Maandelijkse vulnerability scanning: Eerste maand kosteloos! Meer informatie →
Hero

WIJ ZIJN

HACKIFY

LAPS - Local Administrator Password Solution

LAPS - Local Administrator Password Solution

24 juni 2026 · 4 min leestijd · begrippen

active-directory credentials

Wat is LAPS?

LAPS (Local Administrator Password Solution) is een Windows-functie die het wachtwoord van een lokaal admin-account beheert. Elke machine krijgt een eigen, willekeurig wachtwoord. LAPS roteert dat automatisch en slaat het centraal op, waar alleen geautoriseerde accounts het kunnen uitlezen.

Standaard gaat het om het ingebouwde Administrator-account. LAPS herkent dat aan de vaste RID 500 en niet aan de naam, dus een hernoemd account vindt het ook. Via AdministratorAccountName richt je het op een eigen account. Het wachtwoord roteert standaard elke 30 dagen. Daarnaast vervangt LAPS het ook nadat het account is gebruikt om in te loggen, standaard 24 uur na dat gebruik.

Sinds de Windows-update van 11 april 2023 zit Windows LAPS ingebouwd in Windows 10, Windows 11 en Windows Server 2019 en nieuwer. Die versie vervangt de oude, losse Microsoft LAPS uit 2016, die je nog apart moest installeren als Group Policy-extensie en die alleen in on-prem AD kon opslaan. De oude LAPS is sinds Windows 11 23H2 deprecated en wordt op nieuwe Windows-versies geblokkeerd, dus voor nieuwe inrichting is Windows LAPS de standaard.

Welk probleem lost LAPS op?

Veel netwerken rollen werkstations uit vanaf hetzelfde image. Dat image bevat een lokaal admin-account, en zonder verdere maatregel deelt elke machine daardoor hetzelfde lokale admin-wachtwoord. Dat is precies wat een aanvaller nodig heeft. Wie op één werkstation binnenkomt en de lokale admin-hash buitmaakt, gebruikt diezelfde hash via Pass-the-Hash op alle andere machines met dat image. Zo beweegt hij het hele netwerk door.

LAPS breekt die keten door elke machine een eigen, willekeurig lokaal admin-wachtwoord te geven. De hash van de ene machine werkt dan op geen enkele andere, dus laterale beweging via een gedeeld lokaal account valt weg. Microsoft noemt bescherming tegen Pass-the-Hash en laterale beweging expliciet als doel van LAPS.

Waar slaat LAPS het wachtwoord op?

Windows LAPS slaat het wachtwoord op in precies één directory, en het scenario bepaalt welke. Een domain-joined apparaat slaat op in on-prem AD, op het computerobject. Een apparaat dat alleen aan Entra ID hangt slaat op in Entra ID, op het apparaatobject. Bij een hybride join kies je zelf AD of Entra ID. Een apparaat dat niet aan een domein is gekoppeld kan niet in on-prem AD opslaan, dus daar is Entra ID de enige optie. Het kan nooit allebei tegelijk. Voor opslag in Entra ID moet je de functie wel eerst op tenantniveau aanzetten in het Entra admin center (Identity > Devices > Device settings), anders weigert Entra ID nieuwe LAPS-wachtwoorden.

Intune is in dit verhaal geen opslagplek, maar het beheer- en uitleeskanaal. Je rolt het LAPS-beleid via Intune uit en kunt vanuit Intune het wachtwoord bekijken of laten roteren, maar de opslag blijft AD of Entra ID.

Scenario Opslag Beheer
Domain-joined on-prem AD Group Policy
Entra-joined / cloud-only Entra ID Intune
Hybride join AD of Entra ID (kies één) Group Policy of Intune

LAPS goed inrichten

Het wachtwoord is standaard 14 tekens. Je kunt dat via PasswordLength tot 64 verhogen, en dat is aan te raden. Niemand typt dit wachtwoord met de hand, dus langer maken kost je niets.

Let ook op hoe het wachtwoord op de opslagplek beschermd is. In Entra ID staat het standaard versleuteld. In on-prem AD niet automatisch. Versleuteling in AD vraagt functional level 2016 of hoger. Pas dan staat het in msLAPS-EncryptedPassword, dat alleen de aangewezen principal (standaard Domain Admins) kan ontsleutelen. Zit je daaronder, dan ligt het in platte tekst in msLAPS-Password, alleen beschermd door de ACL. Zet versleuteling dus aan zodra je functional level het toelaat.

