Introdução à LAPS do Windows e o Windows Server Active Directory
Saiba como começar a usar a LAPS do Windows (Solução de Senha de Administrador Local) e o Windows Server Active Directory. O artigo descreve os procedimentos básicos para usar a LAPS do Windows para fazer backup de senhas para o Windows Server Active Directory e como recuperá-las.
Requisitos de versão do SO do controlador de domínio e nível funcional do domínio
Se o domínio estiver configurado com o DFL (Nível Funcional de Domínio) abaixo de 2016, você não poderá habilitar o período de criptografia de senha da LAPS do Windows. Sem criptografia de senha, os clientes só podem ser configurados para armazenar senhas em texto limpo (protegido por ACLs do Active Directory) e os DCs não podem ser configurados para gerenciar sua conta DSRM local.
Depois que o domínio atingir o DFL 2016, você poderá habilitar a criptografia de senha da LAPS do Windows. No entanto, se você ainda estiver executando DCs WS2016, esses DCs WS2016 não dão suporte à LAPS do Windows e, portanto, não poderão usar o recurso de gerenciamento de conta DSRM.
Não há problemas em usar sistemas operacionais com suporte anteriores ao WS2016 em seus controladores de domínio, desde que você esteja ciente dessas limitações.
A tabela a seguir resume os vários cenários com suporte ou não:
| Detalhes do domínio | Suporte ao armazenamento de senha de texto não criptografado | Suporte ao armazenamento de senha criptografada (para clientes ingressados no domínio) | Suporte ao gerenciamento de conta DSRM (para DCs) |
|---|---|---|---|
| Abaixo do DFL 2016 | Sim | Não | Não |
| DFL 2016 com um ou mais DCs WS2016 | Sim | Sim | Sim, mas apenas para DCs WS2019 e posteriores |
| DFL 2016 apenas com DCs WS2019 e posteriores | Sim | Sim | Sim |
A Microsoft recomenda fortemente a atualização do cliente para o sistema operacional mais recente disponível em clientes, servidores e controladores de domínio para aproveitar os recursos e aprimoramentos de segurança mais recentes.
Atualizar o esquema de Windows Server Active Directory
O esquema do Windows Server Active Directory deve ser atualizado antes de usar a LAPS do Windows. Essa ação é executada usando o cmdlet Update-LapsADSchema. É uma operação única para toda a floresta. O cmdlet Update-LapsADSchema pode ser executado localmente em um controlador de domínio do Windows Server 2022 ou do Windows Server 2019 atualizado com a LAPS do Windows, e também pode ser executado em um controlador que não seja de domínio, desde que seja compatível com o módulo PowerShell da LAPS do Windows.
PS C:\> Update-LapsADSchema
Dica
Passe o parâmetro -Verbose para ver informações detalhadas sobre o que o cmdlet Update-LapsADSchema (ou qualquer outro cmdlet no módulo do PowerShell da LAPS) está fazendo.
Conceder permissão de atualização de senha ao dispositivo gerenciado
O dispositivo gerenciado precisa receber permissão para atualizar sua senha. Essa ação é executada definindo permissões herdáveis na UO (Unidade Organizacional) em que o dispositivo está. O Set-LapsADComputerSelfPermission é usado para essa finalidade, por exemplo:
PS C:\> Set-LapsADComputerSelfPermission -Identity NewLaps
Name DistinguishedName
---- -----------------
NewLAPS OU=NewLAPS,DC=laps,DC=com
Dica
Se você preferir definir as permissões herdáveis na raiz do domínio, especifique toda a raiz de domínio usando a sintaxe DN. Por exemplo, especifique 'DC=laps,DC=com' para o parâmetro -Identity.
