Quelle: techcommunity.microsoft.com (Englisch)
Technische Dokumentation zu Windows LAPS
Neue LAPS-Funktionen mit dem heutigen Sicherheitsupdate vom 11. April 2023 für die folgenden Windows-Editionen:
- Windows 11 Pro, EDU und Enterprise
- Windows 10 Pro, EDU und Enterprise:
- Windows Server 2022 und Windows Server Core 2022
- Windows Server 2019
Nativ in Windows integriert
Die Funktion ist sofort nach dem Auspacken einsatzbereit. Sie müssen kein externes MSI-Paket mehr installieren! Künftige Korrekturen oder Funktionsupdates werden über die normalen Windows-Patching-Prozesse bereitgestellt.
LAPS unterstützt Azure Active Directory (in privater Vorschau)
Zusammen mit Azure AD bietet LAPS die folgenden Vorteile für die Verwaltung von Passwörtern in der Cloud (derzeit in einer privaten Vorschau):
- Ruft gespeicherte Passwörter über Microsoft Graph ab.
- Erstellt zwei neue Microsoft Graph Berechtigungen für den Abruf nur der Passwort-"Metadaten" (d.h. für Sicherheitsüberwachungsanwendungen) oder des sensiblen Klartextpassworts selbst.
- Bietet Azure rollenbasierte Zugriffskontrolle (Azure RBAC) Richtlinien für die Erstellung von Autorisierungsrichtlinien für den Passwortabruf.
- Enthält Unterstützung für das Azure Management Portal zum Abrufen und Rotieren von Passwörtern.
- Hilft Ihnen, die Funktion über Intune zu verwalten!
- Automatisch rotiert das Kennwort, nachdem das Konto verwendet wurde.
Halten Sie im Windows IT Pro Blog Ausschau nach der bevorstehenden Ankündigung einer öffentlichen Vorschau für diese Funktionen!
Neue Funktionen für lokale Active Directory-Szenarien
Die folgenden Funktionen, die Sie bisher mit dem alten LAPS nicht nutzen konnten, stehen Ihnen jetzt vor Ort zur Verfügung:
- Passwortverschlüsselung: Erhöht die Sicherheit für diese sensiblen Geheimnisse erheblich!
- Passwortverlauf: Gibt Ihnen die Möglichkeit, sich in wiederhergestellte Sicherungsabbilder zurückzumelden.
- Directory Services Restore Mode (DSRM) Passwort-Backups: Sorgt für die Sicherheit Ihrer Domänencontroller, indem diese kritischen Wiederherstellungskennwörter regelmäßig rotiert werden!
- Emulationsmodus: Nützlich, wenn Sie die älteren LAPS-Richtlinieneinstellungen und -Tools weiter verwenden möchten, während Sie sich auf die Migration zu den neuen Funktionen vorbereiten!
- Automatische Rotation: Dreht das Passwort automatisch, nachdem das Konto benutzt wurde.
Neue Funktionen für Azure AD und lokale AD-Szenarien
Reichhaltige Richtlinienverwaltung ist jetzt sowohl über Gruppenrichtlinien als auch über Configuration Service Provider (CSP) verfügbar:
- Gruppenrichtlinie: %windir%/PolicyDefinitions/LAPS.admx
- CSP: ./Device/Vendor/MSFT/LAPS
- Das Passwort für das Windows LAPS-Konto bei Bedarf über das Intune-Portal zu ändern, ist sehr nützlich, wenn es z. B. um eine mögliche Sicherheitsverletzung geht.
- Das Ereignisprotokoll befindet sich unter Anwendungen und Dienste. Siehe Logs > Microsoft > Windows > LAPS > Operational für eine verbesserte Diagnose.
- Das Neue PowerShell-Modul umfasst verbesserte Verwaltungsfunktionen. Zum Beispiel können Sie jetzt das Kennwort bei Bedarf mit dem neuen Cmdlet Reset-LapsPassword drehen!
- Hybrid-joined Geräte werden vollständig unterstützt.