Welche Systeme sind von Windows LAPS betroffen?

Windows Server 2019, Windows Server 2022, Windows Server 2025, Windows 10 20H2+, Windows 11 21H2+

Windows LAPS

Windows LAPS ersetzt Legacy LAPS (Microsoft LAPS). Nativ in Windows integriert seit April 2023, erweiterte Features in Server 2025.

MittelAktivLAPS

Phasen-Verlauf

April 2023

Windows LAPS eingeführt

KB5025229: Natives Windows LAPS ausgeliefert. Legacy LAPS als deprecated markiert.

November 2024

Server 2025 — Erweitert

Windows LAPS in Server 2025 mit zusätzlichen Features (automatische Account-Verwaltung, verbesserte Verschlüsselung).

TBD

Legacy LAPS CSE End-of-Support

Kein festes Datum für die Abschaltung der Legacy-LAPS-CSE. Erhält keine Updates mehr.

Betroffene Systeme

Windows Server 2019
Windows Server 2022
Windows Server 2025
Windows 10 20H2+
Windows 11 21H2+

Betroffene Features

Lokale Administratorpasswörter
LAPS
DSRM-Passwörter

Was passiert ohne Maßnahme

Legacy LAPS speichert Passwörter im Klartext in AD (ms-Mcs-AdmPwd). Ohne LAPS haben alle Maschinen identische lokale Admin-Passwörter — Pass-the-Hash-Lateral-Movement wird trivial.

Empfohlene Maßnahme

Von Legacy LAPS zu Windows LAPS migrieren. GPO-Richtlinien aktualisieren. Entra ID-Backup für LAPS-Passwörter konfigurieren.

Gruppenrichtlinien

Computer Configuration > Administrative Templates > System

LAPS

Event-IDs zur Überwachung

10018

Microsoft-Windows-LAPS

Passwort erfolgreich in Active Directory aktualisiert

10020

Microsoft-Windows-LAPS

Lokales Admin-Passwort erfolgreich aktualisiert

10029

Microsoft-Windows-LAPS

Passwort erfolgreich in Entra ID aktualisiert

Zurück zur Security Timeline