Het risico van gedeelde administrator wachtwoorden
Bij veel organisaties kennen we dit scenario: een IT medewerker moet software installeren op een laptop. Daarvoor logt diegene in met een lokaal administrator account. Dit account heeft hetzelfde wachtwoord op alle computers binnen de organisatie.
Het probleem? Zodra dit wachtwoord uitlekt, heeft een aanvaller toegang tot álle werkplekken, laptops en mogelijk zelfs servers. En dat uitlekken is een kwestie van tijd. Denk aan:
- Een vertrokken IT medewerker die het wachtwoord nog kent
- Een post-it met het wachtwoord die per ongeluk zichtbaar is
- Een phishingaanval waarbij een IT medewerker het wachtwoord prijsgeeft
Een praktijkvoorbeeld
Stel, een aanvaller weet het administrator wachtwoord van jouw organisatie te achterhalen. Met dat ene wachtwoord kan diegene nu:
- Inloggen op elke computer in je netwerk
- Malware installeren zonder dat gebruikers het merken
- Gevoelige bedrijfsdata kopiëren of versleutelen
- Ransomware uitrollen naar alle systemen tegelijk
De oplossing: Windows LAPS
Windows LAPS (Local Administrator Password Solution) lost dit probleem fundamenteel op. Het zorgt ervoor dat elke computer een uniek, willekeurig gegenereerd administrator wachtwoord krijgt. Deze wachtwoorden worden veilig opgeslagen in Microsoft Entra ID (voorheen Azure AD).
Hoe werkt LAPS in de praktijk?
- Automatische generatie: LAPS genereert voor elke computer een uniek, complex wachtwoord
- Veilige opslag: Het wachtwoord wordt versleuteld opgeslagen in Microsoft Entra ID
- Just in time toegang: Wanneer een IT medewerker het wachtwoord nodig heeft, vraagt diegene het op via het beheerportaal
- Automatische rotatie: Na gebruik (of na een ingestelde periode) wordt het wachtwoord automatisch vernieuwd
Welke omgevingen ondersteunen LAPS?
LAPS werkt in verschillende scenario’s:
| Omgeving | Ondersteuning |
|---|---|
| Alleen cloud (Microsoft Entra ID) | ✅ Volledig ondersteund |
| Hybride (on premises AD + Entra ID) | ✅ Volledig ondersteund |
| Alleen on premises (Active Directory) | ✅ Volledig ondersteund |
De belangrijkste voordelen van LAPS
Beperkte impact bij een lek: Als een wachtwoord uitlekt, is slechts één computer kwetsbaar in plaats van je hele netwerk.
Automatisch beheer: Geen handmatig werk meer om wachtwoorden te wijzigen. LAPS regelt alles automatisch.
Audit trail: Je ziet precies wie, wanneer en voor welk apparaat een wachtwoord heeft opgevraagd.
Compliance: LAPS helpt bij het voldoen aan beveiligingseisen van bijvoorbeeld NIS2 en ISO 27001.
Implementatie bij jouw organisatie
Wil je LAPS implementeren binnen jouw organisatie? Clear ICT helpt je graag met de volledige uitrol. We zorgen dat LAPS naadloos integreert met je bestaande IT infrastructuur.
Geschreven door
Rick van den Bovenkamp
IT-professional bij Clear ICT. Schrijft over cybersecurity, Microsoft 365 en moderne IT-oplossingen.
Volg op LinkedIn
