Passwörter und Passphrasen für Windows LAPS
Hier erfahren Sie, wie Passwörter und Passphrasen für die Windows Local Administrator Password Solution (Windows LAPS) erstellt werden.
Übersicht
Der Hauptzweck von Windows LAPS ist die regelmäßige Rotation des Kennworts eines lokalen Windows-Kontos. Es ist wichtig zu verstehen, wie Windows LAPS zufällige Passwörter (oder zufällige Passphrasen) generiert.
Zeichensätze für Passwörter
Windows LAPS unterstützt fünf verschiedene Komplexitätseinstellungen, die zum Generieren zufälliger Passwörter verwendet werden können. Die Richtlinieneinstellung PasswordComplexity dient zum Auswählen der beim Erstellen eines Passworts verwendeten Zeichensätze.
| Einstellung PasswordComplexity | Beschreibung | Zeichensätze |
|---|---|---|
| 1 | Großbuchstaben | „ABCDEFGHIJKLMNOPQRSTUVWXYZ“ |
| 2 | Groß- und Kleinbuchstaben | „ABCDEFGHIJKLMNOPQRSTUVWXYZ“ „abcdefghijklmnopqrstuvwxyz“ |
| 3 | Groß- und Kleinbuchstaben und Zahlen | „ABCDEFGHIJKLMNOPQRSTUVWXYZ“ „abcdefghijklmnopqrstuvwxyz“ „0123456789“ |
| 4 | Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen | „ABCDEFGHIJKLMNOPQRSTUVWXYZ“ „abcdefghijklmnopqrstuvwxyz“ „0123456789“ ",.-+;!#&@{}[]$/()%" |
| 5 | Groß- und Kleinbuchstaben und Zahlen (verbesserte Lesbarkeit) | „ABCDEFGHJKLMNPRSTUVWXYZ“ „abcdefghijkmnpqrstuvwxyz“ „23456789“ "!#%+@:=?*" |
Wenn eine Komplexitätseinstellung mit mehreren Zeichensätzen ausgewählt wird, stellt Windows LAPS sicher, dass das resultierende Passwort mindestens ein zufällig ausgewähltes Zeichen aus jedem Zeichensatz enthält.
Die Länge der Passwörter wird über die Richtlinieneinstellung PasswordLength gesteuert. Von Windows LAPS erstellte Passwörter sind standardmäßig 14 Zeichen lang und können auf eine beliebige Länge von 8 bis 64 Zeichen konfiguriert werden.
Die Einstellung fünf für die Passwortkomplexität entspricht der Einstellung vier für die Passwortkomplexität mit den folgenden Änderungen zum Verbessern der Lesbarkeit und Vermeiden von Verwirrung. Zwischen Einstellung vier und Einstellung fünf bestehen folgende Unterschiede:
- Die Buchstaben „I“, „O“, „Q“, „l“ und „o“ fallen weg.
- Die Zahlen „0“ und „1“ fallen weg.
- Die Symbole „,“, „.“, „&“, „{„, “}“, „[“, „]“, „(“, „)“ und „;“ fallen weg.
- Die Symbole „:“, „=“, „?“ und „*“ kommen hinzu.
Wichtig
Die PasswordComplexity-Einstellung von "5" wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt. Es ist nicht erforderlich, Windows Server 2025-Domänencontroller bereitzustellen, um diese neue Einstellung zu verwenden.
Wortliste für Passphrasen
Windows LAPS unterstützt drei verschiedene Komplexitätseinstellungen, die zum Generieren zufälliger Passphrasen verwendet werden können. Die Richtlinieneinstellung PasswordComplexity dient zum Auswählen der beim Erstellen einer Passphrase verwendeten Wortliste:
| Einstellung PasswordComplexity | Beschreibung | Anzahl der Wörter in der Liste |
|---|---|---|
| 6 | Lange Wörter | 7776 |
| 7 | Kurze Wörter | 1276 |
| 8 | Kurze Wörter mit eindeutigen Präfixen | 1276 |
Die Länge der Passphrasen wird über die Richtlinieneinstellung PassphraseLength gesteuert. Von Windows LAPS erstellte Passphrasen sind standardmäßig sechs Wörter lang und können auf eine beliebige Länge von 3 bis 10 Ausdrücken konfiguriert werden. Das erste Zeichen jedes Worts wird zwecks besserer Lesbarkeit immer großgeschrieben. Es werden keine Interpunktionszeichen oder anderen Trennzeichen zwischen Wörtern verwendet.
Beispiel für eine Passphrase, die mit sechs Wörtern aus der Liste „Lange Wörter“ erstellt wurde:
SkiingProduceIdentifyStarlitOctaneDistress
Die Wortlisten für Passphrasen wurden aus „Deep Dive: EFF’s New Wordlists for Random Passphrases“ der Electronic Frontier Foundation entnommen und werden unter einer CC-BY-3.0 Attribution-Lizenz verwendet. Der spezifische Inhalt aller Windows LAPS-Wortlisten für Passphrasen kann aus Windows LAPS-Wortlisten für Passphrasen heruntergeladen werden. Microsoft hat geringfügige Änderungen an den ursprünglichen Wortlisten vorgenommen. Alle Änderungen sind in den herunterladbaren Listen angegeben.
Wichtig
Die Unterstützung von Windows LAPS-Passphrasen wird nur in Windows 11 24H2, Windows Server 2025 und höheren Versionen unterstützt. Es ist nicht erforderlich, Windows Server 2025-Domänencontroller bereitzustellen, um diese neue Einstellung zu verwenden.
Überlegungen zur Entropie
Windows LAPS erstellt wirklich zufällige Passwörter und Passphrasen (es ist keine menschliche Einflussnahme möglich). Die resultierenden Entropie-Bits für ein Passwort\eine Passphrase einer bestimmten Länge lässt sich daher einfach berechnen. In der folgenden Tabelle sind die resultierenden Entropie-Bits in einem Beispielsatz von Passwort-/Passphrasenlängen aufgeführt.
Die unterstützten Einstellungen für die Passwortkomplexität sind oben in der Tabelle aufgeführt, und die Passwort-\Passphrasenlänge ist auf der linken Seite aufgelistet. Die Entropiewerte für die standardmäßigen Längeneinstellungen der Richtlinie sind fett formatiert:
| Einstellung PasswordComplexity -> Passwort- oder Passphrasenlänge V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
Am oberen Ende der zulässigen Längenbereiche der Grad der Entropie für die meisten normalen IT-Umgebungen als übermäßig hoch angesehen werden. Es ist zu bedenken, dass in der Regel zwischen Sicherheit und Benutzerfreundlichkeit abzuwägen ist. Es ist für Menschen zum Beispiel schwierig, lange und komplexe Passwörter zu lesen und einzugeben. Die Umstellung auf Passphrasen ist eine hilfreiche Möglichkeit zur Verringerung dieser Probleme, während dennoch ein angemessener Umfang an Entropie gewahrt bleibt. Wenn maximale Sicherheit ein vorrangiges Anliegen ist, sollten Sie stattdessen alternative Schutzmaßnahmen in Betracht ziehen und z. B. das verwaltete Konto standardmäßig deaktiviert lassen.
Siehe auch
Nächste Schritte
Nachdem Sie nun wissen, wie Passwörter und Passphrasen erstellt werden, sollten Sie sich diese anderen Abschnitte ansehen.