Microsoft Cloud

Letzte Änderung: 2025-08-18

Windows LAPS für Admins: Wieso sich der Wechsel lohnt

Lokale Administratorkonten sind in vielen Unternehmen eine tickende Zeitbombe. Statische Passwörter, fehlende Rotation und eine unzureichende zentrale Verwaltung sind Schwachstellen, die Hacker gerne und gnadenlos ausnutzen. Schnell stellt sich die Frage: Wie können wir diese Sicherheitslücken schließen?

Vor zwei, drei Jahren war die eindeutige Antwort: Microsoft Legacy LAPS. Mittlerweile ist dieses Produkt und dessen Gruppenrichtlinien als Lösung aber schon etwas veraltet. Microsoft lässt uns aber nicht hängen und hat mit Windows LAPS ein leistungsstarkes Sicherheits-Tool geschaffen, das es in sich hat!

Grafik zu Windows LAPS mit einem Farbverlauf von blau zu lila

Mit dieser modernisierten Version können wir unsere lokalen Administrator-Konten wesentlich effizienter verwalten und absichern. Windows LAPS ist Bestandteil der Microsoft Umgebung und lässt sich bequem über die Cloud bearbeiten. Und statt uns mit komplizierten Installationsskripten herumzuschlagen, können wir Windows LAPS einfach über Intune steuern. Das spart nicht nur Zeit, sondern ist auch ein riesiger Schritt in Richtung Cyber-Security.

In diesem Artikel zeige ich Dir, wie Windows LAPS dynamische Benutzernamen generiert, Manipulationen auf Systemebene verhindert und Deine IT-Umgebung mit automatisierten Prozessen schützt.

Wenn Du Dir unsicher bist oder mehr zum Thema Windows LAPS erfahren möchtest, klick Dich durch die kommenden Artikel in meinem Blog (ich werde sie verlinken, sobald sie online sind) oder nimm gleich Kontakt mit mir auf. Zusammen lösen wir Dein Problem.

Termin mit Aaron buchen
Meine Erstberatung ist kostenlos und unverbindlich.

Alles Wichtige auf einen Blick

Mit dem neuen Windows LAPS haben wir eine moderne Lösung in unserem Admin-Toolkit, mit dem wir unsere lokalen Administratorkonten effizient verwalten können. Windows LAPS ist direkt ins Microsoft Betriebssystem integriert ist - ein wichtiger Aspekt, denn im Gegensatz zur Legacy-Version brauchen wir ab jetzt keine manuellen Gruppenrichtlinien oder auch einfache Richtlinien mehr zu konfigurieren und im Auge zu behalten. Stattdessen regeln wir die Steuerung zentral und cloudbasiert über Intune.

Die wichtigsten Neuerungen und Vorteile sind:

  • Zeitersparnis und zentrale Verwaltung: Alle Konfigurationen laufen nun zentral über Intune. So haben wir nicht nur eine bessere Übersicht über unsere Richtlinien, sondern können sie auch wesentlich schneller und effizienter bearbeiten.
  • Erhöhte Sicherheit: Die folgenden Features machen aus Windows LAPS ein unschlagbares Sicherheitstool:

    • Dynamische Benutzernamen: Zufällig generierte Suffixe oder definierbare Präfixe erschweren den Zugriff auf jedes Administratorkonto und machen sie ggf. sogar unauffindbar.

    • Manipulationsschutz auf Systemebene: Schutzmechanismen auf Kernel-Ebene verhindern, dass verwaltete Accounts gelöscht oder verändert werden können.

    • Erweiterte Passphrasen-Optionen: Lange oder kurze Passphrasen sowie solche mit einzigartigen Präfixen schaffen eine gute Balance aus Security und Benutzerfreundlichkeit.

    • Post-Authentication-Aktionen: Temporäre Zugriffe werden durch automatisches Zurücksetzen des Passworts, Beenden von Sitzungen und Schließen von Prozessen nach der Verwendung begrenzt.

