Microsoft LAPS ist ab dem Update vom 11. April 2023 – KB5025229 (OS Build 17763.4252) nativ in Windows integriert. Eine Installation des MSI-Pakets ist nicht mehr nötig!
Inhalt
Was ist Microsoft LAPS?
Die Passwörter der lokalen Administrator-Accounts auf Windows Clients in einem Unternehmen sind oft nicht stark genug, werden selten geändert oder sind auf allen Geräten die gleichen. Dadurch entsteht ein Einfallstor für Hacker. Microsoft LAPS schafft hier Abhilfe!
Microsoft LAPS steht für “Local Administrator Password Solution”. Es ist eine kostenlose Sicherheitslösung von Microsoft, die speziell für Unternehmen entwickelt wurde, um das Passwort-Management für lokale Administrator-Accounts zu verbessern.
Über Microsoft LAPS kann ein zufälliges Passwort für lokalen Administrator Accounts generiert werden, welche in regelmäßigen Zeitabständen automatisch geändert wird. Die Passwörter können in einer Domäne im Active Directory verwaltet werden. Sie werden in einem Attribut auf dem Computerobjekt gespeichert.
Per Gruppenrichtlinie kann die Komplexität, die Länge und der Zeitabstand der Änderung des Passworts festgelegt werden.
Das neue Windows LAPS 2.0
Bislang musste Windows LAPS über eine MSI Datei auf den Clients und Servern installiert werden. Dies ist seit dem Update KB5025229 nicht mehr nötig, außerdem gibt es neue Gruppenrichtlinien Features und ein neues PowerShell Modul. Das Update gibt es ab sofort für folgende Windows Editionen:
- Windows 11 Pro, EDU und Enterprise
- Windows 10 Pro, EDU und Enterprise
- Windows Server 2022 und Windows Server Core 2022
- Windows Server 2019
Über das Powershell Modul kann man jetzt z.B. mit:
Set-LapsADReadPasswordPermissioneiner Gruppe die Berechtigung geben, LAPS Passwörter auszulesen. Oder mit:
Reset-LapsPasswordkann das Passwort rotiert werden. Alle Befehle findest du hier.
Die Berechtigungen müssen mit den neuen PowerShell Befehlen neu gesetzt werden. Die Berechtigungen werden vom alten LAPS nicht übernommen.
In den Gruppenrichtlinien gibt es jetzt weitere Konfigurationsmöglichkeiten:
Die neuen Einstellungen befinden sich jetzt unter: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> System -> LAPS
In der alten Version war es unter: Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> LAPS.
Wenn ihr einen zentralen Speicher nutzt und ihr folgende Fehlermeldung bekommt:
Für Datei „C:\Windows\PolicyDefinitions\LAPS.admx“ konnte keine geeignete Ressourcendatei gefunden werden (Fehler = 2):Das System kann die Datei nicht finden.
müsst ihr die adml Datei von dem Pfad „C:\Windows\PolicyDefinitions\de-de“ manuell in den zentralen Speicher „\\domäne\SYSVOL\domäne\Policies\PolicyDefinitions\de-de“ kopieren.
Evtl. fehlt im zentralen Speicher auch die admx Datei, in dem Fall muss diese Datei auch in den zentralen Speicher kopiert werden.
Im Active Directory gibt es nun einen Reiter „LAPS“:
Wenn die Berechtigungen mit PowerShell nicht gesetzt wurden, bleiben die Felder leer!
Die LAPS UI funktioniert leider mit dem neuen LAPS nicht mehr.
Es wird von Microsoft empfohlen, das Update durchzuführen und die neuen Funktionen zu übernehmen, um von den neuen Sicherheitsverbesserungen zu profitieren.
