Obwohl der Einsatz von lokalen Administratorrechten zur Erfüllung bestimmter Aufgaben durchaus gerechtfertigt sein kann, werden dafür (leider) oft lokale Konten mit festen Passwörtern verwendet, die auf mehreren Rechnern identisch sind. Die Passwörter werden außerdem häufig über einen längeren Zeitraum nicht geändert. In dringenden Fällen werden diese Passwörter sogar weitergegeben oder unverschlüsselt dokumentiert. Solche Praktiken führen oft zu „gewachsenen Strukturen“, die aus Sicherheitssicht hochproblematisch sind.

Denn wer lokale Administratorrechte hat, kann auf einem Gerät praktisch alles tun: Programme installieren, Sicherheitseinstellungen ändern, sogar Spuren verwischen. Für Angreifer sind solche Konten ein gefundenes Fressen.

Die Lösung heißt Microsoft LAPS

Microsoft hat dieses Problem erkannt und eine Lösung geschaffen, die effektiv und unauffällig ist: LAPS, die Local Administrator Password Solution.

Was macht LAPS?

  • Es generiert für jeden Rechner ein eigenes lokales Admin-Passwort.
  • Es speichert diese Passwörter zentral und verschlüsselt im Active Directory.
  • Nur autorisierte Personen können das jeweilige Passwort auslesen.

Der Clou: Das Passwort wird nach jeder Verwendung automatisch geändert. Kein wildes Weiterreichen mehr, kein Passwort-Recycling, kein Risiko durch veraltete Zugangsdaten.

Warum ist LAPS gerade jetzt wichtig?

Moderne Angriffe konzentrieren sich zunehmend darauf, Schwachstellen in den internen IT-Strukturen auszunutzen – insbesondere dort, wo Benutzer zu viele Rechte haben. Wer es schafft, ein Gerät zu kompromittieren und dabei Admin-Rechte erhält, kann sich oft ungehindert weiterbewegen – lateral durchs Netzwerk, bis hin zum Domain Controller.

LAPS unterbricht diese Kette. Selbst wenn ein Angreifer das lokale Admin-Konto eines Geräts übernimmt, kommt er nicht weiter, weil alle anderen Geräte ein anderes, unbekanntes Passwort haben.

Wie komplex ist die Einführung von LAPS?

Die gute Nachricht: LAPS ist keine Raketenwissenschaft. Für Unternehmen, die bereits mit einem Active Directory arbeiten, lässt sich die Lösung mit überschaubarem Aufwand einführen.

Natürlich braucht es:

  • eine saubere Konfiguration,
  • passende Gruppenrichtlinien,
  • und einen Plan, wer Zugriff auf die Passwörter erhält.

Das Ergebnis lohnt sich nicht nur aus Sicherheitsperspektive, sondern auch im Hinblick auf Audits und Compliance-Anforderungen.

Sie möchten wissen, wie LAPS konkret in Ihrem Unternehmen implementiert werden kann?

Ob Sie bereits mit Active Directory arbeiten oder erst den Einstieg in eine zentral verwaltete Umgebung planen, wir zeigen Ihnen, wie Sie mit Microsoft LAPS Ihre lokalen Administratorrechte sicher in den Griff bekommen.

Jetzt Beratungstermin vereinbaren

 

Alle Beiträge