Microsoft 365 Security

Letzte Änderung: 2025-10-21

LAPS Compliance und Auditing: So schützt Du Deine Admin-Passwörter

Sicherheitsmaßnahmen sind dafür da, um unsere hybride Umgebung zu schützen - das ist uns allen klar. Aber nicht um jeden Preis, denn sie müssen dabei auch zwingend gesetzliche und interne Anforderungen erfüllen. Ziel ist es daher, dass lokale Administratoren auf jedem Gerät sichere Zugänge unter Einhaltung regulatorischer Vorgaben haben. Und genau das schaffen wir mit Windows LAPS Compliance.

Genauer gesagt hilft uns Windows LAPS dabei, unsere Administratorkennwörter zentral zu schützen und zu verwalten.

Wir nutzen deswegen Windows LAPS, um Deine lokalen Administratorkonten sicher und revisionsfähig zu machen. Ich gehe auf die wichtigsten Phasen ein und zeige Dir anhand von Best Practices, wie Du regulatorische Anforderungen in Deine bestehenden Sicherheitsprozesse integrierst.

Siller Grafik zu den LAPS Compliance wichtigsten Punkte

Ready? Dann gehen wir es Schritt für Schritt an.

Alles Wichtige auf einen Blick

Sicherheitsmaßnahmen sind nur dann wirklich effektiv, wenn sie auch gesetzliche und interne Vorgaben erfüllen. Genau hier setzt die Local Administrator Password Solution (LAPS) an: Es hilft Dir, Compliance-Anforderungen effizient umzusetzen – von Audit-Trails bis hin zur Zugriffskontrolle.

Deine Admin-Konten werden mit Windows LAPS sicher verwaltet und sind immer bereit fürs nächste Audit. Wichtig ist, LAPS auf jedem einzelnen Rechner zu konfigurieren.

Die Hauptpunkte des Artikels:

  • Sichere Compliance-Anforderungen: Windows LAPS unterstützt Dich dabei, wichtige Kontrollanforderungen wie die Nachvollziehbarkeit von Zugriffen und die technische Kontrolle der Kennwort-Vergabe zu erfüllen. Dabei kannst Du genau definieren, welche Benutzer welche Berechtigungen erhalten.

  • Integration in Sicherheitsprozesse: Du kannst Windows LAPS problemlos in Deine bestehenden Kontrollmechanismen einbinden, zum Beispiel in SIEM-Lösungen wie Sentinel oder in Deine ITDR-Prozesse. Verwalte und konfiguriere zentral über Microsoft Intune.

  • Umfassendes Monitoring: Windows LAPS protokolliert alle wichtigen Ereignisse und speichert die Logs und in den Cloud-Umgebungen. So kannst Du jederzeit Berichte erstellen, die Passwortrotation sowie den Account-Status überwachen sowie Änderungen an Benutzerkonten nachzuvollziehen, was besonders für IT-Abteilungen essenziell ist.

  • Klare Richtlinien und Dokumentation: Achte auf eine korrekte Konfiguration von Passwortlänge und -rotation sowie klare Berechtigungen. Halte die LAPS-Policies in Deiner Dokumentation fest, um bei Audits auf der sicheren Seite zu sein. Du kannst die Intune-Richtlinien direkt in Entra ID oder über Gruppenrichtlinien konfigurieren.

  • Antworten auf die wichtigsten Fragen: Am Ende des Beitrags beantworte ich die häufigsten Fragen aus der Praxis, von der Deinstallation des Legacy LAPS bis zur Kompatibilität mit Server-Versionen.

Mit Local Administrator Password Solution, oder kurz Windows LAPS, hast Du nicht nur eine Lösung zur Sicherung von IT-Administratoren-Konten, sondern auch eine zuverlässige Compliance-Hilfe, die den Bedarf nach IT-Sicherheit gesetzlich absichert und revisionsfähig macht. Durch die nahtlose Cloud Integration in Microsoft Entra ID ist der Prozess noch einfacher.

