Como instalar e configurar o Microsoft LAPS

O LAPS gera senhas de administrador seguras para cada computador gerenciado e armazena essa senha em um atributo protegido do Active Directory. A senha também é armazenada com um carimbo de data / hora, de forma que, quando a senha ultrapassar o limite configurado, ela seja redefinida pelo computador gerenciado e o atributo AD correspondente seja atualizado.

Leia mais:

Como adicionar, editar, implantar e importar chaves de registro através de GPO
Como configurar um Tenant de Microsoft 365: Criação de usuários
Como encontrar computadores e usuários inativos no AD com Powershell
Como corrigir a relação de confiança entre estação de trabalho e o domínio AD
Como desabilitar o update automático do Windows 10

Em grandes ambientes Windows, gerenciar senhas de administrador é uma coisa surpreendentemente complexa e potencialmente arriscada do ponto de vista da segurança. Embora os administradores de sistemas na maioria dos ambientes do Active Directory tenham contas de usuário de domínio para gerenciar servidores, ocasionalmente ainda é necessário fazer logon com credenciais locais; por exemplo, é necessário se a autenticação do domínio estiver falhando ou indisponível.

Nessas circunstâncias, é muito fácil implantar todos os servidores com a mesma senha de administrador local – especialmente se modelos de máquina virtual forem usados ​​para implantar o sistema operacional. Isso é obviamente um problema porque você precisa alterar as senhas em todos os seus servidores, se alguma estiver comprometida ou se for forçado a divulgar a senha a terceiros por qualquer motivo de suporte. A questão de alterar todas as senhas também pode ser problemática.

Baixar o Microsoft LAPS

O LAPS compreende três componentes.

  1. A interface – um módulo do PowerShell e uma GUI do cliente gordo
  2. Uma extensão de esquema AD e uma extensão de política de grupo
  3. O componente do lado do cliente, que executa a redefinição de senha e atualiza o Active Directory

Comece baixando o arquivo de instalação diretamente da Microsoft. Nota: Certifique-se de prestar atenção ao “bitness” do instalador. Este passo a passo assumirá um ambiente de 64 bits.

A interface LAPS não precisa ser instalada em um servidor específico. Ele pode ser instalado em um servidor específico ou compartilhado. Você deve selecionar um servidor no qual seu público-alvo já possa fazer logon e que esteja associado ao domínio que você pretende gerenciar.

Instalar o Microsoft LAPS

Faça logon no servidor de destino com direitos de administrador local.

Clique em Avançar na tela de boas-vindas.

Selecione todos os componentes disponíveis e clique em Avançar.

Estenda o esquema do AD

Para esta etapa, a conta do usuário conectado precisará ser membro do grupo Schema Admins no Active Directory. Estenda o esquema AD executando os seguintes comandos do módulo LAPS PowerShell que você acabou de instalar:

Import-module AdmPwd.PS
Update-AdmPwdADSchema

Verifique e defina as permissões de administrador necessárias

Verifique e defina as permissões em cada UO que você gerenciará com LAPS usando estes comandos do PowerShell:

Find-AdmPwdExtendedRights -Identity “Workstations” | ft

Por padrão, apenas a conta do sistema local e o grupo de administradores de domínio terão acesso às senhas armazenadas no AD. Se seus administradores de domínio não forem as mesmas pessoas que gerenciarão as máquinas de destino, você pode removê-los deste grupo e adicionar seu próprio grupo personalizado. Certifique-se de não pular essas etapas. Não definir as permissões corretamente pode expor as senhas do administrador a usuários inadequados.

Para remover o acesso de um usuário ou grupo existente, abra as propriedades de segurança de cada UO gerenciada por LAPS em Usuários e Computadores do Active Directory.

Abra as Configurações de segurança avançadas e selecione o principal de segurança a ser modificado.

Remova a permissão Todos os direitos estendidos e clique em OK na janela de permissões e em cada janela pai.

Verifique se o grupo de segurança foi removido executando novamente o comando Find-AdmPwdExtendedRights PowerShell:

Find-AdmPwdExtendedRights -Identity "Workstation" | ft

Adicione as permissões para o grupo que terá acesso às senhas:

Set-AdmPwdReadPasswordPermission -Identity "Workstations" -AllowedPrincipals "EndPointPasswordManagers"

Observe que essas permissões são recursivas e se aplicarão à UO selecionada e a tudo o que estiver abaixo dela na árvore.

Depois de adicionar as permissões, verifique novamente usando o comando Find-AdmPwd.

Conceda permissão REST para computadores

A próxima etapa é permitir que os computadores atualizem suas próprias senhas de administrador nos novos atributos do AD. Isso precisa ser feito em todas as UOs gerenciadas por LAPS e é feito usando o seguinte comando:

Set-AdmPwdComputerSelfPermission -Identity “Workstations”

Crie a Política de Grupo

Agora que o Active Directory está pronto para receber e armazenar senhas e as permissões apropriadas foram atribuídas para visualizar as senhas, precisamos criar uma política para configurar o componente cliente LAPS. Recomendo usar uma UO de teste ou um grupo de máquinas de teste para começar, até ter certeza de que tudo funciona.

