Microsoft Cloud

Letzte Änderung: 2025-09-17

LAPS Compliance und Auditing: So schützt Du Deine Admin-Passwörter

Sicherheitsmaßnahmen sind dafür da, um unsere hybride Umgebung schützen - das ist uns allen klar. Aber nicht um jeden Preis, denn sie müssen dabei auch zwingend gesetzliche und interne Vorgaben erfüllen. Ziel ist es daher, dass lokalen Administratoren auf jedem Gerät sichere Zugänge unter Einhaltung regulatorischer Vorgaben bieten. Und genau das schaffen wir mit Windows LAPS Compliance.

Genauer gesagt hilft uns Windows LAPS dabei, unsere Administratorkennwörter zu sichern und zu zentralisieren. Ich zeige dir, wie Du mit Windows LAPS Deine lokalen Administratorkonten sicher und revisionsfähig machst. Ich gehe auf die wichtigsten Phasen ein und zeige Dir anhand von Best Practices, wie Du regulatorische Anforderungen in Deine bestehenden Sicherheitsprozesse integrierst.

Siller Grafik zu den LAPS Compliance wichtigsten Punkte

Ready? Dann gehen wir es Schritt für Schritt an.

Alles Wichtige auf einen Blick

Sicherheitsmaßnahmen sind nur dann wirklich effektiv, wenn sie auch gesetzliche und interne Vorgaben erfüllen. Genau hier setzt die Local Administrator Password Solution (LAPS) an: Es hilft Dir, Compliance-Anforderungen effizient umzusetzen – von Audit-Trails bis hin zur Zugriffskontrolle.

In diesem Beitrag zeige ich Dir, wie Du Windows LAPS nutzt, um die Admin-Konten in Deinem Unternehmen sicher und revisionsfähig zu machen. Wichtig ist, LAPS auf jedem einzelnen Rechner zu konfigurieren.

Die Hauptpunkte des Artikels:

  • Sichere Compliance-Anforderungen: Windows LAPS unterstützt Dich dabei, wichtige Kontrollanforderungen wie die Nachvollziehbarkeit von Zugriffen und die technische Kontrolle der Kennwort-Vergabe zu erfüllen. Dabei kannst Du genau definieren, welche Benutzer welche Berechtigungen erhalten.

  • Integration in Sicherheitsprozesse: Du kannst Windows LAPS problemlos in Deine bestehenden Kontrollmechanismen einbinden, zum Beispiel in SIEM-Lösungen wie Sentinel oder in Deine ITDR-Prozesse. Verwalte und konfiguriere zentral über Microsoft Intune.

  • Umfassendes Monitoring: Windows LAPS protokolliert alle wichtigen Ereignisse und speichert die Logs und in den Cloud-Umgebungen. So kannst Du jederzeit Berichte erstellen, die Passwortrotation sowie den Account-Status überwachen sowie Änderungen an Benutzerkonten nachzuvollziehen, was besonders für IT-Abteilungen essenziell ist.

  • Klare Richtlinien und Dokumentation: Achte auf eine korrekte Konfiguration von Passwortlänge und -rotation sowie klare Berechtigungen. Halte die LAPS-Policies in Deiner Dokumentation fest, um bei Audits auf der sicheren Seite zu sein. Du kannst die Intune-Richtlinien direkt in Entra ID oder über Gruppenrichtlinien konfigurieren.

  • Antworten auf die wichtigsten Fragen: Am Ende des Beitrags beantworte ich die häufigsten Fragen aus der Praxis, von der Deinstallation des Legacy LAPS bis zur Kompatibilität mit Server-Versionen.

Mit Local Administrator Password Solution, oder kurz Windows LAPS, hast Du nicht nur eine Lösung zur Sicherung von IT-Administratoren-Konten, sondern einen Compliance-Baustein, der den Bedarf nach IT-Sicherheit gesetzlich absichert und revisionsfähig macht. Durch die nahtlose Cloud Integration in Microsoft Entra ID ist der Prozess noch einfacher.

