Lokale Adminrechte sicher verwalten mit LAPS und Break Glass

Zentralisierte Passwortverwaltung mit LAPS

Die beiden größten Schwachstellen von Passwörtern sind ihre Wiederverwendung und sie statisch zu halten. Microsoft LAPS (Local Administrator Password Solution) löst genau diese Probleme, indem es die Passwortrotation automatisieren und zentralisiert und jedem lokalen Admin auf jedem Gerät ein einzigartiges, zufällig generiertes Passwort zuweist.

Die Funktionsweise von Microsoft LAPS für Windows

Im klassischen Szenario integriert sich LAPS tief in das Active Directory (AD). Die Lösung generiert für jeden verwalteten Windows-Client ein starkes, einmaliges Passwort für das lokale Administratorkonto. Dieses Passwort wird sicher als Attribut des jeweiligen Computerobjekts im AD gespeichert. Der Zugriff auf dieses Passwort wird streng über Berechtigungsgruppen geregelt. So kann beispielsweise nur ein bestimmter Kreis von Helpdesk-Mitarbeitern das Passwort für einen Client abrufen, den sie gerade supporten müssen. Nach der Verwendung wird das Passwort automatisch wieder geändert, was die Angriffsfläche drastisch reduziert.

Erweiterung auf macOS über Intune

In den heterogenen IT-Landschaften, wie sie heute üblich sind, reicht eine reine Windows-Lösung oft nicht aus. Auch stellt sich die Frage was wenn ich die Daten nicht in meinem Active Directory halten möchte? Die gute Nachricht ist, dass sich das Prinzip von LAPS auch mit Intune umsetzen lässt. Die noch bessere Nachricht ist, dass LAPS auf Intune sogar Windows und macOS unterstützt. So kann eine einheitliche Strategie für beide Betriebssysteme realisiert werden. Dadurch wird die Wiederverwendung von Passwörtern vollständig eliminiert und ein kompromittierter Client wird nicht automatisch zum kompletten disaster. Dies ist ein entscheidender Baustein für eine robuste IT Sicherheit. Die Verwaltung über Intune ist dabei nur ein Teilaspekt, denn für eine nahtlose Implementierung unterstützen unsere Management Services Unternehmen umfassend.

Die Rolle von Break-Glass-Konten im Notfall

Stellen Sie sich vor, Ihr Identitätsanbieter wie Microsoft Entra ID ist nicht erreichbar oder eine kritische Fehlkonfiguration sperrt alle Standard-Admins aus. In solchen Momenten ermöglicht ein Break-Glass-Konto den Zugriff, um das System wiederherzustellen. Bei Break-Glass-Accounts handelt es sich i.d.R. um hochprivilegierte, isolierte Notfallzugänge, die bewusst außerhalb der regulären administrativen Prozesse. Sie sind die letzte Verteidigungslinie, wenn nichts mehr geht.

Weil Break-Glass-Accounts oft nicht so massiv abgesichert sind wie andere Accounts im Unternehmen erfordert die Einrichtung und Absicherung prozessuale Strenge. Beim einrichten eines Break-Glass-Accounts sind folgende Schritte entscheidend:

1. 1. Sichere Aufbewahrung der Zugangsdaten: Die Anmeldeinformationen gehören nicht in einen digitalen Passwortmanager, sondern physisch gesichert, zum Beispiel in einem versiegelten Umschlag im Firmentresor. Die Zugangsdaten sollten an getrennten, sicheren Orten aufbewahrt werden.
   2. Dokumentierter Freigabeprozess: Der Zugriff darf nur nach dem Vier-Augen-Prinzip erfolgen und muss formal genehmigt werden.
   3. Obligatorisches Protokoll nach der Nutzung: Nach jedem Einsatz muss das Passwort sofort geändert und jede durchgeführte Aktion lückenlos auditiert werden.

LAPS und Break-Glass: Eine sinnvolle Doppelstrategie

Es ist wichtig zu verstehen, dass LAPS und Break-Glass-Konten keine konkurrierenden, sondern komplementäre Werkzeuge sind. Sie bilden zusammen eine mehrschichtige Verteidigung. LAPS schützt vor dem häufigen und alltäglichen Risiko des Missbrauchs lokaler Adminrechte, während Break-Glass-Konten vor dem seltenen, aber potenziell katastrophalen Risiko eines Totalausfalls der administrativen Infrastruktur schützen.