Windows LAPS ist ein großes Thema, auf das ich mit mehreren Beiträgen eingehe. Ich verlinke sie Dir im Schlussteil. Wenn Du Fragen beim Einrichten hast oder Dir an einer Stelle nicht sicher bist, wende Dich einfach direkt an mich. Zusammen finden wir eine Lösung.

Termin mit Aaron buchen
Meine Erstberatung ist kostenlos und unverbindlich.
LAPS Compliance und Auditing: So schützt Du Deine Admin-Passwörter
Alles Wichtige auf einen Blick
LAPS-Auditing und -Compliance: So schützt Du Deine Admin-Konten
1. Anforderungen erfüllen statt verwalten
2. In Active Directory integrieren
3. LAPS-Audit-Trail und Monitoring: Logs und Entra ID
4. Dokumentation & LAPS-Richtlinien-Anpassung
FAQ
Muss ich Microsoft LAPS vorher deinstallieren?
Können bestehende Administratorkontos weiterverwendet werden?
Wo finde ich das aktuelle LAPS-Passwort?
Was passiert, wenn das Gerät offline ist?
Wie lange ist ein Passwort gültig?
Wie vermeide ich doppelte Konten?
Gibt es Einschränkungen bei Hybrid Joined Endgeräten?
Kann ich LAPS über PowerShell steuern?
Welche Logs sollte ich überwachen?
Unterstützt Windows LAPS auch Windows Server?
Und jetzt? Sichere dich weiter ab

LAPS-Auditing und -Compliance: So schützt Du Deine Admin-Konten

Jedes nicht verwaltete Administratorkonto stellt ein potenzielles Sicherheitsrisiko dar. Insbesondere gilt das für lokale Accounts, die auf jedem einzelnen Computer Deines Unternehmens existieren. LAPS unterstützt Dich dabei, interne wie externe Compliance-Vorgaben effizient umzusetzen – von Audit-Trails bis zur Zugriffskontrolle.

So gehst Du am besten vor:

1. Anforderungen erfüllen statt verwalten

Windows LAPS lässt sich nahtlos in Compliance-Frameworks wie ISO 27001NIST 800-53SOC 2 oder BSI IT-Grundschutz einfügen. Dabei werden besonders die folgenden Kontrollanforderungen eingehalten:

  • Nachvollziehbarkeit von privilegierten Zugriffen (Audit-Trail)

  • Technische Kontrolle zur Passwortvergabe (Rotation, Komplexität)

  • Schutz vor Account-Manipulation (Integrity)

  • Begrenzung der Zugriffszeit (Post-Authentication-Aktionen)

  • Sicherer Zugriff auf Passwörter (über Entra oder AD-Rechte)

Dokumentiere in Deiner Richtlinie, wie Windows LAPS bei der Implementierung dieser Controls konkret unterstützt – das reduziert Rückfragen bei Helpdesk-Mitarbeitern im Audit.

Viele Unternehmen verwalten ihre lokalen Administratorpasswörter noch über das klassische Windows Server Active Directory - an und für sich spricht auch nichts dagegen, solange alle Vorgaben sicher eingehalten werden. Tatsache ist, dass sich die Passwortzugriffe mit Windows LAPS aber deutlich sicherer und effizienter verwalten lassen.

Es vereinfacht auch Active Directory Auditing, da Zugriffe zentral protokolliert werden. LAPS funktioniert dabei geräteübergreifend, unabhängig vom genutzten Betriebssystem.

 Große 60 Seiten Intune ChecklisteKostenlos herunterladen!

2. In Active Directory integrieren

Du hast bereits ein gut ausgebautes und funktonierendes Kontrollsystem und befürchtest, alles bei der Umstellung auf Windows LAPS nochmal neu aufsetzen zu müssen? Dann hab ich gute Nachrichten: Sämtliche LAPS-Funktionen lassen sich zur Verwaltung hervorragend in bestehende Kontrollmechanismen integrieren!