  • Automatisierte Accountverwaltung: Mit Windows LAPS haben wir die volle Kontrolle über die Konfiguration von jedem lokalen Administratorkonto und anderen Accounts. Wir können mit simplen Richtlinien festlegen, ob ein Account oder mehrere Accounts aktiviert oder deaktiviert wird, Namenskonventionen definieren und bestimmen, ob der integrierte Administrator verwaltet oder ein neuer Account erstellt werden soll.
  • Systemanforderungen und Kompatibilität: Die neuen Funktionen sind ab Version Windows 11 23H2, verfügbar. LAPS bleibt dabei rückwärtskompatibel mit Windows Server Active Directory-Umgebungen. Die Grundfunktionen von Windows LAPS sind kostenlos, für die Verwaltung über Microsoft Entra ID ist jedoch mindestens eine kostenlose Entra ID-Lizenz erforderlich.

Mit Windows LAPS können wir in Sachen Security richtig aufatmen! Die neue Version erleichtert uns den Umstieg auf moderne Sicherheits- und Verwaltungsstrukturen. Mit ein paar gezielten Klicks können wir unsere aktuellen Prozesse modernisieren und mit anderen Sicherheitsmaßnahmen verknüpfen. Wie genau? Das zeig ich Dir jetzt.

Windows LAPS für Admins: Wieso sich der Wechsel lohnt
Alles Wichtige auf einen Blick
Administrator-Konten besser mit Windows LAPS verwalten
LAPS-Sicherheitsfunktionen, die Dich wirklich schützen
Dynamische Benutzernamen
Manipulationsschutz auf Systemebene
Erweiterte Passphrase-Optionen
Post-Authentication-Aktionen
Automatische Accountverwaltung: Alles steuerbar
Neue automatische Accountverwaltungsfeatures
Passphrase-Konfiguration
Systemanforderungen und Kompatibilität
Betriebssystemanforderungen zum Windows Server
Lizenzanforderungen zur Nutzung von Microsoft Entra ID und Active Directory

Administrator-Konten besser mit Windows LAPS verwalten

Die bisherige LAPS-Version (auch Legacy LAPS genannt) mussten wir noch manuell über ein MSI-Paket installieren und per Gruppenrichtlinien verwalten. Diese Legacy LAPS-Variante tat zwar ihren Zweck, war aber nicht mehr wirklich zeitgemäß – insbesondere im Hinblick auf moderne Cloud-Sicherheitsanforderungen.

Das neue LAPS ist dagegen direkt ins Betriebssystem integriert und lässt sich cloudbasiert über Intune steuern – Du brauchst also nichts separat zu installieren oder manuelle Updates einzuplanen.

Wenn Du bisher Windows LAPS verwendet hast, kennst Du sicher die Herausforderungen: Kennwörter müssen zuverlässig rotiert werden, das Verwalten erfolgt meistens noch über eine Gruppenrichtlinie, und Cloud-Anbindung? Fehlanzeige.

Übersichtliche Grafik zum Thema Windows LAPS vs. Microsoft LAPS

(Quelle: https://www.oceanleaf.ch/content/images/2024/07/laps-1.png)

Mit dem neuen LAPS ändert sich das grundlegend. Microsoft hat das System und damit die Lösung zu vielen Sicherheitsfragen modernisiert – nicht nur technisch, sondern vor allem in Sachen praktischer Nutzung. So sparen wir Zeit und können uns auf andere wichtige Sicherheitsaspekte fokussieren.

Mir sind beim Einarbeiten ins neue Windows LAPS besonders drei Punkte aufgefallen:

  • Du sparst Zeit: Statt mühsamer GPO-Konfiguration laufen die Konfigurationen nun zentral über Intune – übersichtlich, skalierbar und direkt auf Deine Clients anwendbar.

  • Du hast mehr Kontrolle: Kennwörter und Administrator-Konten lassen sich jetzt sicher und nachvollziehbar über Microsoft Entra ID verwalten.

  • Du erhöhst die Sicherheit: Dynamische Benutzernamen, Manipulationsschutz auf Systemebene und automatische Logout-Mechanismen sorgen dafür, dass niemand länger Zugriff behält als unbedingt nötig.

Kurz gesagt: Die neue Windows LAPS-Version ist ein modernes Sicherheitsstandard-Paket für Dich und Dein Unternehmen, das den Umstieg auf aktuelle Sicherheits- und Verwaltungsstrukturen erleichtert.