Windows LAPS ist ein großes Thema, auf das ich mit mehreren Beiträgen eingehe. Ich verlinke sie Dir im Schlussteil. Wenn Du Fragen beim Einrichten hast oder Dir an einer Stelle nicht sicher bist, wende Dich einfach direkt an mich. Zusammen finden wir eine Lösung.

Termin mit Aaron buchen
Meine Erstberatung ist kostenlos und unverbindlich.
LAPS Compliance und Auditing: So schützt Du Deine Admin-Passwörter
Alles Wichtige auf einen Blick
LAPS-Auditing und -Compliance: So schützt Du Deine Admin-Konten
1. Anforderungen erfüllen statt verwalten
2. In Active Directory integrieren
3. LAPS-Audit-Trail und Monitoring: Logs und Entra ID
4. Dokumentation & LAPS-Richtlinien-Anpassung
FAQ
Muss ich Microsoft LAPS vorher deinstallieren?
Können bestehende Administratorkontos weiterverwendet werden?
Wo finde ich das aktuelle LAPS-Passwort?
Was passiert, wenn das Gerät offline ist?
Wie lange ist ein Passwort gültig?
Wie vermeide ich doppelte Konten?
Gibt es Einschränkungen bei Hybrid Joined Endgeräten?
Kann ich LAPS über PowerShell steuern?
Welche Logs sollte ich überwachen?
Unterstützt Windows LAPS auch Windows Server?
Und jetzt? Sichere dich weiter ab

LAPS-Auditing und -Compliance: So schützt Du Deine Admin-Konten

Jedes nicht verwaltete Administratorkonto stellt ein potenzielles Sicherheitsrisiko dar. Insbesondere gilt das für lokale Accounts, die auf jedem einzelnen Computer Deines Unternehmens existieren. LAPS unterstützt Dich dabei, interne wie externe Compliance-Vorgaben effizient umzusetzen – von Audit-Trails bis Zugriffskontrolle.

So gehst Du am besten vor:

1. Anforderungen erfüllen statt verwalten

Windows LAPS lässt sich nahtlos in Compliance-Frameworks wie ISO 27001NIST 800-53SOC 2 oder BSI IT-Grundschutz einfügen. Dabei werden besonders die folgenden Kontrollanforderungen eingehalten:

  • Nachvollziehbarkeit von privilegierten Zugriffen (Audit-Trail)

  • Technische Kontrolle zur Passwortvergabe (Rotation, Komplexität)

  • Schutz vor Account-Manipulation (Integrity)

  • Begrenzung der Zugriffszeit (Post-Authentication-Aktionen)

  • Sicherer Zugriff auf Passwörter (über Entra oder AD-Rechte)

Dokumentiere in Deiner Richtlinie, wie Windows LAPS bei der Implementierung dieser Controls konkret unterstützt – das reduziert Rückfragen bei Helpdesk-Mitarbeitern im Audit.

Dokumentiere in Deiner Richtlinie, wie Windows LAPS bei der Implementierung dieser Controls konkret unterstützt – das reduziert Rückfragen bei Helpdesk-Mitarbeitern im Audit.

Viele Unternehmen verwalten ihre lokalen Administratorpasswörter noch über das klassische Windows Server Active Directory - an und für sich spricht auch nichts dagegen, solange alle Vorgaben sicher eingehalten werden. Tatsache ist, dass sich die Passwortzugriffe mit Windows LAPS aber einfach deutlich sicherer und effizienter verwalten lassen.

Es vereinfacht auch Active Directory Auditing, da Zugriffe zentral protokolliert werden. LAPS funktioniert dabei geräteübergreifend, unabhängig vom genutzten Betriebssystem.

2. In Active Directory integrieren

Du hast bereits ein gut ausgebautes und funktonierendes Kontrollsystem und befürchtest, alles bei der Umstellung auf Windows LAPS nochmal neu aufsetzen zu müssen? Dann hab ich gute Nachrichten: Sämtliche LAPS-Funktionen lassen sich zur Verwaltung hervorragend in bestehende Kontrollmechanismen integrieren!