Consultar permissões de Direitos Estendidos
Alguns usuários ou grupos já podem receber permissão de Direitos Estendidos na UO do dispositivo gerenciado. Essa permissão é problemática porque concede a capacidade de ler atributos confidenciais (todos os atributos de senha da LAPS do Windows são marcados como confidenciais). Uma maneira de verificar quem recebe essas permissões é usando o cmdlet Find-LapsADExtendedRights. Por exemplo:
PS C:\> Find-LapsADExtendedRights -Identity newlaps
ObjectDN ExtendedRightHolders
-------- --------------------
OU=NewLAPS,DC=laps,DC=com {NT AUTHORITY\SYSTEM, LAPS\Domain Admins}
Na saída neste exemplo, apenas entidades confiáveis (SYSTEM e Administradores de Domínio) têm o privilégio. Nenhuma ação adicional é necessária.
Configurar a política do dispositivo
Conclua algumas etapas para configurar a política do dispositivo.
Escolher um mecanismo de implantação de política
A primeira etapa é escolher como aplicar a política em seus dispositivos.
A maioria dos ambientes usa a Política de Grupo da LAPS do Windows para implantar as configurações necessárias em seus dispositivos ingressados no domínio do Windows Server Active Directory.
Se seus dispositivos também tiverem ingresso híbrido no Microsoft Entra ID, você poderá implantar a política usando o Microsoft Intune com o CSP (provedor de serviços de configuração) da LAPS do Windows.
Configurar as políticas específicas
No mínimo, defina a configuração do BackupDirectory para o valor 2 (senhas de backup para o Windows Server Active Directory).
Caso não defina a configuração AdministratorAccountName, a LAPS do Windows usará como padrão o gerenciamento da conta de administrador local interna padrão. Essa conta interna é identificada automaticamente usando o RID (identificador relativo) conhecido e nunca deverá ser identificada pelo nome. O nome da conta de administrador local interna varia dependendo da localidade padrão do dispositivo.
Caso queira configurar uma conta de administrador local personalizada, defina a configuração AdministratorAccountName com o nome dessa conta.
Importante
Caso configure a LAPS do Windows para gerenciar uma conta de administrador local personalizada, deverá garantir que a conta seja criada. A LAPS do Windows não cria a conta. É recomendável usar o CSP RestrictedGroups para criar a conta.
Defina outras configurações, como PasswordLength, conforme necessário para sua organização.
Quando você não define uma determinada configuração, o valor padrão é aplicado. Certifique-se de compreender esses padrões. Por exemplo, se você habilitar a criptografia de senha, mas não definir a configuração ADPasswordEncryptionPrincipal, a senha será criptografada para que somente os administradores do domínio possam descriptografá-la. Você pode configurar ADPasswordEncryptionPrincipal com uma configuração diferente caso queira que administradores que não sejam do domínio possam descriptografar.
Atualizar uma senha no Windows Server Active Directory
A LAPS do Windows processa a política ativa no momento periodicamente (a cada hora) e responde a Política de Grupo notificações de alteração. Ele responde com base na política e nas notificações de alteração.
Para verificar se a senha foi atualizada com êxito no Windows Server Active Directory, procure no log de eventos o evento 10018:
Para evitar esperar depois de aplicar a política, execute o cmdlet Invoke-LapsPolicyProcessing do PowerShell.
Recuperar uma senha do Windows Server Active Directory
Use o cmdlet Get-LapsADPassword para recuperar senhas de Windows Server Active Directory. Por exemplo:
PS C:\> Get-LapsADPassword -Identity lapsAD2 -AsPlainText
ComputerName : LAPSAD2
DistinguishedName : CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com
Account : Administrator
Password : Zlh+lzC[0e0/VU
PasswordUpdateTime : 7/1/2022 1:23:19 PM
ExpirationTimestamp : 7/31/2022 1:23:19 PM
Source : EncryptedPassword
DecryptionStatus : Success
AuthorizedDecryptor : LAPS\Domain Admins
Esse resultado de saída indica que a criptografia de senha está habilitada (consulte Source). A criptografia de senha requer que seu domínio esteja configurado para Windows Server 2016 Nível Funcional de Domínio ou posterior.
Girar a senha
A LAPS do Windows faz a leitura do tempo de expiração da senha de Windows Server Active Directory durante cada ciclo de processamento de política. Se a senha tiver expirado, uma nova senha será gerada e armazenada imediatamente.
