O Windows LAPS (Local Administrator Password Solution) é uma ferramenta importante no arsenal de segurança de qualquer organização que utilize a infraestrutura do Microsoft Azure.

Este artigo fornecerá as orientações necessárias para implementar essa ferramenta na sua empresa e garantir que as senhas dos administradores locais permaneçam seguras e gerenciáveis.

Fundamentos do Windows LAPS

As máquinas Windows possuem uma conta de administrador local integrada que tem acesso total ao dispositivo e que não pode ser removida. É fundamental que esta conta seja protegida contra os ataques Pass-the-Hash (PtH) e outras ameaças.

Em abril de 2023, a Microsoft lançou uma prévia pública de uma nova solução de senha de administrador local do Windows (LAPS) que oferece suporte ao Azure AD. O Windows LAPS é um novo produto e sucessor da “Microsoft LAPS”, que foi originalmente usada para gerenciar senhas de contas locais (armazenadas no AD local) em computadores herdados associados a um domínio do Windows.

O Windows LAPS é uma solução baseada em nuvem integrada com o Windows 10, Windows 11 ou Server 2019, e que suporta criptografia de senha, complexidade da senha, histórico de senha e rotação de senha. Ele pode gerenciar e fazer backup automaticamente de senhas para contas de administrador local em dispositivos Windows ingressados no domínio do AD tradicional, assim como dispositivos ingressados no Azure AD e dispositivos híbridos.

Em dispositivos híbridos, ou seja, dispositivos que estão vinculados tanto ao domínio local quanto ao Azure AD, os administradores têm a opção de escolher onde fazer o backup das senhas:

– Fazer backup de senhas apenas no Azure AD.

– Fazer backup de senhas apenas no Active Directory.

‍

É importante observar que dispositivos Windows que são integrados apenas ao Azure AD podem armazenar senhas somente no Azure AD.

Para implementar o Windows LAPS, siga os quatro passos a seguir:

1. Habilite o LAPS no Azure AD;

2. Crie uma conta de administrador local ou ative a conta de administrador built-in;

3. Crie o perfil de configuração do Intune para o LAPS;

4. Atribua a política aos dispositivos.

‍

A seguir, destrincharemos cada um dos passos.

‍

1. Habilitando o Windows Laps no Azure

Para configurar o Windows LAPS, é importante atender aos seguintes pré-requisitos:

‍

Microsoft Intune:

É necessário possuir uma assinatura do Microsoft Intune Plano 1 ou superior. Esta é uma ferramenta recomendada para gerenciar a configuração do Windows LAPS em dispositivos que estejam integrados ao Azure AD e em dispositivos híbridos inscritos no Intune. Os dispositivos registrados no Azure AD (BYOD) não são compatíveis com o LAPS.

Azure AD (Microsoft Entrar):

São necessárias licenças do Azure AD, que podem ser da versão Free ou superiores. O LAPS está disponível para todos os clientes do Azure.

Dispositivos Windows Compatíveis (Professional, Enterprise, Education):

Windows 11 versão 21H2 e posteriores, com a atualização de abril de 2023;
Windows 10 versão 20H2 e posteriores, com a atualização de abril de 2023;
Windows Server 2019 e posteriores, com a atualização de abril de 2023.

Após confirmar que você atende a todos os pré-requisitos, é hora de iniciar a configuração.

1.1. Acesse o portal do Azure AD em: https://entra.microsoft.com/

1.2. Clique em “Devices,” depois em “All Devices.”

1.3. Selecione a opção para habilitar o LAPS.

1.4. Agora que o LAPS está habilitado, você precisará decidir se deseja utilizar a conta built-in padrão ou criar uma conta local personalizada. Se optar por utilizar a conta built-in, pule para o próximo passo.

‍

2. Criando uma conta local

Se você optou por criar uma conta personalizada, siga os passos abaixo para configurar o Windows LAPS:

‍

2.1. Acesse o portal do Intune: Microsoft Intune admin center.

2.2. No menu, vá para “Devices” e selecione “Configuration profiles.” Em seguida, clique em “Create profile.”

2.3. Crie o perfil como “Windows 10” e escolha “Custom” como o modelo:

2.4. Dê um nome ao perfil e, na próxima tela, clique em “Add.”

2.5. Agora, você precisa configurar o OMA-URI. No exemplo abaixo, estamos criando um usuário chamado “lapsadmin” com a senha que está indicada em “Value.” Certifique-se de ajustar o nome “lapsadmin” para o nome que você escolher.

OMA-URI = ./Device/Vendor/MSFT/Accounts/Users/lapsadmin/Password

2.6. Escolha se deseja aplicar essa configuração para todas as máquinas ou para um grupo específico.

2.7. Crie outra política para configurar essa conta como administradora seguindo o mesmo processo.

2.8. Mais uma vez, crie o perfil como “Windows 10” e escolha “Custom” como o modelo.

2.9. Dê um nome ao perfil e, na próxima tela, clique em “Add.”

2.10. Neste passo, você precisará configurar o OMA-URI para tornar a conta criada anteriormente uma conta de administrador. O nome utilizado deve ser o mesmo que você escolheu no passo anterior. Certifique-se de ajustar o “lapsadmin” para corresponder ao nome que você criou anteriormente.