Die Analogie ist einfach: LAPS ist die Alarmanlage, die täglich Einbrüche verhindert. Das Break-Glass-Konto ist der Notfallschlüssel in einem versiegelten Kasten, der nur bei einem Brand zum Einsatz kommt. Der Erfolg dieser Doppelstrategie hängt von klar definierten internen Richtlinien ab. Es muss unmissverständlich geregelt sein, wann ein IT-Mitarbeiter ein LAPS-Passwort anfordern darf und unter welchen Umständen der Eskalationsprozess für ein Break-Glass-Konto eingeleitet wird. Diese kombinierte Strategie ist gerade für den deutschen Mittelstand ideal, um eine hohe Sicherheitsreife nachzuweisen und regulatorische Anforderungen zu erfüllen. Die Implementierung ist Teil eines umfassenden Sicherheitskonzepts, wie es unsere IT-Lösungen für Unternehmen bieten.

Kriterium	LAPS (Local Administrator Password Solution)	Break-Glass-Konto
Anwendungsfall	Täglicher, kontrollierter Zugriff für administrative Routineaufgaben	Absolute Notfallszenarien (z.B. Systemausfall, Aussperrung)
Zugriffsfrequenz	Regelmäßig, bei Bedarf	Extrem selten, nur im Krisenfall
Management	Automatisiert, zentral über AD/Intune verwaltet	Manuell, prozessgesteuert mit physischer Sicherung
Sicherheitsfokus	Verhinderung von lateraler Bewegung und Passwort-Wiederverwendung	Sicherstellung der Handlungsfähigkeit bei Totalausfall

Praktische Implementierung und Best Practices

Die Einführung von LAPS und Break-Glass-Konten ist kein Hexenwerk, erfordert aber eine sorgfältige Planung. Für die Implementierung von Windows LAPS folgen Sie am besten dieser Checkliste:

• • Zunächst werden die LAPS-Richtlinien konfiguriert, entweder klassisch per Gruppenrichtlinie (GPO) oder modern über Microsoft Intune. Hier legen Sie Passwortlänge, Komplexität und Rotationsintervall fest.

• • Zuletzt wird die LAPS-Policy auf den Endpunkten ausgerollt, damit diese ihre Passwörter verwalten und an das Verzeichnis melden können.

Für macOS wird ein LAPS-ähnliches System etabliert, indem man Microsoft Intune Adminrechte nutzt, um über Skripte oder Konfigurationsprofile eine vergleichbare Passwortrotation zu erzwingen. Ein Fachartikel von Petri.com beschreibt beispielsweise, wie die neuesten Updates in Intune die plattformübergreifende Verwaltung erleichtern.

Für den laufenden Betrieb sind folgende Best Practices unerlässlich:

• • Regelmäßige Audits: Überprüfen Sie regelmäßig, wer wann auf welche Passwörter zugegriffen hat. Die Protokolle sind Ihre wichtigste Informationsquelle.

• • SIEM-Integration: Leiten Sie die Zugriffsprotokolle an Ihr Security Information and Event Management (SIEM) System weiter, um verdächtige Aktivitäten proaktiv zu erkennen.

• • Striktes RBAC (Role-Based Access Control): Begrenzen Sie die Berechtigungen zum Abruf von Passwörtern strikt auf die IT-Rollen, die sie für ihre Aufgaben unbedingt benötigen.

Auch bei einem automatisierten System wie LAPS muss jeder Zugriff auf ein Admin-Passwort nachvollziehbar und an eine Person sowie eine konkrete Aufgabe gebunden sein. Die sichere Konnektivität und Verwaltung dieser Endpunkte ist ein Kernaspekt, bei dem unsere Expertise im Bereich Netzwerkinfrastruktur entscheidende Vorteile bringt.

Typische Herausforderungen meistern und Akzeptanz sichern

Die Einführung neuer Sicherheitsprozesse stößt gelegentlich auf Hürden. Eine typische technische Herausforderung ist die Integration in gewachsene, heterogene IT-Umgebungen, die oft aus On-Premise- und Cloud-Komponenten bestehen – ein bekanntes Szenario in etablierten deutschen Unternehmen. Hier gilt es, eine einheitliche Strategie zu entwickeln, die alle Systeme abdeckt.