Nutze den Wechsel, um bestehende Prozesse zu überdenken. Gleichzeitig kannst Du Windows LAPS mit anderen Schutzmaßnahmen wie Conditional Access oder Defender for Endpoint verknüpfen. Ein vielleicht zeitaufwendiger Aufwand, aber die Einrichtung lohnt sich!

Für Organisationen, die bislang vollständig auf Windows Server Active Directory gesetzt haben, bietet LAPS einen reibungslosen Umstieg auf moderne Verwaltungsmechanismen – ohne Altlasten auf bestehenden Geräten.

LAPS-Sicherheitsfunktionen, die Dich wirklich schützen

Windows LAPS ist so ein Produkt, das wirklich was zu bieten hat. Das Passwort-Rotationstool erspart Dir sehr viel manuelle Arbeitszeit und auch die vielen neuen Sicherheitsfunktionen im Betriebssystem machen Deinen Tenant und somit Deine Clients um einiges sicherer.

Welche Funktionen das genau sind, schauen wir uns jetzt im Detail an – inkl. Praxistipps.

Dynamische Benutzernamen

Statische Admin-Kontonamen wie "Administrator" oder "Admin" sind ein beliebtes Einfallstor für Hacker. Windows LAPS ist da wesentlich cleverer: Dank zufällig generierter Suffixe oder definierbarer Präfixe werden aus festen Kontonamen flexible Ziele.

Ein Beispiel: Aus „WLapsAdmin“ wird etwa „LAPS-SAM_2712“.

Die Angriffsfläche wird reduziert, weil automatisierte Brute-Force-Angriffe und bekannte Benutzerkonten ins Leere laufen. Gleichzeitig behalten Admins durch Namenskonventionen den Überblick im Monitoring.

Manipulationsschutz auf Systemebene

Ein oft übersehener Angriffsvektor: Angreifer, die sich in Dein System eingeschmuggelt haben, löschen oder verändern privilegierte Accounts. Windows LAPS überwacht und verhindert Manipulationsversuche an verwalteten Accounts auf Kernel-Ebene und macht Hackern so einen Strich durch die Rechnung. Selbst wenn jemand lokale Admin-Rechte hat, kann der Windows LAPS-Account nicht entfernt oder überschrieben werden.

Was das bedeutet: Die Angriffszeit verkürzt sich drastisch. Selbst bei einem Hackingangriff bleiben Deine Schutzmechanismen intakt – ein wichtiges Plus für die Forensik und das Risiko-Management. Hacker haben so gut wie keine Chance mehr, Deinen Tenant über priviligierte Accounts zu schaden. 

Pop-up-Fenster zum Thema Windows LAPS
Pop-up-Fenster zum Thema Windows LAPS

Erweiterte Passphrase-Optionen

Nur weil ein Passwort lang und stark ist, heißt das noch lange nicht, dass es auch nützlich ist. Klar, schützt es Deinen Account, aber was bringt es Dir, wenn Du Dich selbst nicht mehr an Dein Passwort erinnern kannst? Windows LAPS gibt uns hier neue Funktionen – zum Beispiel die Auswahl zwischen langen Passphrasen, kurzen Wortkombinationen oder Versionen mit individuellen Präfixen.

Das sieht in etwa so aus:

  • Passphrase lange Wörter: Einprägsame, aber dennoch sichere längere Wort-Kennwörter, die Du Dir leichter merken kannst, obwohl sie eher willkürlich aussehen.

  • Passphrase kurze Wörter: Einfacher zu tippende kurze Wortkombinationen, die besonders nützlich für Umgebungen mit häufiger manueller Eingabe sind, z.B. im IT-Support.

  • Passphrase kurze Wörter mit einzigartigen Präfixen: Kurze Wortkombinationen mit einzigartigen Präfixen für zusätzliche Sicherheit und bessere Audit-Verfolgbarkeit.

Optionen zu Windows LAPS Erweiterte Passphrasen werden weiß auf schwarz angezeigt.

(Quelle: https://michaelsendpoint.com/intune_laps/laps_settings.png)

So kannst Du als Administrator eine gute Balance zwischen Sicherheit und Benutzerfreundlichkeit aufbauen– und dabei Deine spezifischen organisatorischen Anforderungen und Compliance-Konfigurationen optimieren.

