Windows LAPS-Kontoverwaltungsmodi
Erfahren Sie mehr über die verschiedenen Kontoverwaltungsmodi, die von Windows Local Administrator Password Solution (Windows LAPS) unterstützt werden.
Wichtig
Die automatische Kontoverwaltungsfunktion von Windows LAPS wird nur in Windows 11 24H2, Windows Server 2025 und höher unterstützt.
Übersicht
Der Hauptzweck von Windows LAPS ist die regelmäßige Rotation des Kennworts eines lokalen Windows-Kontos. Dieses Konto kann entweder das integrierte Administratorkonto oder ein benutzerdefiniertes neues Konto sein. Der IT-Administrator verfügt über zwei verschiedene Modi zum Konfigurieren und Verwalten des Zielkontos: manuell und automatisch. Beide Modi haben Vor- und Nachteile.
Es stehen zwei verschiedene Modi zum Verwalten des Zielkontos zur Verfügung.
Der manuelle Kontoverwaltungsmodus ist der Standardmodus. Im manuellen Modus ist der IT-Administrator für die Konfiguration aller Aspekte des verwalteten Kontos mit Ausnahme des Kennworts verantwortlich, das Windows LAPS verwaltet und steuert.
Der automatische Kontoverwaltungsmodus ist ein optionaler Modus. Im automatischen Modus ist Windows LAPS für die Konfiguration aller Aspekte des verwalteten Kontos verantwortlich, einschließlich der grundlegenden Kontoerstellung und -löschung nach Bedarf sowie des Kennworts des Kontos.
Manueller Kontoverwaltungsmodus
Der manuelle Modus ist der Standardmodus. Der IT-Administrator hat die Wahl, ob das integrierte Administratorkonto oder ein benutzerdefiniertes neues Konto verwendet werden soll. Diese Auswahl wird über die AdministratorAccountName-Richtlinieneinstellung konfiguriert. Wenn die Einstellung "AdministratorAccountName" leer ist, wird das integrierte Administratorkonto verwaltet, andernfalls gibt AdministratorAccountName den Namen eines benutzerdefinierten lokalen Kontos an.
Wenn ein benutzerdefiniertes lokales Konto angegeben wird, ist der IT-Administrator für das Erstellen dieses Kontos verantwortlich, bevor Windows LAPS aktiviert wird– Windows LAPS erstellt das Konto in diesem Modus nicht. Es gibt viele Möglichkeiten zum Erstellen eines lokalen Kontos:
- Konfigurieren des Konfigurationsdienstanbieters für Konten
- Bereitstellen von benutzerdefinierten richtliniengesteuerten Verwaltungsskripts
- Hinzufügen des Zielkontos zu einem Basisbetriebssystemimage.
Diese Mechanismen fügen eine zusätzliche Komplexität hinzu, die mithilfe des Modus für die automatische Kontoverwaltung vermieden werden kann.
In diesem Modus ist das Kennwort des Zielkontos vor versehentlichen oder unvorsichtigen Manipulationen geschützt. Alle anderen Kontokonfigurationsänderungen sind zulässig.
Automatischer Kontoverwaltungsmodus
Der automatische Modus ist standardmäßig deaktiviert. Nach der Aktivierung kann der IT-Administrator aus den folgenden Konfigurationsdetails wählen:
- Ob das integrierte Administratorkonto oder ein benutzerdefiniertes neues Konto verwendet werden soll.
- Den Kontonamen
- Ob das Konto aktiviert oder deaktiviert werden soll
- Ob der Name des Kontos nach dem Zufallsprinzip ermittelt werden soll
Details zur automatischen Kontokonfiguration
Wenn der automatische Modus aktiviert ist, wird das verwaltete Konto wie folgt konfiguriert:
- Standardmäßig ist das virtuelle Konto Mitglied der lokalen Administratorengruppe
- Die Einstellung "Kennwort nicht erforderlich" ist deaktiviert
- Die Flag "Kennwort läuft nie ab" ist deaktiviert
- Die Kontobeschreibung wird geändert, um anzugeben, dass Windows LAPS das Konto steuert
Verbesserungen und Überlegungen zur automatischen Kontoverwaltung
Wie jedes Benutzerkonto stellen lokale Windows-Konten einen potenziellen Sicherheitsrisikovektor für Angreifer dar. Diese Bedrohung ist auch für windows LAPS-verwaltete Konten vorhanden, obwohl sie durch die hochkomplexen Kennwörter, die von Windows LAPS generiert (und regelmäßig gedreht) werden, erheblich abgemildert. Die automatische Kontoverwaltung bietet zwei Verbesserungen, mit denen Bedrohungen weiter abgemildert werden können, wenn für Umgebungen mit hoher Bedrohung mehr Sicherheit gewünscht wird.
Erstens entfällt die Aufrechterhaltung des verwalteten Kontos in einem deaktivierten Zustand völlig die Wahrscheinlichkeit, dass das Konto das Ziel eines Kennwortsprühens oder eines ähnlichen Angriffs sein kann. Die Beibehaltung des verwalteten Kontos in einem deaktivierten Zustand führt jedoch zu einer Reibung: Das verwaltete Konto muss (über GPO- oder MDM-Richtlinienmanipulation) aktiviert werden, bevor das Konto verwendet werden kann.
