LAPS & lokale Admin-Sicherheit –
Kein Kennwort zweimal. Kein Gerät ohne Schutz.
Ein einziges kompromittiertes lokales Administratorkennwort kann sich wie ein Lauffeuer durch eine gesamte Windows-Umgebung ausbreiten – wenn alle Geräte dasselbe Passwort verwenden. LAPS verhindert genau das: jedes Gerät, ein einzigartiges, automatisch rotierendes Kennwort. Sicher verwaltet, lückenlos protokolliert.
Lokale Administrator-Konten. Sicher. Kontrolliert. Nachvollziehbar.
Windows LAPS automatisiert die Verwaltung lokaler Administratorkennwörter und bildet damit die technische Grundlage für ein belastbares Sicherheitskonzept. Wir implementieren, betreiben und ergänzen LAPS durch ein strukturiertes Tier-Modell für alle administrativen Tätigkeiten.
Windows LAPS Einrichtung & Rollout
Wir implementieren Windows LAPS (Local Administrator Password Solution) für alle Windows-Clients und -Server in Ihrer Umgebung. Jedes Gerät erhält ein zufällig generiertes, individuelles lokales Administratorkennwort, das in Active Directory gespeichert und automatisch nach definierten Intervallen rotiert wird. Ein kompromittiertes Kennwort ist damit nur für ein einziges Gerät gültig – Lateral Movement ist nicht mehr möglich.
- LAPS-Rollout für alle Windows-Clients
- LAPS für Windows-Server (Stufe 1 & 2)
- GPO-Konfiguration & AD-Schema-Erweiterung
- Automatische Kennwort-Rotation konfiguriert
- Kennwortkomplexität und -länge definiert
- Berechtigungen zum Kennwort-Abruf gestaffelt
- Test & Validierung aller Geräte
- Vollständige Dokumentation
Tier-Modell & Admin-Konzept
Strukturierte Trennung administrativer Tätigkeiten nach Zugriffsstufen: Tier 0 (Domänencontroller), Tier 1 (Server), Tier 2 (Clients). Jede Stufe hat eigene, personenbezogene Administratorkonten – kein Admin-Konto einer niedrigeren Stufe erhält jemals Rechte auf einer höheren. Wir konzipieren und implementieren dieses Modell passend zu Ihrer Umgebung.
Personenbezogene Admin-Konten
Geteilte Admin-Konten machen nachträgliche Zuordnung unmöglich – wer hat wann was getan? Wir richten für jeden Administrator eigene, namentlich gebundene Konten je Zugriffsstufe ein. Einzelne Konten können ohne Betriebsunterbrechung gesperrt werden, wenn eine Person das Unternehmen verlässt oder ein Konto kompromittiert wurde.
Auditprotokoll & Kennwort-Abruf
Jeder LAPS-Kennwort-Abruf wird protokolliert: Wer hat wann das Kennwort für welches Gerät abgerufen? Das Protokoll ist revisionssicher und liefert bei einem Sicherheitsvorfall die entscheidenden Informationen. Wir konfigurieren die Protokollierung und integrieren sie in Ihr bestehendes Logging-Konzept.
MFA-Absicherung des Admin-Zugangs
LAPS schützt das lokale Kennwort – der Weg dorthin muss ebenfalls gesichert sein. Wir kombinieren LAPS mit Multi-Faktor-Authentifizierung für alle administrativen Zugänge: Der Administrator meldet sich zunächst mit MFA am Verwaltungssystem an, bevor er ein LAPS-Kennwort abrufen kann. Ein kompromittiertes Passwort allein reicht damit nicht mehr aus.
Managed LAPS & Admin-Sicherheit
Wir übernehmen den laufenden Betrieb: LAPS läuft automatisch, neue Geräte werden eingebunden, ausscheidende Administratoren werden vollständig und sicher entfernt. Regelmäßige Reviews des Admin-Konzepts stellen sicher, dass das Tier-Modell mit Ihrem Unternehmen wächst.
Einrichten genügt nicht.
Admin-Sicherheit braucht Pflege.
Neue Geräte kommen hinzu, Administratoren wechseln, Richtlinien müssen angepasst werden. Ohne laufende Pflege entstehen Lücken – ein Gerät ohne LAPS, ein Admin-Konto ohne MFA, ein ausgefallener Rotationsjob.
Im Managed Service übernehmen wir die vollständige Verantwortung: LAPS bleibt für alle Geräte aktiv, das Tier-Modell wird bei Personalwechseln sofort angepasst, Protokolle werden ausgewertet. Sie müssen sich um nichts kümmern.