Zum Beispiel:

  • SIEM-Integration: Passwortrotationen, Kontoänderungen oder Login-Versuche können über Sentinel erfasst werden

  • ITDR-Verknüpfung: Mit Defender for Identity oder Microsoft 365 Defender korrelierst Du verdächtige Aktivitäten auf privilegierten Accounts

  • Screenshot zu LAPS compliance Active Directory

    (Quelle: https://learn.microsoft.com/de-de/windows-server/identity/laps/media/laps-scenarios-windows-server-active-directory/laps-scenarios-windows-server-active-directory-password-update-event.png)

    • Incident Response: Temporäre LAPS-Accounts können in Response Playbooks eingebunden und nach Vorfall automatisiert deaktiviert werden

    Verknüpfe LAPS-bezogene Events mit Risikoindikatoren oder Alert-Logiken – so gewinnst Du nicht nur Compliance, sondern echte Security-Transparenz.

    Weniger Arbeit und dafür mehr Sicherheit - besser geht's nicht!

    3. LAPS-Audit-Trail und Monitoring: Logs und Entra ID

    Jeder erfolgreiche Sicherheitsansatz erfordert Transparenz und Nachvollziehbarkeit - und das am besten so einfach und schnell wie möglich. Windows LAPS protokolliert alle relevanten Vorgänge wie Kontoerstellung, Passwortrotation, Richtlinienzuweisungen und Post-Auth-Aktionen lückenlos.

    Das Auditing dieser Daten ist essenziell für Deine Compliance. Mit Windows LAPS kannst Du die Einhaltung interner Richtlinien und externer regulatorischer Anforderungen jederzeit überprüfen.

    Sämtliche Logs kannst Du lokal via Entra ID einsehen:

    • Lokales Eventlog (Windows): Microsoft-Windows-LAPS/Operational

    • Cloud-Zugriff (Entra): über Geräteobjekt & Rollenbasierte Rechte (RBAC)

    • Auswertung in Microsoft Intune-Berichten oder Sentinel-Abfragen (KQL)

    Erstelle regelmäßige Reports zur Passwortrotation & Accountstatus – etwa als monatliches Review für das IT-Security-Team oder zur Vorlage bei internen Revisionen.

    Entra ID ist generell ein super Ansatz, um Deine Tenant-Sicherheit zu erhöhen. Mit meinen Entra ID Best Practices zeige ich Dir, wie Du aus Standardkonfigurationen Compliance-feste Richtlinien machst, die mit den Sicherheitsansprüchen Deines Unternehmens übereinstimmen.

    4. Dokumentation & LAPS-Richtlinien-Anpassung

    Die Integration von Windows LAPS (Local Administrator Password Solution) in Deine bestehende IT-Infrastruktur erfordert Köpfchen, Planung und vor allem Dokumentation 

    Geht etwas schief, kannst Du Deine Schritte direkt nachvollziehen, anpassen oder notfalls einfach rückgängig machen. Nur so lassen sich die Vorteile der automatischen Verwaltung lokaler Administratorkonten voll ausschöpfen und Schwachstellen durch unsichere Passwörter minimieren.

    Notiere Dir beim Dokumentieren die folgenden Punkte:

    • Richtlinienname

    • Anwendungsbereich: Welche Benutzer oder Gerätegruppen sind betroffen?

    • Passwort-Einstellungen: Länge, Komplexität, Alter der Passwörter.

    • Berechtigungen: Wer darf Passwörter auslesen? Wer darf die Richtlinie ändern?

    • Konfigurationsmethode: Wurde LAPS über Intune, Gruppenrichtlinien (GPO) oder beides konfiguriert?

    • Grund für die Konfiguration: Eine kurze Erklärung, warum die Richtlinie in dieser Form erstellt wurde.

    Beim Wechsel zu Windows LAPS solltest Du immer klare Konfigurationen nutzen – insbesondere:

    • Passwortlänge, -komplexität und -rotation

    • Zugriff auf Passwörter & Logs (Wer darf was?)

    • Umgang mit temporären Administratorrechten

    • Verhalten nach Incidents

    Wichtig sind hierbei auch feingranulare Richtlinieneinstellungen.

    Integriere die LAPS-Policies direkt in Deine bestehende Endpoint-Security-Dokumentation – und aktualisiere Dein Berechtigungskonzept entsprechend.

