Verbesserte Sicherheit für lokale Administrator-Konten
Administrative Rechte auf Firmenrechnern können praktisch sein, aber oft gehen sie mit unsicheren und wiederholten Kennwörtern einher. In diesem Blogbeitrag sprechen wir über eine Lösung, die dazu beiträgt, die Sicherheit von lokalen Administratorkonten zu verbessern: Windows LAPS.
LAPS steht für Local Administrator Password Solution. Vor fast 10 Jahren entwickelte Microsoft das Tool „LAPS“, das automatisch und regelmäßig die lokalen Kennwörter ändert und zentral speichert.
Über den Autor
Patrick Jochmann
Modern Workplace Consultant
Über den Autor
Patrick Jochmann
Modern Workplace Consultant
Verbesserte Sicherheit für lokale Administrator-Konten
Administrative Rechte auf Firmenrechnern können praktisch sein, aber oft gehen sie mit unsicheren und wiederholten Kennwörtern einher. In diesem Blogbeitrag sprechen wir über eine Lösung, die dazu beiträgt, die Sicherheit von lokalen Administratorkonten zu verbessern: Windows LAPS.
LAPS steht für Local Administrator Password Solution: Vor fast 10 Jahren entwickelte Microsoft das Tool „LAPS“, das automatisch und regelmäßig die lokalen Kennwörter ändert und zentral speichert.
Welche Vorteile bietet LAPS?
Einzigartige Kennwörter
Jeder lokale Administrator eines Computers hat ein eigenes, kryptisches Admin-Passwort, wodurch die Verwendung von Standardpasswörtern vermieden wird.
Regelmäßige Rotation
Die Passwörter werden in vordefinierten Intervallen automatisch geändert.
Eingeschränkte Auswirkung
Wird ein Passwort kompromittiert, sind nicht mehr alle Systeme direkt gefährdet.
Was ist neu?
Warum schreiben wir gerade jetzt über LAPS? Microsoft hat kürzlich das neue Windows LAPS angekündigt und veröffentlicht, den Nachfolger der klassischen LAPS-Lösung. Windows LAPS bietet nun verschiedene Vorteile, auf die Administratoren seit langem gewartet haben:
Direkte Integration
Die Technologie ist nun direkt in das Betriebssystem der Computer integriert, was bedeutet, dass keine separate Software mehr ausgerollt werden muss.
Erweiterte Konfigurationsmöglichkeiten
Windows LAPS bietet neue Funktionen, die die Verwendung und Sicherheit der Lösung optimieren.
Der größte Vorteil von Windows LAPS ist weiterhin die zentrale Speicherung der Kennwörter, jetzt aber neu: Auch im Azure AD bzw. Intune. Keine Abhängigkeiten mehr zu onPrem Systemen!
Um die Bedeutung von Windows LAPS in der Praxis zu veranschaulichen, betrachten wir das folgende Szenario:
Stellen Sie sich vor, eine Organisation hat eine beträchtliche Anzahl von Computern, auf denen lokale Administratorkonten mit identischen und schwachen Passwörtern eingerichtet sind. Die Mitarbeitenden haben aufgrund ihrer Aufgaben im Worst-Case auch noch lokale Administratorrechte auf ihren Arbeitsplatzcomputern. Eines Tages wird einem Mitarbeitenden der Firmenlaptop gestohlen, oder ein Angreifer erhält z.B. über Schadsoftware Zugriff auf das Gerät.
Als erstes wird der Angreifer versuchen die Zugangsdaten des lokalen Administrators herauszufinden. Direkt im Anschluss probiert er mit diesen Zugangsdaten auch auf andere Computer im Netzwerk zuzugreifen. Es wird nicht lang dauern, bis die Zugangsdaten auf einem Rechner funktionieren, auf dem ggf. IT-Administratoren arbeiten oder von dem aus auf wichtige Server zugegriffen wird. Dies nennt man in der Fachsprache „Lateral Movement“, also mit initial gar nicht so wichtigen Zugangsdaten Zugriff auf tiefergehende Systeme zu erhalten.
Sollte dies der IT auffallen, so wären Sie jetzt damit konfrontiert, die Kennwörter auf allen Geräten händisch ändern zu müssen. Und was passiert mit den Systemen die aktuell nicht im Zugriff sind, z.B. im Home-Office? Dieser Prozess wäre zeitaufwändig, fehleranfällig und könnte zu erheblichen Betriebsstörungen führen.
Mit Windows LAPS würde sich das Szenario deutlich anders abspielen. Die Kennwörter wären eindeutig, sie rotieren regelmäßig und sind kryptischer als die häufig verwendeten sehr einfachen Zugangsdaten. Die zentralisierte Speicherung der Kennwörter im Azure AD und die dazugehörige Geräteverwaltung per Intune ermöglicht es der Organisation, das Kennwort für das betroffene Gerät sofort zu ändern und den Angreifer daran zu hindern, auf andere Systeme zuzugreifen. Gleichzeitig würden die verbleibenden Computer weiterhin ihre individuellen, sich ändernden Kennwörter beibehalten, was eine hohe Sicherheit der Umgebung gewährleistet
Dieses Beispiel zeigt, wie Windows LAPS dazu beitragen kann, potenzielle Sicherheitsrisiken zu minimieren und den Schaden bei einem Sicherheitsvorfall zu begrenzen. Durch die Implementierung von LAPS können Organisationen die Verwaltung ihrer lokalen Administratorkonten verbessern und ein höheres Maß an Sicherheit und Kontrolle über ihre IT-Infrastruktur gewährleisten.
Haben Sie Fragen?
Wenn Sie LAPS noch nicht kennen oder noch nicht implementiert haben oder Sie mehr über die Vorteile der neuen Lösung erfahren möchten, helfen wir Ihnen gerne bei der Einführung von Windows LAPS.
Kontaktieren Sie uns und profitieren Sie mit minimalem Aufwand von erhöhter Sicherheit.
