Windows Local Administrator Password Solution (LAPS)
Windows LAPS - neue Komplexitätsstufen & Passphrases
Seit April 2023 ist Windows LAPS verfügbar – eine logische Weiterentwicklung dessen Vorgängers Legacy LAPS. Windows LAPS brachte einige zusätzliche Funktionen, wie beispielsweise eine Historie der generierten Kennwörter oder das verschlüsselte Ablegen der Passwörter im Active Directory. Hierüber hatten wir in diesem Blog-Artikel berichtet.
Ab einem der kommenden Windows 11 Insider Preview Builds (26031) wird es Microsoft den Windows Administratoren noch einfacher machen lange und komplexe Kennwörter zu nutzen, ohne auf die gewünschte Sicherheit zu verzichten.
Bislang erlaubt Windows LAPS die Nutzung der folgenden 4 Komplexitätsstufen:
1 – Großbuchstaben
2 – Klein- und Großbuchstaben
3 – Klein- und Großbuchstaben sowie Zahlen
4 – Klein- und Großbuchstaben sowie Zahlen und Sonderzeichen
Das angekündigte Insider Preview Build wird neben diesen 4 Stufen weitere Optionen anbieten:
Stufe 5 (vereinfachte Kennwörter – trotzdem sicher)
Die Komplexität ist identisch zu Stufe 4, jedoch werden beim Generieren der Kennwörter bestimmte Zeichen ausgenommen, die sich mitunter nicht eindeutig lesen oder gar umständlich tippen lassen. Hierzu gehören:
Entfernte Buchstaben ‚I‘, ‚O‘, ‚Q‘, ‚l‘, and ‚o‘
Entfernte Zahlen ‚0‘ and ‚1‘
Entfernte Sonderzeichen ‚,‘, ‚.‘, ‚&‘, ‚{‚, ‚}‘, ‚[‚, ‚]‘, ‚(‚, ‚)‘, and ‚;‘
Einige Zeichen sind hingegen bislang nicht in Komplexitätsstufe 4 enhalten und werden zukünftig in Stufe 5 bereitstehen:
Hinzugefügte Sonderzeichen ‚:‘, ‚=‘, ‚?‘, and ‚*‘
Stufen 6 – 8 (Passphrases)
Um gängige Passwort-Angriffsmethoden (wie bspw. Brute Foce- oder Rainbow Table-Attacken) zu erschweren, rät Microsoft zu komplexen und, vor allem, langen Kennwörtern.
Hierbei kommen ‚Passphrases‘ ins Spiel. Anders als ‚Passwords‘ enthalten diese nicht nur einzelne Wörter mit gewissen Ergänzungen oder Variationen (bspw. ‚Kennwort123‘). Stattdessen setzen sich ‚Passphrases‘ aus ganzen Phrasen bzw. Sätzen oder einfach mehreren zufälligen Wörtern zusammen.
Angreifer sollten den „Kennwort-Satz“ idealerweise nicht mithilfe von Rainbow Tables ermitteln können. Deshalb ist es ratsam mehrere Wörter, die am besten nichts miteinander gemein haben, zu einer Passphrase zu verketten.
Beispiel-Wörter:
Ballon
Heckenschere
Decke
Beispiel-Passphrase:
Ballon&HeckenschereSteckenGemeinsamUnter1Decke
Dieses Prinzip der Kennwort-Erstellung greift Microsoft zukünftig in den Komplexitätsstufen 6 bis 8 auf.
6 – lange Wörter
7 – kurze Wörter
8 – kurze Wörter, deren ersten 3 Buchstaben sich jeweils unterscheiden
Je nach ausgewählter Stufe, werden beim Generieren der Kennwörter mehrere lange oder kurze Wörter aneinander gereiht (ähnlich dem obigen Beispiel). Die Anfangsbuchstaben der Wörter sind jeweils in Großbuchstaben gehalten – das erleichtert das Lesen der jeweiligen Passphrase. Wieviele Wörter hintereinander gekettet werden, lässt sich festlegen (zwischen 3 und 10, Standard = 6). Welche Wörter hierbei genutzt werden, ist öffentlich einsehbar (siehe Links unten). Obacht: es handelt sich ausschließlich um englische Begriffe.
Wann das Windows 11 Insider Preview Build 26031 veröffentlicht wird, und mit welchem Windows Update die oben beschriebenen Neuerungen Einzug in die regulären Windows 11 Releases halten, ist aktuell (Stand 22.01.2024) leider noch nicht bekannt. Außerdem bleibt abzuwarten, ob diese neuen Features auch für andere, vor allem ältere Betriebssysteme wie Windows 10 oder Windows Server 2019 bereitgestellt werden. Auf jeden Fall handelt es sich hierbei um eine spannende Erweiterung eines wichtigen Admin-Werkzeugs.
Sie haben Fragen zu Windows LAPS? Sprechen Sie uns an!
Allgemeine Hinweise zum IOK-Blog
Der IOK Blog stellt IT-Administratoren aktuelle und aus unserer Sicht relevante Informationen zur Verfügung. „Kurz und knackig“ wollen wir Sie so informiert halten. Für sämtliche Informationen gilt Folgendes:
- Die Informationen wurden sorgfältig recherchiert, gelten aus unserer Sicht aber nur zum Zeitpunkt der Veröffentlichung. Bitte eventuelle Updates ggf. bei den genannten Ansprechpartnern der IOK oder bei Herstellern erfragen.
- Irrtum und Änderungen sind vorbehalten.
- IOK übernimmt keine Gewährleistung und Haftung für Schäden, die sich direkt oder indirekt aus der Umsetzung der von uns publizierten Artikel und vorgeschlagenen Vorgehensweisen und Informationen ergeben.
- Technische Informationen und Lizenzbedingungen der Hersteller gelten in jedem Fall.
Wir wünschen Ihnen nun viel Erfolg mit den Infos aus dem IOK-Blog!