OMA-URI= ./Device/Vendor/MSFT/Accounts/Users/lapsadmin/LocalUserGroup

2.11. Novamente, escolha se deseja aplicar essa configuração para todas as máquinas ou para um grupo específico.

‍

3. Criando um perfil de configuração

Para configurar o Windows LAPS, siga os passos abaixo:

‍

3.1. No Portal do Azure:

– Acesse “Devices” e depois “Device Settings.”

– Habilite a opção “Enable Microsoft Entra Local Administrator Password Solution (LAPS).”

3.2. Dentro do Portal do Intune:

– Vá para “Endpoint Security” e escolha “Account Protection.”

– Crie um perfil para “Windows 10 and Later” e “Local admin password solution (Windows LAPS).”

– Dê um nome ao perfil e, na próxima tela, configure o LAPS.

‍

Aqui estão as opções de configuração:

Backup Directory

Especifique o diretório onde a senha da conta de administrador local será armazenada. No exemplo, usaremos “Azure Only.

Password Age Days

Determine o tempo máximo de validade da senha do administrador local. O valor padrão é 30 dias. O mínimo é de 1 dia para senhas armazenadas no AD Local e 7 dias quando armazenadas no Azure AD.

Administrator Account Name

Defina um nome para o administrador local. Se não especificar um, o administrador local padrão será utilizado. Se for especificado, essa conta deverá ser criada via outros meios. Portanto se deseja customizar o nome do Admin local, volte um passo e crie-a primeiro.

Password Complexity

Defina a complexidade da senha gerada.

Password Length

Configure o tamanho da senha, variando de 8 a 64 caracteres.

Post Authentication Actions

Escolha o que acontecerá quando a senha expirar:

Reset Password
Reset password and Logoff (caso não configure essa opção, será a padrão)
Reset password and reboot

Post Authentication Reset Delay

Especifique o tempo (em horas) para aguardar antes de executar as ações pós-autenticação. O valor padrão é 24 horas.

Depois de configurar todas as opções conforme suas necessidades, atribua o perfil a um grupo específico ou a todas as máquinas.

‍

4. Verificando o deploy

Após seguir as etapas anteriores e configurar o Windows LAPS, é importante verificar se a implantação foi bem-sucedida. Siga estas etapas:

4.1. Confirme se o usuário que foi criado (por exemplo, “lapsadmin”) está presente na máquina como administrador.

4.2. Verifique se o LAPS está configurado corretamente indo para o seguinte registro: HKEY_LOCAL_MACHINESOFTWAREMicrosoftPoliciesLAPS

4.3. As configurações registradas no Intune devem ser refletidas, incluindo:

– AdministratorAccountName: lapsadmin

– BackupDirectory: 1

– PasswordAgeDays: 7

– PasswordComplexity: 4

– PasswordLength: 20

Isso garantirá que a senha de administrador local seja gerenciada corretamente.

‍

5. Rotacionando e recuperando a senha

A senha do administrador local está armazenada no portal do Intune. Siga estas etapas para realizar a rotação da senha e recuperá-la quando necessário:

‍

5.1. Acesse o portal do Intune em https://intune.microsoft.com/

5.2. Vá para “Devices” e selecione “Windows devices” e escolha a máquina em questão.

5.3. Clique nos três pontos no canto superior direito e selecione “Rotate local admin Password.”

5.4. Vá para “Local admin password” e clique para mostrar a senha. Aqui, você poderá visualizar a senha e copiá-la, tornando mais fácil recuperá-la quando necessário.

O Windows LAPS surgiu como uma solução valiosa para abordar um desafio crítico em nossos ambientes. Ao combinar a facilidade operacional do Intune com a capacidade de recuperar e/ou rotacionar senhas rapidamente, ele transforma uma tarefa que costumava ser demorada em um processo ágil. Ambientes que requerem o uso de uma conta de administrador local podem e devem aproveitar essa ferramenta para simplificar a gestão de senhas, adicionando assim uma camada adicional de segurança aos sistemas da sua empresa.

‍

RIS

SOC MDR

SEGURANÇA OFENSIVA

INTEGRAÇÃO DE SEGURANÇA

THREAT INTEL

NUVEM SEGURA

DEVSECOPS

GRC

OT

Fundamentos do Windows LAPS

1. Habilite o LAPS no Azure AD;

2. Crie uma conta de administrador local ou ative a conta de administrador built-in;

3. Crie o perfil de configuração do Intune para o LAPS;

4. Atribua a política aos dispositivos.

1. Habilitando o Windows Laps no Azure

Microsoft Intune:

Azure AD (Microsoft Entrar):

Dispositivos Windows Compatíveis (Professional, Enterprise, Education):

2. Criando uma conta local

OMA-URI = ./Device/Vendor/MSFT/Accounts/Users/lapsadmin/Password

OMA-URI= ./Device/Vendor/MSFT/Accounts/Users/lapsadmin/LocalUserGroup

3. Criando um perfil de configuração

3.1. No Portal do Azure:

3.2. Dentro do Portal do Intune:

Backup Directory

Password Age Days

Administrator Account Name

Password Complexity

Password Length

Post Authentication Actions

Post Authentication Reset Delay

4. Verificando o deploy

5. Rotacionando e recuperando a senha

Leia também

Monitore

Detecte

Priorize

Proteja

Tenha visibilidade

Links úteis

soluções

telefones

e-mail

onde estamos