Zum Beispiel:

  • SIEM-Integration: Passwortrotationen, Kontoänderungen oder Login-Versuche können über Sentinel erfasst werden

  • ITDR-Verknüpfung: Mit Defender for Identity oder Microsoft 365 Defender korrelierst Du verdächtige Aktivitäten auf privilegierten Accounts

    • Screenshot zu LAPS compliance Active Directory

    (Quelle: https://learn.microsoft.com/de-de/windows-server/identity/laps/media/laps-scenarios-windows-server-active-directory/laps-scenarios-windows-server-active-directory-password-update-event.png)

    • Incident Response: Temporäre LAPS-Accounts können in Response Playbooks eingebunden und nach Vorfall automatisiert deaktiviert werden

    Verknüpfe LAPS-bezogene Events mit Risikoindikatoren oder Alert-Logiken – so gewinnst Du nicht nur Compliance, sondern echte Security-Transparenz.

    Weniger Arbeit und dafür mehr Sicherheit - besser geht's nicht!

    3. LAPS-Audit-Trail und Monitoring: Logs und Entra ID

    Jeder erfolgreiche Sicherheitsansatz erfordert Transparenz und Nachvollziehbarkeit - und das am Besten so einfach und schnell wie möglich. Windows LAPS protokolliert alle relevanten Vorgänge wie Kontoerstellung, Passwortrotation, Richtlinienzuweisungen und Post-Auth-Aktionen lückenlos.

    Das Auditing dieser Daten ist essenziell für Deine Compliance. Mit Wibdows LAPS kanns Du die Einhaltung interner Richtlinien und externer regulatorischer Anforderungen jederzeit überprüfen.

    Sämtliche Logs kannst Du lokal via Entra ID einsehen:

    • Lokales Eventlog (Windows): Microsoft-Windows-LAPS/Operational

    • Cloud-Zugriff (Entra): über Geräteobjekt & Rollenbasierte Rechte (RBAC)

    • Auswertung in Microsoft Intune-Berichten oder Sentinel-Abfragen (KQL)

    Erstelle regelmäßige Reports zur Passwortrotation & Accountstatus – etwa als monatliches Review für das IT-Security-Team oder zur Vorlage bei internen Revisionen.

    4. Dokumentation & LAPS-Richtlinien-Anpassung

    Die Integration von Windows LAPS (Local Administrator Password Solution) in Deine bestehenden IT-Infrastruktur erfordert Köpfchen, Planunung und vorallem Dokumentation. So kannst Du alle Änderungen nachvollziehen und notfalls rückgängig machen. Nur so lassen sich die Vorteile der automatischen Verwaltung lokaler Administratorkonten voll ausschöpfen und Schwachstellen durch unsichere Passwörter minimieren.

    Beim Wechsel zu Windows LAPS solltest Du immer klare Konfigurationen nutzen – insbesondere:

    • Passwortlänge, -komplexität und -rotation

    • Zugriff auf Passwörter & Logs (Wer darf was?)

    • Umgang mit temporären Administratorrechten

    • Verhalten nach Incidents

    Wichtig sind hierbei auch feingranulare Richtlinieneinstellungen.

    Integriere die LAPS-Policies direkt in Deine bestehende Endpoint-Security-Dokumentation – und aktualisiere Dein Berechtigungskonzept entsprechend.


    FAQ

    In diesem Kapitel beantworte ich häufig gestellte Fragen aus Projekten, Community-Diskussionen und Kundengesprächen. Kompakt, faktenbasiert und direkt umsetzbar.

    Muss ich Microsoft LAPS vorher deinstallieren?

    Nein. Windows LAPS erkennt die vorhandene LAPS-Installation, ersetzt sie aber nicht automatisch. Wichtig ist: Sobald Windows LAPS aktiviert wird (z. B. über Microsoft Intune oder GPO), hat es Vorrang – Legacy LAPS wird dann inaktiv.

    Tipp: Entferne Microsoft LAPS dennoch nach erfolgreicher Migration, um Richtlinienkonflikte zu vermeiden.