Voor on-prem AD breid je het schema eenmalig per forest uit, en geef je het apparaat zelf schrijfrechten op zijn wachtwoord. Daarna haalt een beheerder het wachtwoord op met een PowerShell-regel.

# Eenmalig per forest: schema uitbreiden voor Windows LAPS
Update-LapsADSchema

# Een wachtwoord ophalen uit on-prem AD (beperkt door de ACL)
Get-LapsADPassword -Identity WS01 -AsPlainText

Beperk en audit wie het wachtwoord mag uitlezen. In AD doe je dat met ACL’s op de confidential LAPS-attributen, het liefst alleen Domain Admins. In Entra ID gaat het via RBAC-rollen, waar standaard alleen Global Administrator, Cloud Device Administrator en Intune Administrator de platte tekst lezen. Controleer regelmatig of er niemand buiten die groepen ook bij kan.

LAPS en aanvallers

LAPS beschermt alleen het lokale admin-wachtwoord, niet domein-accounts. Domein-aanvallen zoals Pass-the-Hash met een domein-account, Kerberoasting of DCSync vallen volledig buiten de scope van LAPS. Het neemt het probleem van het gedeelde lokale wachtwoord weg, niet meer dan dat.

Het LAPS-wachtwoord is verder alleen zo veilig als de leesrechten erop. Wie leesrechten op het LAPS-attribuut heeft, leest de wachtwoorden in platte tekst, zeker als versleuteling niet aan staat. In een pentest komt dat geregeld naar boven. Een te ruime ACL of een over-gedelegeerde groep laat een laag-geprivilegieerd account de lokale admin-wachtwoorden over LDAP uitlezen, bijvoorbeeld met de LAPS-module van NetExec. BloodHound toont zo’n pad als een ReadLAPSPassword-edge. Te ruime leesrechten zijn daarmee zelf de bevinding.

LAPS is dus geen complete oplossing op zichzelf. Combineer het met een tiering-model dat beheeraccounts weghoudt van gewone werkstations, en met monitoring die het uitlezen van wachtwoorden opmerkt.

Veelgestelde vragen over LAPS

Werkt LAPS zonder on-prem Active Directory?

Ja. Windows LAPS kan het wachtwoord ook in Microsoft Entra ID opslaan, dus voor apparaten die alleen aan Entra hangen heb je geen on-prem AD nodig. Wel andersom: een apparaat dat niet aan een domein is gekoppeld, kan niet in on-prem AD opslaan. Daar valt de keuze dus vanzelf op Entra ID. Een domain-joined machine slaat in AD op, en bij hybride join kies je een van de twee.

Wat is het verschil tussen Windows LAPS en de oude LAPS?

De oude Microsoft LAPS uit 2016 was een losse MSI die je apart installeerde, als Group Policy-extensie, en die kon het wachtwoord alleen in on-prem AD opslaan. Windows LAPS is een volledig nieuwe implementatie die sinds de update van 11 april 2023 in Windows zelf zit, niet te verwijderen is en altijd aan staat. Die nieuwe versie kan ook naar Entra ID opslaan, het wachtwoord in AD versleutelen en wachtwoordhistorie bijhouden. De oude LAPS is sinds Windows 11 23H2 deprecated, dus kies altijd Windows LAPS.

Waar staat het LAPS-wachtwoord opgeslagen?

Op het computerobject in on-prem AD, of op het apparaatobject in Entra ID, afhankelijk van het scenario. Per apparaat is dat altijd maar één plek, nooit allebei tegelijk. Intune is geen opslag, maar het kanaal waarmee je het beleid uitrolt en het wachtwoord uitleest. De echte opslag blijft AD of Entra ID.

Stopt LAPS Pass-the-Hash?

Niet helemaal, maar het breekt wel het deel waar Pass-the-Hash het meest van profiteert. LAPS zorgt dat elke machine een ander lokaal admin-wachtwoord heeft, dus een hash van die ene machine werkt nergens anders meer. Wat LAPS niet raakt zijn domein-accounts, cached credentials en de eigen hash van een al gecompromitteerde machine. Daarvoor heb je andere maatregelen nodig, zoals tiering en Credential Guard.

Gerelateerde artikelen