- LAPS für alle Windows-Clients & Server aktiv
- Neue Geräte werden automatisch eingebunden
- Admin-Konten bei Personalwechsel sofort angepasst
- MFA für alle Admin-Zugänge aktiv gehalten
- Kennwort-Rotation überwacht & Fehler behoben
- Halbjährlicher Review des Tier-Modells
- Auditprotokoll revisionssicher verfügbar
Von der Analyse zum sicheren Admin-Konzept
AD-Analyse
Vollständige Bestandsaufnahme aller vorhandenen Admin-Konten, Gruppenmitgliedschaften und bestehenden lokalen Kennwörter. Wer hat wo administrative Rechte – und warum?
Tier-Modell konzipieren
Definition der Zugriffsebenen passend zu Ihrer Umgebung: welche Administratoren welche Systeme verwalten, welche Konten-Benennung verwendet wird und welche Gruppen die GPO-Zuweisung steuern.
LAPS-Rollout
Schrittweise Implementierung: AD-Schema-Erweiterung, GPO-Konfiguration, Agent-Deployment auf allen Geräten, Validierung der Kennwort-Speicherung. Kein Gerät bleibt außen vor.
Dauerbetrieb & Review
Laufende Überwachung der Kennwort-Rotation, Einbindung neuer Geräte, Anpassung bei Personalwechseln und halbjährliche Reviews des gesamten Admin-Konzepts.
Häufige Fragen zu LAPS & Admin-Sicherheit
Was ist Windows LAPS und wofür brauche ich es?
Windows LAPS (Local Administrator Password Solution) ist eine Microsoft-Funktion, die automatisch für jeden Windows-Client und -Server ein einzigartiges, zufälliges lokales Administratorkennwort generiert, in Active Directory speichert und regelmäßig rotiert. Ohne LAPS nutzen viele Umgebungen auf allen Geräten dasselbe lokale Admin-Passwort – wird dieses einmal kompromittiert, hat ein Angreifer Zugriff auf alle Geräte gleichzeitig. LAPS verhindert genau diesen Angriffsweg.
Was ist ein Tier-Modell und warum ist es wichtig?
Ein Tier-Modell trennt administrative Tätigkeiten nach Zugriffsstufen: Tier 0 umfasst Domänencontroller und Active Directory (höchste Privilegien), Tier 1 Member-Server, Tier 2 Arbeitsplätze und IoT-Geräte. Jeder Administrator nutzt für jede Stufe ein eigenes, namentliches Konto. Ein Server-Admin kann nicht versehentlich oder absichtlich einen Domänencontroller administrieren. So bleiben Sicherheitsvorfälle auf das betroffene Segment begrenzt und breiten sich nicht aus.
Kann LAPS auch für Server eingesetzt werden?
Ja. Windows LAPS funktioniert für Windows-Clients und Member-Server gleichermaßen. Für Domänencontroller gelten besondere Einschränkungen, die wir bei der Konzeption berücksichtigen. Für Nicht-Windows-Systeme wie NAS, Firewalls und Switches empfehlen wir alternativ individuelle Kennwörter aus einem zentralen, abgesicherten Passwort-Tresor.
Wie sicher ist die Speicherung des LAPS-Kennworts in Active Directory?
Das LAPS-Kennwort wird im AD-Objekt des jeweiligen Computers gespeichert und ist nur für Benutzerkonten lesbar, denen diese Berechtigung explizit erteilt wurde. Wir konfigurieren diese Berechtigungen strikt nach Tier-Ebene: Ein Tier-2-Administrator kann nur LAPS-Kennwörter für Clients abrufen, nicht für Server. Jeder Abruf wird im Auditprotokoll festgehalten.
Was passiert beim Ausscheiden eines Administrators?
Beim Offboarding werden alle personenbezogenen Admin-Konten der ausscheidenden Person in allen Tier-Ebenen sofort deaktiviert. Da die LAPS-Kennwörter an Computerobjekte gebunden sind und nicht an Benutzerkonten, ändert sich daran nichts – die Geräte bleiben gesichert. Alle zuvor abgerufenen LAPS-Kennwörter werden nach dem nächsten Rotationszyklus automatisch ungültig.
Brauchen wir LAPS, wenn wir bereits einen Passwort-Manager haben?
Beides ergänzt sich. Ein Passwort-Manager wie unser Managed Passwort-Manager eignet sich für Kennwörter, die Menschen kennen und nutzen müssen. LAPS ist speziell für lokale Windows-Administratorkennwörter optimiert: vollautomatisch, direkt in Active Directory integriert und ohne manuellen Aufwand. Wir empfehlen LAPS für alle Windows-Geräte und einen Passwort-Tresor für alle anderen privilegierten Zugänge – gemeinsam bilden sie ein lückenloses System.
Nutzen alle Ihre Windows-Geräte dasselbe Admin-Kennwort?
Lassen Sie uns reden.
Wir analysieren kostenlos Ihre aktuelle Admin-Struktur, zeigen Lücken im Tier-Modell auf und erläutern, wie LAPS Ihre Umgebung konkret absichert – unverbindlich und ohne Fachchinesisch.