Abra o Editor de Gerenciamento de Política de Grupo em sua máquina de administração ou controlador de domínio.

Localize a UO “Estações de Trabalho” e clique com o botão direito nela.

Selecione Criar um GPO neste domínio e vincule-o aqui. Dê um nome significativo à Política de Grupo e clique em OK.

Clique com o botão direito em seu novo GPO e selecione Editar .

  1. Navegue até Configuração do computador> Políticas> Modelos administrativos> LAPS.
  2. Revise as configurações e aplique os valores apropriados para seu cenário e sua organização.

A política de configurações de senha determina o comprimento da senha e a idade máxima que ela pode atingir antes de ser redefinida. Quando a senha for redefinida, o carimbo de data / hora da data de redefinição será registrado no AD. Se o tempo decorrido desde a data do carimbo de data / hora e a data atual exceder esse valor, o computador irá redefinir a senha e atualizar o AD com a nova senha e data e hora atuais.

Nomeie a conta de administrador a ser gerenciada. Se você deseja gerenciar a conta de administrador embutida, deixe esta configuração de lado. O LAPS identificará a conta pelo SID, mesmo se a conta tiver sido renomeada.

Se você tiver uma conta específica que deseja gerenciar, como uma conta de administrador da empresa, selecione Ativado e insira o nome da conta.

Não permita um tempo de expiração de senha maior do que o exigido pela política. Defina como Ativado. Isso garantirá que as senhas não sejam forçadas a ter um período de validade mais longo do que o definido em sua política.

Habilite o gerenciamento de senha do administrador local. Defina como Ativado. Isso permitirá que as senhas sejam gerenciadas para todas as máquinas dentro do escopo desta política de grupo.

As configurações a seguir distribuirão o cliente LAPS para todas as máquinas no escopo. O cliente LAPS é a ferramenta que será executada em cada máquina Windows para garantir que a senha local esteja em conformidade com a política. Ele também atualiza os atributos do AD com o carimbo de data / hora e a nova senha.

Isso pode ser feito de várias maneiras, de um GPO a um pacote SCCM ou InTune a uma ferramenta de implantação de software de terceiros. Qualquer sistema que irá entregar e instalar o executável pode ser usado. Neste guia, usei a mesma Política de Grupo que configurará o cliente.

Para criar a política de implantação de software, primeiro você precisa colocar o arquivo de instalação em um compartilhamento que estará acessível a todos os usuários / máquinas. Eu compartilhei uma subpasta da pasta netlogon do controlador de domínio . A vantagem disso é que ele será replicado para todos os controladores de domínio automaticamente, portanto, usando \\ domínio \ compartilhamento, cada cliente obterá o software de seu site AD local (observe que você ainda precisa criar o compartilhamento em cada DC, a menos que coloque o instalador no netlogon).

No GPMC, navegue até Configuração do computador> Políticas> Configurações de software> Instalação de software.

Clique com o botão direito em Instalação de software e selecione Novo> Pacote.

Navegue até o compartilhamento mencionado acima, selecione o instalador e clique em Abrir . Novamente, certifique-se de usar a “quantidade de bits” correta. Aqui, estou usando x64, pois todas as minhas máquinas são de 64 bits.

Selecione o tipo de instalação Atribuída e clique em OK . Isso garantirá que o software seja entregue às máquinas sem a intervenção do usuário.

Em seguida, você retornará às configurações de Política de Grupo, onde verá as novas configurações de instalação do software. Agora você pode fechar o Editor de Diretiva de Grupo.

Agora você está pronto para usar o LAPS. Levará algum tempo para que a política de grupo seja entregue a todas as máquinas e para a instalação do cliente – portanto, não espere resultados imediatos. Mas nas próximas horas, ou se as máquinas forem reinicializadas, você verá que as políticas começarão a ter efeito.

Acessando as senhas

Agora que suas máquinas estão gerando senhas aleatórias e armazenando-as no Active Directory, você precisa acessá-las.

Abra a IU do LAPS no servidor de gerenciamento que você usou ao instalar o LAPS no início deste guia. Se você estiver no grupo de segurança ao qual foi concedido acesso aos atributos LAPS AD, você poderá colar o nome da máquina e pesquisar os detalhes correspondentes:

Se você precisar consultar várias máquinas ou apenas preferir a linha de comando, também pode usar o módulo PowerShell para consultar a senha:

Get-AdmPwdPassword -ComputerName "AZ-0183-3116-95"

Verifique em ambiente de teste

Assim que sua implantação for concluída, você vai querer testá-la antes de distribuí-la para todos. Para testar, basta selecionar uma máquina de teste à qual você tenha acesso e recuperar a senha usando um dos métodos acima.

Faça login como um usuário restrito e localize um aplicativo como o Bloco de notas. Clique com o botão direito (ou shift-clique com o botão direito) no atalho e selecione Executar como usuário diferente.

Insira as credenciais que você obteve da IU do LAPS ou da saída do PowerShell no prompt de segurança.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Felipe Santos
Felipe Santos é Arquiteto de Cloud e Segurança, com vivência em Administração de Ambientes Windows Server, Cluster, Storages, Backups Veeam e Office 365.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!