Local Administrator Password Solution
Microsoft-Lösung zur automatischen Verwaltung und Rotation lokaler Administratorpasswörter auf allen Domänencomputern.
LAPS ist eine Microsoft-Lösung, die lokale Administratorpasswörter auf allen domänenverbundenen Computern automatisch verwaltet. Jedes Gerät erhält ein einzigartiges, zufällig generiertes Passwort, das regelmäßig rotiert und sicher im Active Directory gespeichert wird. Dies verhindert Pass-the-Hash-Angriffe über identische lokale Admin-Passwörter.
Das Problem ohne LAPS
In vielen Unternehmen verwenden alle Rechner dasselbe lokale Administratorpasswort — oft seit der Ersteinrichtung oder Imageverteilung. Ein Angreifer, der dieses eine Passwort erlangt (z. B. durch Auslesen des NTLM-Hashes auf einem kompromittierten Gerät), hat sofort lokalen Admin-Zugriff auf alle Rechner im Netzwerk. Das ist einer der häufigsten Angriffspfade für Lateral Movement: Der Angreifer bewegt sich von Rechner zu Rechner, sammelt weitere Zugangsdaten ein und arbeitet sich bis zu einem Domain-Admin-Konto vor.
In der Praxis ist dieses Szenario keine Ausnahme, sondern der Regelfall. Selbst Unternehmen, die regelmäßig Passwörter ändern, setzen häufig auf allen Geräten dasselbe neue Passwort — was das Grundproblem nicht löst.
Wie LAPS funktioniert
LAPS automatisiert den gesamten Prozess der Passwortverwaltung. Ein Agent auf jedem Gerät generiert in konfigurierbaren Intervallen ein neues, zufälliges Passwort für das lokale Administratorkonto. Dieses Passwort wird als verschlüsseltes Attribut im Computerobjekt des Active Directory gespeichert. Nur berechtigte Administratoren können das Passwort eines bestimmten Geräts auslesen — über PowerShell, die LAPS-UI oder das Windows Server Active Directory Users and Computers Snap-in.
Die Konfiguration erfolgt über Gruppenrichtlinien: Passwortlänge, Komplexität, Rotationsintervall und welches lokale Konto verwaltet wird, lassen sich zentral steuern. Sobald ein Passwort abgerufen wurde, kann eine sofortige Rotation erzwungen werden, damit das ausgelesene Passwort nur für die aktuelle Wartungssitzung gültig ist.
Windows LAPS vs. Legacy LAPS
| Merkmal | Legacy LAPS | Windows LAPS |
|---|---|---|
| Passwort-Speicherung | Klartext im AD-Attribut | Verschlüsselt im AD-Attribut |
| Cloud-Support | Nur On-Premise AD | On-Premise AD und Entra ID |
| Passwort-Verschlüsselung | Nicht verfügbar | AES-256 verschlüsselt |
| Passwort-Historie | Nicht verfügbar | Verfügbar |
| DSRM-Konto-Support | Nicht verfügbar | Verfügbar (Domain Controller) |
| Betriebssystem | Separater Download | In Windows integriert (ab April-2023-Update) |
Windows LAPS (ab dem April-2023-Update für Windows Server 2019+ / Windows 10 20H2+) ersetzt die ältere Legacy-LAPS-Lösung. Die wichtigste Verbesserung ist die verschlüsselte Speicherung der Passwörter im Active Directory — Legacy LAPS speicherte Passwörter im Klartext, was bei unzureichender ACL-Konfiguration ein Sicherheitsrisiko darstellte. Die Migration von Legacy zu Windows LAPS ist empfehlenswert und lässt sich schrittweise durchführen.
LAPS im Kontext des Tiering-Modells
LAPS ist ein fundamentaler Baustein des Tiering-Modells. Es stellt sicher, dass lokale Admin-Konten auf Tier-2-Systemen (Arbeitsplatzrechner) nicht als Sprungbrett für Angriffe auf höhere Tiers genutzt werden können. In Kombination mit PAM für privilegierte Domänenkonten und dem Tiering-Modell für die administrative Trennung entsteht eine Defense-in-Depth-Strategie für die gesamte Identitätsinfrastruktur.
Relevanz für KMUs
LAPS ist eine der wirkungsvollsten Sicherheitsmaßnahmen mit dem besten Aufwand-Nutzen-Verhältnis. Die Lösung ist kostenlos, in Windows integriert und lässt sich innerhalb weniger Stunden für die gesamte Domäne ausrollen. Es gibt keinen triftigen Grund, auf LAPS zu verzichten — und dennoch fehlt es in der Praxis bei einem Großteil der mittelständischen Unternehmen. Die Einrichtung erfordert lediglich eine Schema-Erweiterung im Active Directory, die Konfiguration einer Gruppenrichtlinie und die Anpassung der Zugriffsberechtigungen auf das Passwort-Attribut.