O que é LAPS da Microsoft?

O laps (Microsoft Local Administrator Solution) é um gerenciador de senhas que utiliza o Active Directory para gerenciar e alterar senhas para contas de administrador Local em todos os pontos de extremidades do Windows.

Leia mais:

Migrando o Active Directory do WS2012 para WS2019
Como utilizar o Windows Hello for Business em ambientes 100 % Nuvem
Aprenda mais sobre as melhores práticas de Senhas
Como corrigir a relação de confiança entre estação de trabalho e o domínio AD
Como encontrar computadores e usuários inativos no AD com Powershell

O LAPS fornece uma solução para o problema de usar uma conta local comum com uma senha idêntica em cada computador em um domínio. O LAPS resolve esse problema definindo uma senha aleatória alternada diferente para a conta de administrador local comum em todos os computadores no domínio.

A solução reduz o risco de escalonamento lateral que ocorre quando os clientes usam a mesma combinação de conta local administrativa e senha nos computadores deles. O LAPS armazena a senha da conta de administrador local de cada computador no AD, protegida em um atributo confidencial no objeto do AD correspondente do computador.

Requisitos para utilização do Laps

  • O LAPS funciona em todas as versões x86 ou x64 suportadas do sistema operacional Windows Client e Windows Server.
  • Exige que o nível funcional de domínio seja “Windows Server 2003” ou mais recente e só funciona em computadores que sejam membros de um domínio do Active Directory.
  • O agente do LAPS deve ser instalado nos hosts gerenciados e pode ser implantado por meio de Diretivas de Grupo.
  • Exige atualização do esquema do Active Directory através da execução do cmdlet Update-AdmPwdADSchema, incluso no módulo do PowerShell que se torna disponível após a instalação do LAPS em um computador. O usuário que executará o cmdlet deverá ser membro do grupo Administradores de Esquema. A execução do comando deve ocorrer em um computador que esteja no mesmo site do Active Directory que o computador que contém a função Mestre de Esquema da floresta.
  • O LAPS exige que o .NET Framework 4.0 e o Windows PowerShell 2.0 ou mais recente sejam instalados nos computadores para os quais ele gerenciará as senhas do administrador local.

Preparação do Domínio para instalação do Laps

  • Instalação das Ferramentas de Gerenciamento do Laps, módulos de Power Shell 2.0.
  • Preparar o Schema (o Esqueleto do AD, seria o formulário do Active Directory, cada atributo adicionado ao AD faz parte do meu schema, quando eu modifico o schema eu adiciono novos atributos, quando instalamos o Microsoft Laps precisamos criar 2 novos atributos para cada conta de computador.

Update do Schema

Import-module AdmPwd.PS
Update-AdmPwdADSchema

Atributos que serão adicionados

ms-Mcs-AdmPwd – Armazena a senha em texto limpo, porque no Active Directory eu vejo essa senha em texto limpo.

ms-Mcs-AdmPwdExpirationTime – Quanto tempo essa senha vai ser resetada, se eu quero que essa senha seja rotacionada todo dia ou não.

  • Listar quais as OU que vão receber essa troca de senha do Laps.
  1. Associar as permissões de computadores para que o Laps consiga trocar a senha de computador.
  • Quem são as pessoas ou grupos que terão a permissão de ler, somente lê essas senhas, que geralmente são HelpDesk, N1 ou N2 e às vezes em casos específicos N3, por exemplo quero saber a senha do administrador local do desktop-01, vou digitar desktop-01 ele vai me dar a senha, vou copiar e utilizar ela.
  • Permissão para alguns usuários administradores de resetar essas senhas, por exemplo essa senha já existe no Laps eu quero trocar e redefinir essa senha.

Set-AdmPwdComputerSelfPermission – OrgUnit <nome da OU de Máquinas>

  • Criar a política de grupo que vai setar as características de senha de quanto em quanto tempo essa senha vai durar, de quanto em quanto tempo ela será rotacionada, qual comprimento dessa senha definido pela GPO.
  • Instalação dos agentes, toda máquina precisa de um client para efetuar a comunicação com o agente que será instalado através do Active Directory, e vai fazer essa troca de senha nas estações de trabalho e servidores.

Instalar cliente em Modo Silencioso:

Msiexec /i <file location> laps.x64.msi /quiet

Funcionamento do Laps através de Diretiva de Grupo

O LAPS funciona através de Diretiva de Grupo, quando uma atualização de diretiva de grupo ocorre, as seguintes etapas ocorrem através do processo mencionado abaixo.

  • O LAPS determina se a senha da conta de administrador local expirou, se a senha não expirou, o LAPS não toma nenhuma ação.
  • Se a senha expirou, ela será alterada para um novo valor aleatório com base nos parâmetros configurados via GPO para as senhas do administrador local. Após isso, será armazenada em um atributo confidencial no ADDS, associado à conta de computador do computador que teve sua senha atualizada. A nova data de expiração também será armazenada no ADDS, em atributo do associado à conta de computador.
  • Usuários autorizados podem consultar senhas armazenadas no AD DS, bem como podem efetuar uma alteração de senha do administrador local em um computador específico.

Laboratório do Microsoft Laps

Vamos demonstrar através de um Lab com duas máquinas virtuais como isso de fato funciona, um servidor Windows 2016 nomeado DC-LAB-01 com o ADDS instalado e uma estação Windows 7 nomeada CLIENT-01.