Zweitens macht die Aufrechterhaltung eines eindeutigen verwalteten Kontonamens pro Gerät (über die Randomisierung des Kontonamens) den Auftrag eines Angreifers schwieriger. Anstatt im Voraus zu wissen, welches Konto auf allen Geräten angegriffen werden soll, muss der Angreifer irgendwie den Namen des Kontos auf einem bestimmten Zielgerät ermitteln. Es gibt hier mehr Reibung, da IT-Mitarbeiter geschult werden müssen, um nicht auf die Kenntnis eines gemeinsamen, organisationsweiten verwalteten Kontonamens angewiesen zu sein.
IT-Administratoren, die Windows LAPS in sicherheitskritischer Umgebung bereitstellen, sollten diese Features berücksichtigen. Ob die durch die Übernahme dieser Features eingeführte Reibung akzeptabel ist, hängt davon ab, wie oft die von Windows LAPS verwalteten Konten verwendet werden müssen, sowie die Sicherheitsanforderungen einer bestimmten IT-Umgebung.
Integration in lokale Kontoverwaltungsrichtlinien
Windows unterstützt mehrere Richtlinien für die Verwaltung der Mitgliedschaft in lokalen Windows-Gruppen:
- RestrictedGroups Policy CSP
- LocalUsersAndGroups Policy CSP
- Lokale Benutzer und Gruppen (Gruppenrichtlinie)
- Eingeschränkte Gruppen (Gruppenrichtlinie)
Jede der oben genannten Richtlinien unterstützt einen Konfigurationsmodus, der verwendet werden kann, um das Entfernen aller Mitglieder einer angegebenen lokalen Gruppe zu erzwingen. Die oben genannten Richtlinien ignorieren jetzt alle Versuche, das automatisch verwaltete Windows LAPS-Konto aus der lokalen Administratorgruppe zu entfernen.
Schutz vor Kontomanipulationen
Der Kontomanipulationsschutz wird im automatischen Modus erweitert. Windows LAPS steuert alle Konfigurationsaspekte eines automatisch verwalteten Kontos. Externe Versuche zum Ändern des verwalteten Kontos werden blockiert. IT-Administratoren sollten keine Richtlinien oder Skripts erstellen, die versuchen, das verwaltete Konto zu ändern.
Windows LAPS lehnt unerwartete Versuche zum Ändern des Kontos mit dem Fehler STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) oder ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) ab. Jede Ablehnung verfügt über ein zugeordnetes Ereignis im Windows LAPS-Ereignisprotokollkanal. Ereignisse 10101-10104 werden protokolliert, die dem Typ der Änderung entsprechen (grundlegende Änderung, Änderung der Sicherheitsbeschreibung, Löschung oder Entfernung aus der lokalen Administratorgruppe).
Wählen eines Modus
Der manuelle Modus ist die beste Wahl für Situationen, die eine eindeutige und\oder detaillierte Konfiguration des Zielkontos erfordern.
Der automatische Modus ist die beste Wahl für Situationen mit weniger detaillierten Anforderungen, z. B. benötigen Sie nur das verwaltete Konto, um in einer grundlegenden Konfiguration mit Administratorrechten verfügbar und einsatzbereit zu sein. Der automatische Modus unterstützt auch die Erstellung eines benutzerdefinierten neuen Kontos.
| Funktion | Manueller Modus | Automatisch |
|---|---|---|
| Von Windows LAPS gesteuertes Kennwort | Ja | Ja |
| IT-Administrator kann das Konto anpassen | Ja | No |
| Unterstützt die automatische Kontoerstellung | No | Ja |
| Unterstützt die automatische Kontobenennung | No | Ja |
| Unterstützt die automatische Kontoaktivierung\-deaktivierung | No | Ja |
| Unterstützt die automatische Randomisierung des Kontonamens | No | Ja |
| Unterstützt die Integration in lokale Kontorichtlinien | No | Ja |
Wichtig
Microsoft empfiehlt Kunden, den automatischen Kontoverwaltungsmodus jederzeit zu bevorzugen, mit Ausnahme der (seltenen) Situationen, in denen eine eindeutige Konfiguration des Zielverwaltungskontos erforderlich ist. Außerdem wird empfohlen, dass der automatische Kontoverwaltungsmodus so konfiguriert wird, dass ein benutzerdefiniertes Konto erstellt wird und dass das integrierte Administratorkonto nicht verwendet und in einem deaktivierten Zustand verwaltet wird.
Kontoverwaltung für Directory Services-Reparaturmodus
Windows LAPS unterstützt die Verwaltung des Kennworts für das Verzeichnisdienste-Reparaturmoduskonto (DSRM) auf Domänencontrollern. Die in diesem Artikel beschriebenen Modi für die manuelle und automatische Kontoverwaltung gelten nicht für das DSRM-Konto.
Siehe auch
Nächste Schritte
Nachdem Sie nun die verschiedenen Kontoverwaltungsmodi verstanden haben, sehen Sie sich diese anderen Abschnitte an.