diese sicher in Active Directory oder Entra ID speichert. Die Passwörter können dann von berechtigten Benutzern oder Gruppen abgerufen werden, wenn sie bspw. für Supportzwecke benötigt werden. Durch die automatische Rotation der verwalteten Passwörter trägt LAPS dazu bei, die Angriffsfläche zu verringern, die durch statische oder im gesamten Netzwerk geteilte und identische lokale Administratorpasswörter entsteht.
Schauen wir in die Zukunft und was uns in den Windows Server 2025 bzw. Windows 11 Insider Builds ab dem Build 26040 erwartet!
Automatische Kontoverwaltung
Die automatische Kontoverwaltung ermöglicht es IT-Administratoren, dass lokale, zu verwaltende Konto automatisiert und bei Bedarf randomisiert zu erstellen. Das Konto kann dabei aktiviert oder auch deaktiviert werden. Bei der Account-Randomization wird dem vorgegebenen Namen eine sechsstellige, zufällige Zahl angefügt, welche bei jeder Passwortrotation ebenfalls rotiert.
Verbesserte Lesbarkeit durch andere Schriftart und optionale Komplexität
Die Schriftart im Active Directory-Benutzer und -Computer Snap-In auf der Registerkarte „LAPS“ wurde angepasst, womit eine bessere Lesbarkeit gewährleistet wird. Ebenfalls wird eine neue Komplexität für die generierten Kennwörter eingeführt:
- Die Buchstaben „I“, „l“, „O“, „Q“ und „o“ werden entfernt
- Die Zahlen „0“ und „1“ werden entfernt
- Die Sonderzeichen „,“, „.“, „&“, „{„, „}“, „[„, „]“, „(„, „)“ und „;“ werden entfernt
- Die Sonderzeichen „:“, „=“, „?“ und „*“ kommen hinzu
Unterstützung von Kennwortsätzen (Passphrasen)
Die neue LAPS Client Side Extension (CSE) ermöglicht es nun auch, Kennwörter aus mehreren Wörtern als „Kennwortsatz“ zu setzen. Die CSE bedient sich dabei der EFF Wortlisten (EFF’s New Wordlists for Random Passphrases | Electronic Frontier Foundation). Der LAPS Kennwortsatz „LizardQuartersAbundantFinalistDaytimePrincess“ ist ohne Copy&Paste Möglichkeit bspw. deutlich einfacher einzugeben als „YaTh+RyDqnrO$1HOJNL5xdJ1lhaYBZvZ“. Ebenfalls lässt sich ein solcher Kennwortsatz einem Dienstleister oder Helpdesk Mitarbeiter auch deutlich einfacher am Telefon übermitteln.
Image Rollback Erkennung
Durch ein neues Attribut „msLAPS-CurrentPasswordVersion“ im Active Directory Schema bietet Windows LAPS jetzt eine Image Rollback Erkennung. Wird bspw. durch das Zurücksetzen eines Hyper-V Snapshots auch das lokale, von LAPS verwaltete Kennwort auf den alten Stand zurückgesetzt, konnte sich ein Administrator bislang nicht mit dem verwalteten Konto anmelden bis das Kennwort rotiert wurde. Durch das neue Attribut „msLAPS-CurrentPasswordVersion“ wird eine Inkonsistenz erkannt und automatisch behoben.
Weitere Informationen zu Windows LAPS:
- Windows LAPS architecture | Microsoft Learn
- Windows LAPS account management modes | Microsoft Learn
- Windows LAPS passwords and passphrases | Microsoft Learn