  • Conectar ao controlador de domínio (no meu caso, DC-LAB-01) com o Administrador do domínio ou usuário com permissões equivalentes.
  • Crie uma nova OU denominada e mova a conta do computador CLIENT-01 para essa OU. Para exemplificar, criarei uma OU denominada “Financeiro“, conforme comandos e exemplos abaixo.
New-ADOrganizationalUnit -Name "Financeiro"
Get-ADComputer - Filter 'Name -like "Cli*"' -SearchBase "CN=Computers,DC=MCSE-Brasil,DC=int" | Move-ADObject -TargetPath "OU=Financeiro,DC=MCSE-Brasil,DC=int"

Execute o arquivo LAPS.x64.msi, cujo download pode ser efetuado aqui para instalar as ferramentas de gerenciamento do LAPS, a interface do cliente, o respectivo módulo do PowerShell, bem como os modelos de GPO. Passo a passo evidenciado nas imagens abaixo.

Ainda em DC-LAB-01, abra uma sessão elevada do Windows PowerShell e execute os seguintes comandos, em sequência:

Import-Module admpwd.ps
Update-AdmPwdADSchema 
Set-AdmPwdComputerSelfPermission -Identity “Financeiro”

No console Gerenciamento de Diretiva de Grupo, crie uma GPO denominada LAPS_GPO (ou qualquer outro nome de sua preferência) e vincule-a a unidade organizacional denominada “Financeiro”, conforme exemplo abaixo.

Edite a GPO recém-criada, expanda os nós Policies Administrative Templates e, no nó LAPS, edite a política Enable local admin password management e configure-a como ativada, conforme abaixo.

Edite a política de Password Settings, configurando-a como ativadae configure o comprimento da senha como 20 e a idade da senha como 30 (ou qualquer outro valor respeitando os limites da ferramenta), conforme exemplo abaixo. Feito essas configurações, feche o editor de Gerenciamento de Diretivas de Grupo.

  • Acesse a máquina CLIENT-01 com usuário administrativo e execute o arquivo LAPS.x86.msi ou LAPS.x64.msi (de acordo com a arquitetura de seu sistema operacional) utilizando as configurações padrão. Nesse passo, o agente do LAPS (que pode ser instalado via GPO) será instalado com as configurações padrão.
  • Ainda no CLIENT-01, em um prompt de comandos digite gpupdate /force, pressione “Enter e a seguir reinicie a máquina.
  • Retorne ao servidor DC-LAB-01.
  • Abra o aplicativo da interface do usuário do LAPS e, no campo “ComputerName“, digite CLIENT-01 para visualizar a senha do administrador local, a data de expiração da mesma e ter a possibilidade de definir uma data para expiração da senha atual.

Em DC-LAB-01 abra o PowerShell, digite o comando abaixo para visualizar a senha do administrador local da estação gerenciada e pressione enter:

Get-AdmPwdPassword CLIENT-01 | Select Password

Para visualizar a senha e a data de expiração, utilize o seguinte comando powershell:

Get-AdmPwdPassword CLIENT-01 | Select Password,ExpirationTimeStamp

Outra forma de visualizar a senha definida dinamicamente, bem como sua data de expiração é através do comando abaixo:

Get-AdmPwdPassword CLIENT-01 | Out-Gridview

Conclusão:

Em ambientes corporativos normalmente é visto que os administradores automatizam o processo de deploy de estações de trabalho e servidores, a partir do uso de imagens.

O uso de uma única imagem resulta, normalmente, em uma mesma credencial de administrador local para todas as estações de trabalho e/ou servidores do ambiente. Uma vez que um atacante obtenha acesso privilegiado a uma estação ou servidor, e realize a extração dessa credencial local através do que chamamos de movimento lateral, rapidamente ele pode conseguir acessar um ativo em que um administrador do ambiente esteja com sessão ativa, alcançando, assim, permissões administrativas de domínio.

Uma solução extremamente importante no dia a dia dos administradores de rede e simples de ser implementada no ambiente corporativo, onde cada máquina após essa implementação terá sua senha independente na organização dificultando assim a ação do atacante.

Este artigo foi útil?

Para manter um padrão de qualidade para vocês, investimos em um ótimo plano de hospedagem, CDN Pago, Plugins de Otimização para o Site, etc…

Ajude-nos a manter o projeto ativo! 

Acompanhe as novidades em tempo real. Siga nosso perfil no Instagram..

Diego Gonzalez
Consultor em Segurança em Nuvem em uma das maiores consultorias de Segurança Digital do Brasil, formado em Ciência da Computação responsável pelas ferramentas de Segurança em Nuvem (Azure), Gerenciamento de MDM e MAM no Intune, por administrar e dar suporte (Microsoft CAS, Defender ATP, Azure ATP, Acesso Condicional, AIP, Gerenciamento seguro de identidade e compliance), Atualmente atuo na Implementação de novos Projetos e continuação dos negócios relacionados a Segurança da Informação em produtos como Office 365 e Azure, sou certificado pela Microsoft e continuo na busca constante de novas Certificações em plataformas existentes do mercado.
pt_BRPortuguese

ATÉ 90% DE DESCONTO

DECOLE SUA CARREIRA!!

Quer dar um upgrade na sua carreira? 

Invista em você e saia na frente! Conquiste aquele emprego dos sonhos em 2022!