Hast Du weitere Fragen zum Thema Sicherheit oder bist Du unsicher, wie Du Deine Microsoft-Umgebung besser auf die Sicherheitsanforderungen Deines Unternehmens ausrichten kannst? Dann sichere Dir einen Platz in einer meiner gezielten Schulungen.

Post-Authentication-Aktionen

Was passiert nach einer Anmeldung mit privilegierten Rechten? Windows LAPS denkt mit. Die integrierten Post-Auth-Aktionen sorgen dafür, dass ein temporärer Zugang nicht zum Dauerrisiko wird.

Dazu wird Dein Tenant mit folgenden Features geschützt:

  • Process Kill: Auch alle Prozesse, die im Kontext des Kontos laufen, werden zuverlässig geschlossen.

  • Session Logoff: Alle offenen Sitzungen, die auf das Konto laufen, werden automatisch beendet.

  • Password Reset: Das Kennwort wird automatisch erneuert, nachdem es verwendet wurde – kein manuelles Eingreifen mehr nötig.

Password reset

(Quelle: https://learn.microsoft.com/en-us/windows/client-management/mdm/laps-csp)

Zugriff wird auf den tatsächlichen Bedarf begrenzt – und das direkt auf allen relevanten LAPS Clients in Deiner Umgebung. Das reduziert nicht nur Risiken, sondern entlastet auch Dein lokales Admin-Team und schont somit Ressourcen.

Automatische Accountverwaltung: Alles steuerbar

Die neue Engine von Windows LAPS erlaubt eine fein abgestimmte Konfiguration über verschiedene CSP-Werte. Das heißt, Du kannst nicht nur festlegen, ob ein Account erstellt oder verwaltet wird, sondern auch

  • den Account aktivieren/deaktivieren,

  • Namensvorgaben mit oder ohne Randomisierung festlegen     und

  • als Ziel einen integrierten oder neuen Account bestimmen.

Windows LAPS Automatische Kontoverwaltung

(Quelle: https://learn.microsoft.com/de-de/windows-server/identity/laps/laps-concepts-account-management-modes)

Dein Vorteil: Du hast wesentlich mehr Kontrolle über die Prozesse und bist weniger abhängig von starren Standards. Checke Deine unterschiedlichen Konfigurationen erst mit Testgeräten, bevor Du die Kennwörter ausrollst.

Neue automatische Accountverwaltungsfeatures

Mit der neuesten Windows LAPS- Version haben wir eine neue Möglichkeit, lokale Accounts automatisch zu verwalten. Diese Funktionen ermöglichen Dir eine granularere Kontrolle, mehr Sicherheit und eine flexiblere Anpassung an Deine bestehende Infrastruktur.

Kerneinstellungen und Funktionalitäten

Die automatische Accountverwaltungslösung verfügt über fünf entscheidende Konfigurationsparameter, die Dir detaillierte Kontrolle über das Windows LAPS-Verhalten bieten:

  • Automatic Account Management Enable Account: Kontrolliert, ob der verwaltete Account aktiviert oder deaktiviert ist (Standard: False). Diese Einstellung bestimmt den Ausgangszustand des LAPS-Accounts nach der Erstellung.
  • Automatic Account Management Enabled: Bestimmt, ob das automatische Verwalten für das Zielkonto aktiv ist. Der Master-Switch für die gesamte automatische Accountverwaltung. Konfiguriere mit Bedacht!
  • Automatic Account Management Name Or Prefix: Legt den Kontonamen oder Präfix fest (Standard: "WLapsAdmin"). Diese Einstellung ermöglicht organisationsspezifische Namenskonventionen.
  • Automatic Account Management Randomize Name: Aktiviert zufällige numerische Suffixe für Kontonamen während der Passwort-Rotation. Dies erhöht die Sicherheit durch Benutzername-Obfuskation.
  • Automatic Account Management Target: Spezifiziert, ob der eingebaute Administrator (0) verwaltet oder ein neuer Account (1) erstellt werden soll. Diese Flexibilität ermöglicht verschiedene Deployment-Strategien – abgestimmt auf verschiedene LAPS Client-Typen und Nutzungsszenarien.
Windows LAPS Neue automatische Accountverwaltungsfeatures werden weiß auf schwarz angezeigt.

