LAPS & Administrator-Rechte
Verwaltung lokaler Administrator-Rechte mit Windows LAPS (Local Administrator Password Solution).
Concat Standard
- Kein lokaler Admin für Endbenutzer — Standard ohne Ausnahme.
- Windows LAPS für das lokale Admin-Konto auf jedem Gerät.
- Passwort-Rotation alle 30 Tage.
- Passwort-Länge: 20 Zeichen.
- Passwort wird in Entra ID gespeichert.
Hinweis zum Admin-Konto: Um automatisierte Angriffe auf den Standard-Benutzernamen zu erschweren, wird empfohlen, den integrierten (Built-in) Administrator-Account umzubenennen (z. B. in loc-admin) oder einen dedizierten lokalen Account über Intune bereitzustellen, der dann von LAPS verwaltet wird.
LAPS Konfiguration via Intune
| Einstellung | Wert |
|---|---|
| Administrator Account Name | (Default: Built-in Administrator oder Custom Name) |
| Password Age (Days) | 30 |
| Password Length | 20 |
| Password Complexity | Large letters + small letters + numbers + special characters |
| Backup Directory | Entra ID |
| Post-authentication actions | Reset password + logoff |
Admin-Rechte Eskalation
Falls ein Benutzer temporär Admin-Rechte benötigt, gilt folgender Prozess:
- Ticket im IT-Serviceportal erstellen.
- IT prüft die Begründung.
- Temporäre Zuweisung über Intune Endpoint Privilege Management (EPM) oder Herausgabe des LAPS Passwords.
- Zeitlich begrenzt (max. 24 Stunden).
- Lückenlose Protokollierung im Ticket-System.
EPM vs. LAPS: Sofern der Kunde über die entsprechende Lizenz (Intune Suite / EPM Add-on) verfügt, sollte EPM immer der Herausgabe eines LAPS-Passworts vorgezogen werden. EPM ermöglicht eine granulare, anwendungsbasierte Rechteausweitung (Just-in-Time für eine spezifische .exe), ohne dem User vollständige Systemrechte zu geben.
Dauerhafte lokale Admin-Rechte für Endbenutzer sind nicht zulässig. Alle Ausnahmen (z. B. für spezielle Entwickler-Maschinen) erfordern eine schriftliche Risikoübernahme (Sign-off) durch den CISO oder die Geschäftsführung des Kunden.