    Wenn Du Dich mit einem bestimmten Thema zur Sicherheit Deines hybriden Tenants weiter auseinandersetzen möchtest, sichere Dir einen Platz in einem meiner Workshops.


    FAQ

    In diesem Kapitel beantworte ich häufig gestellte Fragen aus Projekten, Community-Diskussionen und Kundengesprächen. Kompakt, faktenbasiert und direkt umsetzbar.

    Muss ich Microsoft LAPS vorher deinstallieren?

    Nein. Windows LAPS erkennt die vorhandene LAPS-Installation, ersetzt sie aber nicht automatisch. Wichtig ist: Sobald Windows LAPS aktiviert wird (z. B. über Microsoft Intune oder GPO), hat es Vorrang – Legacy LAPS wird dann inaktiv.

    Tipp: Entferne Microsoft LAPS dennoch nach erfolgreicher Migration, um Richtlinienkonflikte zu vermeiden.

    Können bestehende Administratorkontos weiterverwendet werden?

    Ja, über die Einstellung AccountManagementTarget = 0 kannst Du das integrierte Administratorkonto weiterhin für die tägliche Verwaltung nutzen. Alternativ kannst Du mit AccountManagementTarget = 1 ein separates Konto mit einem eindeutigen Administrator-Kontonamen erstellen – was aus Sicherheitsgründen empfohlen wird.

    Wo finde ich das aktuelle LAPS-Passwort?

    Je nach Richtlinie findest Du das Passwort:

    • im Entra ID Portal (Geräteobjekt → Lokale Administratorpasswörter)
    • im Active Directory (Attribut msLAPS-Password)
    • lokal im Eventlog (Windows-LAPS/Operational)

    Diese zentralisierten Speicherorte vereinfachen das Auditing erheblich.

    Was passiert, wenn das Gerät offline ist?

    Die Admin-Kennwörter werden lokal verschlüsselt gespeichert und beim nächsten Sync-Vorgang an Entra ID oder Active Directory übertragen. Selbst bei lokalem Zugriff werden dank der Passwortverschlüsselung keine Klartextinformationen offengelegt. Besonders auf produktiven Servern ist es deswegen essenziell, dass Admin-Passwörter regelmäßig und automatisiert rotiert werden.

    Auch Post-Auth-Aktionen greifen bei offline Geräten lokal – der Schutz bleibt also erhalten, da die Konfiguration direkt auf dem Gerät gespeichert ist. Somit können auch normale Benutzer mit den nötigen Rechten auf die Admin-Passwörter zugreifen, um zum Beispiel eine Migration durchzuführen.

    Wie lange ist ein Passwort gültig?

    Standardmäßig erfolgt eine Rotation der Kennwörter alle 30 Tage. Du kannst den Passwort-Zyklus per Richtlinie ändern (z. B. täglich, wöchentlich etc.). Nach einer erfolgreichen Authentifizierung werden die Zugangsdaten außerdem durch das PostAuthenticationResetDelay beeinflusst (Standard: 24h).

    Wie vermeide ich doppelte Konten?

    LAPS prüft systemseitig, ob ein Konto mit dem gewünschten Namen existiert. Bei aktiver Randomisierung (RandomizeName = true) wird ein zufälliges Suffix angehängt. Das minimiert Namenskonflikte automatisch, und jede Änderung wird im Audit-Trail protokolliert.

    Siller Grafik zu LAPS compliance architecture

    Gibt es Einschränkungen bei Hybrid Joined Endgeräten?

    Geräte und Computer mit Hybrid Join werden unterstützt, solange der Zugriff auf Entra ID oder AD gewährleistet ist. Wichtig: Für Cloud-Only-Szenarien muss die Entra ID-Rolle entsprechend zugewiesen sein, damit Admins auf Passwörter zugreifen dürfen. Die zentrale Verwaltung wird dadurch vereinfacht.

    Kann ich LAPS über PowerShell steuern?

