Windows LAPS
Was für die Neueinführung und für existierende LAPS-Implementierungen wichtig ist
Matthias Kirchenbauer / 02. Mai 2023
Microsoft hat im Jahr 2015 eine kostenfreie Lösung für die Verwaltung lokaler Windows Administrator-Konten veröffentlicht, die „Local Administrator Password Solution“. Hauptvorteil der Lösung ist eine zentrale Verwaltung der Passwörter, deren regelmäßige Änderung und die automatische Speicherung im Active Directory. Bislang war zur Umsetzung der Lösung ein lokal zu installierender Agent erforderlich.
Microsoft arbeitete bereits seit Längerem daran, die Funktion des Agenten nativ in das Windows-Betriebssystem zu integrieren und hat diese bereits für Windows Insider-Releases bereitgestellt. Seit dem Patch-Dienstag vom 11.04.2023 wird die Agenten-Funktionalität unter dem Namen „Windows LAPS“ nun in Form eines kumulativen Updates für alle unterstützen Versionen von Windows 10, Windows 11, sowie Windows Server ab Version 2019 automatisch implementiert.
Was ist neu an Windows LAPS?
Neben dem Entfall der Notwendigkeit eines lokal installierten Agenten bietet Windows LAPS weiterhin folgende Vorteile:
- Passwörter können verschlüsselt abgespeichert werden
- Passwort-Historie
- Sicherung von Domain Controller DSRM-Passwörtern
- Automatisches Ändern eines Passworts, nach dessen Nutzung
Die wohl größte Neuerung adressiert aber insbesondere Kunden, die im Rahmen ihrer Endpoint-Modernisierung bereits auf nativ Azure Active Joined Devices umgestellt haben oder es beabsichtigen: Windows LAPS unterstützt die Passwortspeicherung in Azure Active Directory und Intune (Public Preview seit 21.04.2023). Auch auf Hybrid Azure Active Directory Joined Devices kann diese Option genutzt werden.
Ich nutze bereits das Legacy LAPS – gibt es Handlungsbedarf?
Derzeit gibt es einen Known Issue, der auftritt, wenn der Legacy LAPS Agent auf einem System installiert wird, das bereits auf dem April 2023 Cumulative Update läuft. Der Known Issue hat zur Folge, dass weder Windows LAPS noch der Legacy LAPS Client funktional sind. Es gibt zwei Optionen für schnelle Workarounds, darunter die Deaktivierung der Legacy LAPS Emulation per Gruppenrichtlinie, sowie alternativ die Deinstallation des Legacy LAPS Agents.
Als nachhaltige Lösung ist jedoch der Umstieg auf Windows LAPS empfohlen. Wer hierbei weiterhin auf das lokale Active Directory setzt, sollte also sein Active Directory Schema für die Nutzung der neuen Funktionen aktualisieren, sowie über die aktualisierten Group Policy Administrative Templates auf die neuen Funktionen umstellen. Wer beim Endpoint Management bereits auf Intune setzt, kann allerdings durchaus bereits heute die Umstellung auf Azure Active Directory-basierte Passwortspeicherung planen.