LAPS (LocalAdministratorPasswordSolution)

Die Local Administrator Password Solution kurz LAPS von Microsoft stellt die Verwaltung der Kennwörter lokaler Administratorkonten für in eine Domäne eingebundenen Computer bereit. D.h. dass die Passwörter nicht mehr auf den einzelnen Clients gespeichert werden, sondern zufällig im Active Directory.

In der Verwaltung kann dann festgelegt werden welche Gruppen Zugriff auf die Passwörter haben, wie die Passwortrichtlinie (Anzahl Zeichen, Sonderzeichen etc.) aussieht und wie lange ein Passwort gültig ist.

PROTECTION
LAPS löst das Problem das ein oder mehrere Clients die selben Credentials für den lokalen Administrator verwenden (Tritt oft auf wenn Clients über Images erstellt werden). Außerdem verhindert der zeitliche Ablauf eine dauerhafte Ausnutzung des Kontos.

RISK
Auch mit LAPS ist es möglich User der Gruppe der lokalen Admins zuzuordnen, was bedeutet das mit einer Kompromitierung eines Accounts Administrator-Rechte erlangt werden. Auch darf die Abfrage des Passwortes nur für ausgewählte Benutzer zugänglich sein. Ebenso sollte die Gültigkeit eines Passwortes so kurz wie möglich gewählt werden.