Windows Local Administrator Password Solution (LAPS)

Neue Funktionen & Probleme bei Verwendung von Legacy-Version nach Windows-Update

Neue Funktionen und Probleme bei Verwendung von Legacy-Version nach Windows-Update

Lokale Administrator-Konten auf Windows Clients und Servern sind ein beliebtes Ziel von Angreifern. Wenn ein Angreifer das Kennwort eines lokalen Administrators in der Domäne kennt, kann er damit in der Regel auch auf andere Clients zugreifen und sich weiter ausbreiten. Microsoft hat bereits 2015 das kostenfreie Produkt „Local Administrator Password Solution“ (LAPS) veröffentlicht, um diese Angriffsmöglichkeit einzuschränken. Mit LAPS werden die Kennwörter der lokalen Administratoren regelmäßig geändert und auf jedem Client wird ein anderes komplexes Kennwort vergeben. Die Kennwörter werden zentral und sicher im Active Directory gespeichert und können dort ausgelesen und konfiguriert werden.

Seit dem letzten Microsoft Patchday (11. April 2023) ist die neueste LAPS-Version – namens Windows LAPS – verfügbar. Die bisherige LAPS-Generation bezeichnet Microsoft fortan als Legacy LAPS.

Windows LAPS bietet gegenüber dessen Vorgänger folgende neue Funktionen:

  • Keine Installation auf Clients nötig, Windows LAPS ist mit den letzten Updates in Windows 10, Windows 11, Windows Server 2019 und Windows Server 2022 integriert
  • Kennwortverlauf speichern
  • Kennwörter werden verschlüsselt im Active Directory gespeichert
  • Automatische Rotation des Kennworts, wenn es verwendet, wurde
  • Sicherung von Directory Service Restore Mode (DSRM) Kennwörtern
  • Die Kennwörter können im Azure Active Directory abgelegt werden und über Intune verwaltet werden (geschlossene Preview-Version)
Leider kann es nach der Installation der letzten Windows Updates auf einem Windows 10/11 Client, bzw. auf einem Server mit Windows Server 2019/2022, zu Problemen kommen. Wurde zuerst das kumulative Update aus dem April 2023 installiert und anschließend der Legacy LAPS-Agent, funktioniert die automatische Kennwortänderung mit keiner der beiden LAPS-Versionen mehr.
Gelöst werden kann das Problem, indem auf dem betroffenen System alle Werte unterhalb des folgenden Registrierungsschlüssels gelöscht werden: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\LAPS\State. Alternativ wird Legacy LAPS deinstalliert und auf die neue Windows LAPS Version migriert.
Die Probleme können durch die Analyse der Logs oder durch das Feststellen ungewöhnlich langer Kennwortänderungsintervalle der lokalen Administratoren festgestellt werden. Wir unterstützen Sie gerne bei der Identifizierung der Probleme und bei der Suche nach der richtigen Lösung. Kontaktieren Sie uns einfach!

Weitere Informationen zur neuen Windows LAPS Version:

Allgemeine Hinweise zum IOK-Blog

Der IOK Blog stellt IT-Administratoren aktuelle und aus unserer Sicht relevante Informationen zur Verfügung. „Kurz und knackig“ wollen wir Sie so informiert halten. Für sämtliche Informationen gilt Folgendes:

  • Die Informationen wurden sorgfältig recherchiert, gelten aus unserer Sicht aber nur zum Zeitpunkt der Veröffentlichung. Bitte eventuelle Updates ggf. bei den genannten Ansprechpartnern der IOK oder bei Herstellern erfragen.
  • Irrtum und Änderungen sind vorbehalten.
  • IOK übernimmt keine Gewährleistung und Haftung für Schäden, die sich direkt oder indirekt aus der Umsetzung der von uns publizierten Artikel und vorgeschlagenen Vorgehensweisen und Informationen ergeben.
  • Technische Informationen und Lizenzbedingungen der Hersteller gelten in jedem Fall.

Wir wünschen Ihnen nun viel Erfolg mit den Infos aus dem IOK-Blog!

Wünschen Sie einen Rückruf zu diesem IOK Blogpost?

Sie haben Fragen oder benötigen Unterstützung? Wir rufen Sie zurück!