Em algumas situações (por exemplo, após uma violação de segurança ou para teste ad hoc), talvez você queira girar a senha antecipadamente. Para forçar manualmente uma rotação de senha, use o cmdlet Reset-LapsPassword.
Use o cmdlet Set-LapsADPasswordExpirationTime para definir o tempo de expiração da senha agendada, conforme armazenado em Windows Server Active Directory. Por exemplo:
PS C:\> Set-LapsADPasswordExpirationTime -Identity lapsAD2
DistinguishedName Status
----------------- ------
CN=LAPSAD2,OU=NewLAPS,DC=laps,DC=com PasswordReset
Na próxima vez que a LAPS do Windows acordar para processar a política atual, ele visualizará o tempo de expiração da senha modificada e girará a senha. Caso não queira esperar, poderá executar o cmdlet Invoke-LapsPolicyProcessing.
Use o cmdlet Reset-LapsPassword para forçar localmente uma rotação imediata da senha.
Recuperar senhas durante cenários de recuperação de desastres do AD
A recuperação de senhas da LAPS do Windows (incluindo senhas DSRM) normalmente requer que pelo menos um controlador de domínio do Active Directory esteja disponível. No entanto, considere um cenário catastrófico no qual todos os controladores de domínio em um domínio estão fora do ar. Como você recupera as senhas nessa situação?
As práticas recomendadas de gerenciamento do Active Directory aconselham salvar backups de todos os controladores de domínio regularmente. As senhas LAPS do Windows armazenadas em um banco de dados AD de backup montado podem ser consultadas usando o cmdlet do Get-LapsADPassword PowerShell especificando o -Port parâmetro. O Get-LapsADPassword cmdlet foi aprimorado recentemente para que, quando os parâmetros e -RecoveryMode forem especificados, a -Port recuperação de senha seja bem-sucedida sem a necessidade de entrar em contato com um controlador de domínio. Além disso, o Get-LapsADPassword agora suporta a execução nesse modo em uma máquina de grupo de trabalho (sem união de domínios).
Dica
O utilitário dsamain.exe é usado para montar uma mídia de backup do AD e consultá-la por LDAP. Dsamain.exe não é instalado por padrão, portanto, deve ser adicionado. Uma maneira de fazer isso é usando o Enable-WindowsOptionalFeature cmdlet. Em máquinas Windows Client, você pode executar Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM-Cliento . Em uma máquina Windows Server, você pode executar Enable-WindowsOptionalFeature -Online -FeatureName DirectoryServices-ADAM
O exemplo a seguir considera que um banco de dados de backup do AD está montado localmente na porta 50000:
PS C:\> Get-LapsADPassword -Identity lapsDC -AsPlainText -Port 50000 -RecoveryMode
ComputerName : LAPSDC
DistinguishedName : CN=LAPSDC,OU=Domain Controllers,DC=laps,DC=com
Account : Administrator
Password : ArrowheadArdentlyJustifyingKryptonVixen
PasswordUpdateTime : 8/15/2024 10:31:51 AM
ExpirationTimestamp : 9/14/2024 10:31:51 AM
Source : EncryptedDSRMPassword
DecryptionStatus : Success
AuthorizedDecryptor : S-1-5-21-2127521184-1604012920-1887927527-35197
Importante
Quando as senhas criptografadas da LAPS do Windows são recuperadas de um banco de dados de backup do AD montado em um computador do grupo de trabalho, o campo AuthorizedDecryptor sempre será exibido no formato SID bruto, pois o computador do grupo de trabalho não consegue traduzir esse SID em um nome amigável.
Importante
O recurso aprimorado de recuperação de senha Get-LapsADPassword é compatível com o Windows Insider build 27695 e posterior, tanto para as versões do sistema operacional do cliente quanto do servidor.
Confira também
- Introdução à Solução de Senha de Administrador Local do Windows no Microsoft Entra ID
- Solução de senha do administrador local do Windows no Microsoft Entra ID
- RestrictedGroups CSP
- Microsoft Intune
- Microsoft Intune suporte para a LAPS do Windows
- CSP da LAPS do Windows
- Diretrizes de solução de problemas da LAPS do Windows