    Können bestehende Administratorkontos weiterverwendet werden?

    Ja, über die Einstellung AccountManagementTarget = 0 kannst Du das integrierte Administratorkonto weiterhin für die tägliche Verwaltung nutzen. Alternativ kannst Du mit AccountManagementTarget = 1 ein separates Konto mit einem eindeutigen Administrator-Kontonamen erstellen – was aus Sicherheitsgründen empfohlen wird.

    Wo finde ich das aktuelle LAPS-Passwort?

    Je nach Richtlinie findest Du das Passwort:

    • im Entra ID Portal (Geräteobjekt → Lokale Administratorpasswörter)
    • im Active Directory (Attribut msLAPS-Password)
    • lokal im Eventlog (Windows-LAPS/Operational)

    Diese zentralisierten Speicherorte vereinfachen das Auditing erheblich.

    Was passiert, wenn das Gerät offline ist?

    Die Admin-Kennwörter werden lokal verschlüsselt gespeichert und beim nächsten Sync-Vorgang an Entra ID oder Active Directory übertragen. Selbst bei lokalem Zugriff werden dank der Passwortverschlüsselung keine Klartextinformationen offengelegt. Besonders auf produktiven Servern ist es deswegen essenziell, dass Admin-Passwörter regelmäßig und automatisiert rotiert werden.

    Auch Post-Auth-Aktionen greifen bei offline Geräten lokal – der Schutz bleibt also erhalten, da die Konfiguration direkt auf dem Gerät gespeichert ist. Somit können auch normale Benutzer mit den nötigen Rechten auf die Admin-Passwörter zugreifen, um zum Beispiel eine Migration durchzuführen.

    Wie lange ist ein Passwort gültig?

    Standardmäßig erfolgt eine Rotation der Kennwörter alle 30 Tage. Du kannst den Passwort-Zyklus per Richtlinie ändern (z. B. täglich, wöchentlich etc.). Nach einer erfolgreichen Authentifizierung werden die Zugangsdaten außerdem durch das PostAuthenticationResetDelay beeinflusst (Standard: 24h).

    Wie vermeide ich doppelte Konten?

    LAPS prüft systemseitig, ob ein Konto mit dem gewünschten Namen existiert. Bei aktiver Randomisierung (RandomizeName = true) wird ein zufälliges Suffix angehängt. Das minimiert Namenskonflikte automatisch, und jede Änderung wird im Audit-Trail protokolliert.

    Gibt es Einschränkungen bei Hybrid Joined Endgeräten?

    Geräte und Computer mit Hybrid Join werden unterstützt, solange der Zugriff auf Entra ID oder AD gewährleistet ist. Wichtig: Für Cloud-Only-Szenarien muss die Entra ID-Rolle entsprechend zugewiesen sein, damit Admins auf Passwörter zugreifen dürfen. Die zentrale Verwaltung wird dadurch vereinfacht.

    Kann ich LAPS über PowerShell steuern?

    Ja. Du kannst sowohl lokale Richtlinien konfigurieren als auch bestehende Konfigurationen prüfen. Beispiele findest Du in der offiziellen Microsoft-Dokumentation (Get-LapsDiagnostics, Reset-LapsPassword, etc.).

    Welche Logs sollte ich überwachen?

    Mindestens diese zwei Kanäle:

    • Microsoft-Windows-LAPS/Operational für Regelvorgänge

    • Microsoft-Windows-LAPS/Debug für tiefere Fehleranalysen (nur temporär aktivieren)

    Zusätzlich hilfreich: Entra- oder Sentinel-Logik zur Erkennung fehlgeschlagener Passwortzugriffe oder unerwarteter Kontoänderungen. Diese Logs geben Dir einen umfassenden Überblick über die Einrichtung der LAPS-Richtlinien auf jedem Computer.

    Unterstützt Windows LAPS auch Windows Server?

    Ja, allerdings nur mit bestimmten Versionen. Achte darauf, dass die Build-Nummer dem neuen LAPS-Feature-Set entspricht (mind. Windows Server 2025 Preview mit entsprechender Rolle).

