In een tijd waarin cyberdreigingen blijven toenemen en organisaties steeds vaker te maken krijgen met ransomware en laterale beweging van aanvallers, is het beveiligen van lokale administratoraccounts belangrijker dan ooit. Windows Local Administrator Password Solution (Windows LAPS) speelt hierin een cruciale rol.

Windows LAPS biedt een veilige, geautomatiseerde manier om lokale administratorwachtwoorden te beheren binnen Windows‑ en Microsoft 365‑omgevingen. Het elimineert het risico van gedeelde of statische wachtwoorden, een van de meest voorkomende aanvalsvectoren binnen netwerken.

Met Richard van der Els, Modern Workplace Consultant bij Innvolve.

Waarom Windows LAPS onmisbaar is

• Automatische wachtwoordrotatie: Windows LAPS zorgt ervoor dat elk device automatisch een uniek lokaal administratorwachtwoord krijgt, dat periodiek wordt gewijzigd. Dit verkleint de kans dat aanvallers lateraal door een netwerk kunnen bewegen.
• Veilige opslag in Entra ID / Intune: De wachtwoorden worden versleuteld opgeslagen in Microsoft Entra ID. Alleen beheerders met de juiste rechten kunnen ze inzien.
• Bescherming tegen ransomware & hackers: Veel cyberaanvallen maken gebruik van gestolen lokale admin‑wachtwoorden. Dankzij LAPS is één wachtwoord nooit bruikbaar op meerdere apparaten, waardoor aanvallers worden tegengehouden.
• Beschikbaar met Intune P1: Organisaties met een Microsoft Intune P1 licentie kunnen LAPS direct inzetten en profiteren van de extra beveiliging.

Windows LAPS inschakelen

LAPS activeren in Microsoft Entra ID

Ga in het Entra Admin Portal naar:

Devices ➜ Device Settings ➜ Enable Microsoft Entra Local Administrator Password Solution (LAPS)

Dit activeert de LAPS‑functionaliteit voor Entra ID‑joined devices.

Configuratie in Microsoft Intune

Maak een LAPS Configuration Profile

Ga in het Intune Admin Portal naar:

Endpoint security ➜ Account protection ➜ Create policy ➜ Local admin password solution (LAPS)

Vul onder Basics een naam in, bijvoorbeeld: LAPS – Admin Password Rotation

Configuratiesettings instellen

Belangrijke opties:

• Backup Directory: Backup password to Microsoft Entra ID only
• Password Age Days: Standaard 30 – een kortere tijd is aan te raden
• Password Length: 14
• Password Complexity: Default (letters, cijfers, speciale tekens)
• Automatic Account Management Enabled: Aan
• Automatic Account Management Enable Account: Aan

Door deze instellingen maakt Windows automatisch een beheerde LAPS‑account aan, zoals WLapsAdmin.

Wachtwoorden bekijken

In de volgende stap kijken we of we het LAPS-wachtwoord kunnen ophalen via Intune en Entra ID.

In Intune

Devices ➜ [Device] ➜ Local admin password

In Entra ID

Devices ➜ All Devices ➜ [Device] ➜ Local administrator password recovery

Hier zie je:

• Het huidige wachtwoord
• De laatste rotatie
• De volgende geplande rotatie

De LAPS‑account controleren op het apparaat

Ga op het device naar:

Local Users and Groups ➜ Users

Hier vind je de automatisch aangemaakte LAPS‑account.

Applicaties installeren als LAPS‑administrator

1. Rechtsklik op een installer
2. Kies Run as a different user
3. Selecteer Use a different account
4. Voer de LAPS‑gebruikersnaam en het wachtwoord in

De installatie start nu met verhoogde rechten, zonder permanente adminrechten op het device.

Conclusie

Windows LAPS is een krachtige, eenvoudig te implementeren oplossing die organisaties beschermt tegen veelvoorkomende aanvallen waarbij lokale admin‑accounts worden misbruikt. Door wachtwoorden automatisch te roteren en veilig op te slaan in Entra ID/Intune, versterkt LAPS de algehele endpoint‑security op een manier die naadloos integreert met moderne Microsoft‑omgevingen.

Meer van dit soort blogs lezen? Neem dan zeker een kijkje op het LinkedIn-profiel van Richard.

 

Over de auteur

Richard van der Els is onze troef als het gaat om de Moderne Werkplek en Identity & Access Management. Richard is altijd bezig met de laatste (Microsoft) technologie. Lees ook zijn blogs op LinkedIn.

 

Kunnen we je helpen?