Mein Name ist Fabian Alfes und ich bin Ihr Ansprechpartner für alle Themen rund um Cloud & Collaboration, on-Prem, Hybrid oder Cloud-only. Kommen Sie mit Ihren individuellen Projekten gerne auf mich zu.
LAPS (Local Administrator Password Solution) für Windows hat sich in klassischen On-Premise-Umgebungen bereits etabliert. Nach einer ausgiebigen Testphase in der „private Preview“ ist LAPS nun endlich auch in der „public preview“ verfügbar, was vielen Administratoren entgegenkommt.
Voraussetzungen:
Um von dieser Neuerung profitieren zu können, benötigen Sie mindestens Windows 10 Version 20H2, Windows 11 Version 21H2 oder Windows Server 2019, jeweils mit den aktuellsten Sicherheitsupdates vom 11. April 2023. Diese Aktualisierungen führen dazu, dass LAPS nahtlos und direkt in das Betriebssystem integriert wird, wodurch die bisher erforderliche manuelle Installation überflüssig wird.
Aktivierung von LAPS
Entra Admin Center
Um LAPS nutzen zu können, ist es erforderlich, dass es zunächst global für Ihren Tenant aktiviert wird. Dieser Schritt stellt sicher, dass die LAPS-Funktionalität für alle Geräte und Benutzer innerhalb Ihrer Organisation verfügbar wird. Die Aktivierung erfolgt über eine einfache Einstellung im Entra Admin Center, die als Vorbereitung für die weiteren Konfigurationsschritte dient.
Nach der globalen Aktivierung von LAPS im Tenant werden alle weiterführenden Konfigurationen innerhalb von Intune vorgenommen. Dazu gehören insbesondere die Einstellungen im Bereich der Endpunktsicherheit unter der Kategorie „Kontoschutz“. Hier legen Sie die spezifischen Richtlinien und Parameter fest, die bestimmen, wie LAPS auf den Geräten Ihrer Organisation implementiert wird.
Die LAPS-Richtlinie legt das zu verwaltende Konto auf dem Gerät nicht automatisch an. Diese Einrichtung muss separat sichergestellt werden. Ein praktischer Weg, dies zu bewerkstelligen, ist die Verwendung von OMA-URI-Einstellungen innerhalb von Intune.
Wenn in der LAPS-Richtlinie kein spezifischer Kontoname angegeben wird, zielt LAPS standardmäßig auf das „Administrator“-Konto ab. Allerdings ist dieses Konto in der Regel aus Sicherheitsgründen deaktiviert. Um dieses Konto automatisiert zu aktivieren, bietet Intune eine Lösung an.
Abrufen des Kennworts
Nachdem die Konfiguration von LAPS abgeschlossen und aktiviert ist, gibt es verschiedene Wege, um das verwaltete Kennwort abzurufen. Eine gängige und intuitive Methode ist die Nutzung der Geräte-Detailansicht in Intune. In dieser Ansicht können Administratoren spezifische Informationen zu einzelnen Geräten einsehen, einschließlich der durch LAPS gesetzten Kennwörter.
Eine weitere Möglichkeit, das über LAPS verwaltete Kennwort abzurufen, besteht darin, direkt auf Azure AD bzw. Microsoft Entra zuzugreifen. Diese Option ist besonders nützlich, wenn Sie zentrale Verwaltungsfunktionen nutzen möchten, die über die lokalen Geräteeinstellungen in Intune hinausgehen.
LAPS ist eine kostenfreie Erweiterung für Microsoft Active Directory (AD), die es IT-Administratoren erlaubt, lokale Administratorkennwörter für Windows-Systeme automatisch zu erstellen, zu verwalten und regelmäßig zu erneuern. Dies steigert die Sicherheit in Unternehmensnetzwerken, indem für jedes Gerät starke, zufällige Kennwörter generiert werden, wodurch die Gefahr von Cyberbedrohungen sinkt.
Die Hauptvorteile von LAPS sind:
Automatisierung: Vereinfacht die Kennworterneuerung und erhöht die Sicherheit durch regelmäßige, geplante Wechsel.
Einmaligkeit: Reduziert das Risiko von Pass-the-Hash-Angriffen durch einzigartige Kennwörter für jedes Gerät.
Kostenersparnis: Verursacht keine zusätzlichen Lizenzkosten, was die Lösung für alle Unternehmensgrößen zugänglich macht.
Kompatibilität: Lässt sich problemlos in bestehende Active Directory-Strukturen integrieren.
Zentralisierte Verwaltung: Ermöglicht schnellen Zugriff auf lokale Administratorkonten im Bedarfsfall.
Compliance: Unterstützt die Einhaltung von Sicherheitsvorgaben durch regelmäßige Erneuerung starker und einzigartiger Kennwörter.
Als robuste und benutzerfreundliche Lösung empfehlen wir IT-Verantwortlichen, LAPS in ihre Sicherheitsstrategien einzubeziehen, um ihr Netzwerk effektiv gegen Cyberangriffe zu schützen.