    Ja. Du kannst sowohl lokale Richtlinien konfigurieren als auch bestehende Konfigurationen prüfen. Beispiele findest Du in der offiziellen Microsoft-Dokumentation (Get-LapsDiagnostics, Reset-LapsPassword, etc.).

    Welche Logs sollte ich überwachen?

    Mindestens diese zwei Kanäle:

    • Microsoft-Windows-LAPS/Operational für Regelvorgänge

    • Microsoft-Windows-LAPS/Debug für tiefere Fehleranalysen (nur temporär aktivieren)

    Zusätzlich hilfreich: Entra- oder Sentinel-Logik zur Erkennung fehlgeschlagener Passwortzugriffe oder unerwarteter Kontoänderungen. Diese Logs geben Dir einen umfassenden Überblick über die Einrichtung der LAPS-Richtlinien auf jedem Computer.

    Unterstützt Windows LAPS auch Windows Server?

    Ja, allerdings nur mit bestimmten Versionen. Achte darauf, dass die Build-Nummer dem neuen LAPS-Feature-Set entspricht (mind. Windows Server 2025 Preview mit entsprechender Rolle).

    Und jetzt? Sichere dich weiter ab

    Du hast nun gelernt, wie Du Compliance-Anforderungen erfüllst, LAPS-Audits durchführst und LAPS nahtlos in Deine Sicherheitsprozesse integrierst. Doch die Sicherheit Deiner IT-Umgebung ist ein fortlaufender Prozess - je mehr Wissen Du hast, desto sicherer Dein Tenant. 

    Um Dich für die nächsten Schritte optimal vorzubereiten, findest Du hier weitere Ratgeber, die den Inhalt dieses Beitrags perfekt ergänzen:

    • Windows LAPS für Admins: Wieso sich der Wechsel lohnt: Ich erkläre Dir im Detail, welche Vorteile das neue Windows LAPS gegenüber der alten Lösung hat und warum sich der Umstieg für die Verwaltung Deiner IT-Infrastruktur auszahlt.

    • LAPS einrichten – Dein Intune-Guide inkl. Best Practices: Du hast verstanden, warum Compliance und Auditing wichtig sind, aber wie konfigurierst Du das neue System richtig? Damit beim LAPS-Einrichten nichts schiefgeht, gehe ich mit Dir Schritt für Schritt durch die Konfiguration mit Intune und gebe Dir meine Best Practices zum Wechsel.

    • LAPS Migration und Strategien zur Fehlerbehebung: Falls Du noch Legacy LAPS nutzt, ist die richtige Migration entscheidend. Ich gebe Dir alle wichtigen Informationen zur Umstellung sowie konkrete Lösungen für die häufigsten LAPS-Probleme, die dabei auftreten können. So stellst Du sicher, dass Dein System stets den neuesten Standards entspricht.

    • Conditional Access: Absicherung der Microsoft 365 Umgebung: LAPS schützt Deine lokalen Admin-Konten zuverlässig - Deine Cloud-Ressourcen sollten genauso sicher verwaltet werden. Ich zeige Dir, wie Du mit Conditional Access die Zugangsdaten für Deine Microsoft 365 Umgebung zusätzlich absicherst und Zugriffe an bestimmte Bedingungen knüpfst, um die Sicherheit Deines hybriden Tenants umfassend zu konfigurieren.


    Siller Grafik zu LAPS Compliance Übersicht

    Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?

    Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.

    Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Dort findest Du auch andere Beiträge zu Microsoft Security-Relevanen Themen, u.a. zum Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility-Suite, dem Microsoft 365 Defender oder der Microsoft Information Protection.

    Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.

    Wenn Du Fragen hast, melde Dich sehr gerne bei mir!

    Teilen0
    Teilen0
    Teilen0
    Twittern0
    Aaron Siller auf YouTube: @aaronsiller7722
    Der Microsoft Security Experte
    Jede Woche ein neues Video
    Über Aaron Siller

    Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

    Kontakt mit Aaron aufnehmen
    Mehr zu Aaron Siller
    Share 0
    Share 0
    Share 0
    Kommentare
    {"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
    >