Passphrase-Konfiguration

Mit dem Update kannst Du als Administrator nun Passphrasen mit einer Länge von 3 bis 10 Wörtern einsetzen; der Standard sind 6 Wörter. Diese flexible Funktionalität ermöglicht es Dir, Passwort-Konfigurationen zu implementieren, die spezifisch mit den organisatorischen Anforderungen und Sicherheitsstandards Deines Unternehmens übereinstimmen.

Die Passphrase-Engine nutzt einen umfangreichen Wortschatz aus häufig verwendeten, aber sicheren Wörtern und kombiniert diese mit mathematisch optimierten Algorithmen. Maximal sicher und benutzerfreundlich - klingt gut!

Password character shets

(Quelle: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-concepts-passwords-passphrases)

Systemanforderungen und Kompatibilität

Nicht alle Features von Windows LAPS stehen automatisch in allen Betriebssystemen zur Verfügung – bestimmte Voraussetzungen müssen erfüllt sein. In diesem Abschnitt erfährst Du, welche Windows-Versionen und Lizenzmodelle notwendig sind, damit Du auch wirklich alle Features zuverlässig und sicher nutzen kannst.

Betriebssystemanforderungen zum Windows Server

Um diese neuen Features vollständig nutzen zu können, musst Du zuerst sicherstellen, dass Deine Umgebung die folgenden Kompatibilitätsanforderungen erfüllt:

Für neue automatische Accountverwaltungsfeatures:

  • Windows 11, Version 23H2 [10.0.26100] und später

  • Anwendbar auf Pro, Enterprise, Education und IoT Enterprise Editionen

  • Ältere Windows-Versionen bieten nur eingeschränkten Funktionsumfang

Windows LAPS bleibt rückwärtskompatibel mit klassischen Windows Server Active Directory-Umgebungen und unterstützt sowohl hybride als auch rein lokale Szenarien.

Für erweiterte Passwort-Komplexität und Post-Authentifizierungsaktionen:

Die Systemkompatibilität erstreckt sich über verschiedene Windows-Versionen, wobei bestimmte Features spezifische Build-Nummern erfordern. Diese Anforderungen stellen sicher, dass die zugrunde liegenden Sicherheitsmechanismen ordnungsgemäß funktionieren und Dir die erwartete Schutzebene bieten.

Übersicht zu den neuen Windows LAPS Betriebssystemanforderungen

Lizenzanforderungen zur Nutzung von Microsoft Entra ID und Active Directory

Die Nutzung von Windows LAPS ist unkompliziert und verursacht keine zusätzlichen Lizenzkosten - zumindest nicht für die Grundfunktionen. Das Windows-Feature ist auf allen unterstützten Windows-Versionen kostenlos verfügbar. Du brauchst keine Lizenz, um die Kennwörter Deiner lokalen Administratorkonten in einem Windows Server Active Directory zu sichern.

Für die Sicherung und Verwaltung der Passwörter in Microsoft Entra ID benötigst Du jedoch mindestens eine Microsoft Entra ID Free-Lizenz oder eine höherwertige Lizenz. Das ist aber gar nicht so schlecht, denn so kannst Du flexibel entscheiden, ob Du die unternehmensweiten Kennwörter weiterhin im lokalen Active Directory oder in der Cloud mit Entra ID verwalten möchtest, ohne Dich um komplexe Lizenzmodelle zu sorgen.

 116 Seiten Entra ID für AdminsKostenlos herunterladen!
Security & Compliance CheckKostenloses Gespräch

Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?

Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.

Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Dort findest Du auch andere Beiträge zu Microsoft Security-Relevanen Themen, u.a. zum Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility-Suite, dem Microsoft 365 Defender oder der Microsoft Information Protection.

Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.

Wenn Du Fragen hast, melde Dich sehr gerne bei mir!

Insert Content Template or Symbol
Teilen0
Teilen0
Teilen0
Twittern0
Aaron Siller auf YouTube: @aaronsiller7722
Der Microsoft Security Experte
Jede Woche ein neues Video
Über SaBine

Kontakt mit Aaron aufnehmen
Mehr zu SaBine
Share 0
Share 0
Share 0
Kommentare
{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>