24 juni 2026 · 4 min leestijd · begrippen
LAPS (Local Administrator Password Solution) is een Windows-functie die het wachtwoord van een lokaal admin-account beheert. Elke machine krijgt een eigen, willekeurig wachtwoord. LAPS roteert dat automatisch en slaat het centraal op, waar alleen geautoriseerde accounts het kunnen uitlezen.
Standaard gaat het om het ingebouwde Administrator-account. LAPS herkent dat aan de vaste RID 500 en niet aan de naam, dus een hernoemd account vindt het ook. Via AdministratorAccountName richt je het op een eigen account. Het wachtwoord roteert standaard elke 30 dagen. Daarnaast vervangt LAPS het ook nadat het account is gebruikt om in te loggen, standaard 24 uur na dat gebruik.
Sinds de Windows-update van 11 april 2023 zit Windows LAPS ingebouwd in Windows 10, Windows 11 en Windows Server 2019 en nieuwer. Die versie vervangt de oude, losse Microsoft LAPS uit 2016, die je nog apart moest installeren als Group Policy-extensie en die alleen in on-prem AD kon opslaan. De oude LAPS is sinds Windows 11 23H2 deprecated en wordt op nieuwe Windows-versies geblokkeerd, dus voor nieuwe inrichting is Windows LAPS de standaard.
Veel netwerken rollen werkstations uit vanaf hetzelfde image. Dat image bevat een lokaal admin-account, en zonder verdere maatregel deelt elke machine daardoor hetzelfde lokale admin-wachtwoord. Dat is precies wat een aanvaller nodig heeft. Wie op één werkstation binnenkomt en de lokale admin-hash buitmaakt, gebruikt diezelfde hash via Pass-the-Hash op alle andere machines met dat image. Zo beweegt hij het hele netwerk door.
LAPS breekt die keten door elke machine een eigen, willekeurig lokaal admin-wachtwoord te geven. De hash van de ene machine werkt dan op geen enkele andere, dus laterale beweging via een gedeeld lokaal account valt weg. Microsoft noemt bescherming tegen Pass-the-Hash en laterale beweging expliciet als doel van LAPS.
Windows LAPS slaat het wachtwoord op in precies één directory, en het scenario bepaalt welke. Een domain-joined apparaat slaat op in on-prem AD, op het computerobject. Een apparaat dat alleen aan Entra ID hangt slaat op in Entra ID, op het apparaatobject. Bij een hybride join kies je zelf AD of Entra ID. Een apparaat dat niet aan een domein is gekoppeld kan niet in on-prem AD opslaan, dus daar is Entra ID de enige optie. Het kan nooit allebei tegelijk. Voor opslag in Entra ID moet je de functie wel eerst op tenantniveau aanzetten in het Entra admin center (Identity > Devices > Device settings), anders weigert Entra ID nieuwe LAPS-wachtwoorden.
Intune is in dit verhaal geen opslagplek, maar het beheer- en uitleeskanaal. Je rolt het LAPS-beleid via Intune uit en kunt vanuit Intune het wachtwoord bekijken of laten roteren, maar de opslag blijft AD of Entra ID.
| Scenario | Opslag | Beheer |
|---|---|---|
| Domain-joined | on-prem AD | Group Policy |
| Entra-joined / cloud-only | Entra ID | Intune |
| Hybride join | AD of Entra ID (kies één) | Group Policy of Intune |
Het wachtwoord is standaard 14 tekens. Je kunt dat via PasswordLength tot 64 verhogen, en dat is aan te raden. Niemand typt dit wachtwoord met de hand, dus langer maken kost je niets.
Let ook op hoe het wachtwoord op de opslagplek beschermd is. In Entra ID staat het standaard versleuteld. In on-prem AD niet automatisch. Versleuteling in AD vraagt functional level 2016 of hoger. Pas dan staat het in msLAPS-EncryptedPassword, dat alleen de aangewezen principal (standaard Domain Admins) kan ontsleutelen. Zit je daaronder, dan ligt het in platte tekst in msLAPS-Password, alleen beschermd door de ACL. Zet versleuteling dus aan zodra je functional level het toelaat.
Voor on-prem AD breid je het schema eenmalig per forest uit, en geef je het apparaat zelf schrijfrechten op zijn wachtwoord. Daarna haalt een beheerder het wachtwoord op met een PowerShell-regel.
# Eenmalig per forest: schema uitbreiden voor Windows LAPS
Update-LapsADSchema
# Een wachtwoord ophalen uit on-prem AD (beperkt door de ACL)
Get-LapsADPassword -Identity WS01 -AsPlainText
Beperk en audit wie het wachtwoord mag uitlezen. In AD doe je dat met ACL’s op de confidential LAPS-attributen, het liefst alleen Domain Admins. In Entra ID gaat het via RBAC-rollen, waar standaard alleen Global Administrator, Cloud Device Administrator en Intune Administrator de platte tekst lezen. Controleer regelmatig of er niemand buiten die groepen ook bij kan.
LAPS beschermt alleen het lokale admin-wachtwoord, niet domein-accounts. Domein-aanvallen zoals Pass-the-Hash met een domein-account, Kerberoasting of DCSync vallen volledig buiten de scope van LAPS. Het neemt het probleem van het gedeelde lokale wachtwoord weg, niet meer dan dat.
Het LAPS-wachtwoord is verder alleen zo veilig als de leesrechten erop. Wie leesrechten op het LAPS-attribuut heeft, leest de wachtwoorden in platte tekst, zeker als versleuteling niet aan staat. In een pentest komt dat geregeld naar boven. Een te ruime ACL of een over-gedelegeerde groep laat een laag-geprivilegieerd account de lokale admin-wachtwoorden over LDAP uitlezen, bijvoorbeeld met de LAPS-module van NetExec. BloodHound toont zo’n pad als een ReadLAPSPassword-edge. Te ruime leesrechten zijn daarmee zelf de bevinding.
LAPS is dus geen complete oplossing op zichzelf. Combineer het met een tiering-model dat beheeraccounts weghoudt van gewone werkstations, en met monitoring die het uitlezen van wachtwoorden opmerkt.
AS-REP roasting kraakt offline het wachtwoord van Active Directory-accounts waarbij Kerberos-pre-authenticatie uitstaat. Vaak zonder dat je hoeft in te loggen.
Kerberos is het authenticatieprotocol van Active Directory, gebaseerd op tickets en een centrale KDC. Wij laten zien hoe het werkt en waar aanvallers het misbruiken.
Credential Guard schermt met Virtualization-Based Security de credentials in LSASS af in een geïsoleerd proces. Belangrijk voor een veilig AD-netwerk.