    Und jetzt? Sichere dich weiter ab

    Die Umstellung auf das neue LAPS ist ein großer Schritt, um die Sicherheit deiner lokalen Administratorkonten zu verbessern. Mit diesem Wissen bist du bestens vorbereitet.

    Um deine IT-Sicherheit noch weiter zu optimieren, verlinke ich dir hier ein paar meiner Ratgeber, die sich perfekt ergänzen und dir bei den nächsten Schritten helfen:

    • Windows LAPS für Admins: Wieso sich der Wechsel lohnt: In diesem Beitrag erfährst du im Detail, welche Vorteile das neue Windows LAPS gegenüber der alten Lösung hat und warum sich der Umstieg für die Verwaltung deiner IT-Infrastruktur auszahlt.

    • LAPS einrichten: Dein Intune-Guide inkl. Best Practices: Dieser Ratgeber führt dich Schritt für Schritt durch die Einrichtung von LAPS mit Intune und gibt dir wertvolle Best Practices an die Hand, um die Konfiguration reibungslos zu gestalten.

    • LAPS Migration und Strategien zur Fehlerbehebung: Hier findest du alle wichtigen Informationen zur Migration von Legacy LAPS und konkrete Lösungen für die häufigsten Probleme, die während des Prozesses auftreten können.

    • Conditional Access: Der Schutz für Deine Microsoft 365 Umgebung: Auch wenn LAPS die lokalen Admins absichert, brauchst du einen umfassenden Schutz für den Zugriff auf deine Cloud-Ressourcen. Dieser Artikel zeigt dir, wie du die Zugangsdaten von Administratoren für den Zugriff auf sensible Daten oder Portale an bestimmte Bedingungen knüpfst, zum Beispiel an das Geräterisiko oder den Standort.

    Übersicht zu Windows LAPS

    (Quelle: https://www.anoopcnair.com/wp-content/uploads/2023/04/LABS.webp)

    Bereit, Deinen Microsoft 365 auf das nächste Level zu bringen?

    Wenn Du Expertenberatung oder praktische Hilfe bei der Implementierung dieser Strategien benötigst, kontaktiere uns bitte über das Kontaktformular unten. Ein sicherer Tenant ist entscheidend für den Schutz sensibler Daten. Gemeinsam werden wir eine sichere, effiziente Umgebung gestalten, die Deine sich entwickelnden Geschäftsanforderungen unterstützt.

    Schau Dir doch auch die anderen Tutorials und Tipps an, die ich bereits auf meinem Blog geteilt habe. Dort findest Du auch andere Beiträge zu Microsoft Security-Relevanen Themen, u.a. zum Microsoft Defender for Cloud Apps, Microsoft Intune, der Enterprise & Mobility-Suite, dem Microsoft 365 Defender oder der Microsoft Information Protection.

    Ich bin stehts bemüht, die aktuellsten Themen und Fragestellungen meiner Kunden zu beantworten, um Dich bei der Arbeit mit der Microsoft Cloud Security und anderen Microsoft 365 Produkten zu unterstützen.

    Wenn Du Fragen hast, melde Dich sehr gerne bei mir!

    Insert Content Template or Symbol
    Teilen0
    Teilen0
    Teilen0
    Twittern0
    Aaron Siller auf YouTube: @aaronsiller7722
    Der Microsoft Security Experte
    Jede Woche ein neues Video
    Über Aaron Siller

    Aaron Siller hat seit 2014 umfangreiche Erfahrung in der Migration zu Microsoft Office 365, Exchange Online, Intune und Azure aufgebaut. Gerne stellt er Ihrem Unternehmen sein Können und das seines qualifizierten Teams zur Verfügung. Seit der Einführung dieses leistungsfähigen Tools gehören Microsoft Teams Schulungen als wichtiger Bestandteil aller Digitalisierungsmaßnahmen mit zum Programm.

    Kontakt mit Aaron aufnehmen
    Mehr zu Aaron Siller
    Share 0
    Share 0
    Share 0
    Kommentare
    {"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
    >