Introdução
Microsoft LAPS (Local Administrator Password Solution) é uma solução gratuita fornecida pela Microsoft que ajuda a proteger estações de trabalho.
O LAPS permite que cada computador presente na unidade organizacional gere aleatoriamente uma senha para a conta do administrador local e salve-a em um atributo do Active Directory (ms-Mcs-AdmPwd). Baseia-se no SID da conta que é estruturado da mesma forma em qualquer estação de trabalho, o que permite aplicar o LAPS a qualquer linguagem do Windows ou até mesmo renomear a conta do administrador.
Também é possível configurar um tempo de expiração de senha (ms-Mcs-AdmPwdExpirationTime), que forçará uma nova senha para a conta do Administrador Local.
O LAPS vem na forma “cliente/servidor”, requer a instalação de uma parte no(s) servidor(es) controlador(es) de domínio e o registro de uma DLL nas estações de trabalho clientes.
Pré-requisitos:
- Servidor mínimo: Windows 2003 SP1.
- Computador mínimo: Windows 8.1.
Se você estiver em um ambiente com vários controladores de domínio, deverá instalar a definição de política de grupo em todos os servidores ou usar um armazenamento central. No segundo caso, após a instalação, você deve copiar os arquivos (%WINDIR%\PolicyDefinitions\AdmPwd.admx e %WINDIR%\PolicyDefinitions\en-US\AdmPwd.adml) no armazenamento central.
Instalando LAPS
Instale o LAPS no controlador de domínio
Em um controlador de domínio, execute o arquivo de download.
Ao iniciar o assistente de instalação, clique em Próximo 1.
Marque a caixa para aceitar o contrato de licença 1 e clique em Avançar 2.
Instale todos os componentes 1 e clique em Próximo 2.
Clique em Instalar 1.
Assim que a instalação for concluída, feche o assistente clicando em Concluir 1.
Agora que o LAPS está instalado em um controlador de domínio, veremos como instalá-lo nas estações de trabalho clientes.
Instalando o cliente LAPS
Para implantar a parte “cliente” do LAPS em estações de trabalho, você tem diversas soluções:
- Instalação manual selecionando apenas o componente AdmPwd GPO Extension.
- Instalação por ferramenta de implantação de software (SCCM/WAPT).
- Instalação por ferramenta de implantação de software (SCCM/WAPT).
- Instalação com script : msiexec /i <file location>\LAPS.x64.msi /quiet
- Copie o arquivo AdmPwd.dll e salve-o no computador regsvr32.exe AdmPwd.dll
Dependendo do seu ambiente, deixarei você escolher a melhor solução.
Atualizando o esquema do Active Directory
Para funcionar corretamente, o LAPS precisa modificar o esquema do Active Directory para adicionar dois atributos aos computadores.
No controlador de domínio onde foi instalado, abra um prompt de comando do PowerShell com direitos de administrador.
Carregue o módulo PowerShell:
Import-Module AdmPwd.PS
Atualize o esquema:
Update-AdmPwdADSchema
O comando deve retornar o seguinte resultado:
Operation DistinguishedName Status --------- ----------------- ------ AddSchemaAttribute cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=l... Success AddSchemaAttribute cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=lab,DC=intra Success ModifySchemaClass cn=computer,CN=Schema,CN=Configuration,DC=lab,DC=intra Success
O esquema foi modificado e atributos adicionados.
Veremos agora como configurar o LAPS.
Configurando LAPS
Adicionando permissões no Active Directory
A configuração do LAPS é feita por OR no nível do Active Directory. Neste tutorial, aplicaremos a política de senha nos computadores da UO 1 que está localizado no LABORATÓRIO da UO.
Antes de configurar a política de grupo, você deve conceder aos objetos Computador os direitos para modificar seus atributos. Abra um prompt de comando do PowerShell.
Carregue o módulo:
Import-Module AdmPwd.PS
Caso 1: existe uma única UO com o nome Computadores:
Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"
Caso 2: várias UOs são chamadas de Computadores:
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"
Resultado do comando:
Name DistinguishedName Status ---- ----------------- ------ Computers OU=Computers,OU=LAB,DC=lab,DC=intra Delegated
Se várias UOs tiverem o mesmo nome e você aplicar o comando no caso 1, a delegação será aplicada a todas as UOs. O comando também retornará um erro.
GPO para aplicar configurações aos computadores
Agora que os computadores podem modificar seus atributos, você precisa criar uma política de grupo. Abra o console de Gerenciamento de Política de Grupo, clique com o botão direito em OR 1 onde será aplicado e clique em Criar um GPO neste domínio, e vincule-o aqui 2.
Nomeie a estratégia 1 e clique em OK 2.
Agora que a política está criada, vamos configurá-la, clique com o botão direito sobre ela 1 e clique em Modificar 2.
Vá para Configuração do Computador/Políticas/Modelos Administrativos/LAPS 1. Este local contém os vários parâmetros de configuração. Abra Configurações de senha 2 para configurar a senha.
Habilite as configurações 1 e configure a complexidade da senha 2 usando as diferentes configurações. Clique em Aplicar 3 e em OK 4.
Abra o parâmetro Habilitar gerenciamento de senha de administrador local, ative 1 e clique em Aplicar 2 e OK 3. É necessário habilitar esta configuração para habilitar o gerenciamento de senhas.
Se você alterou a conta do administrador local e criou uma nova, é possível indicar isso com o parâmetro Nome da conta do administrador para gerenciar.
Resumo das configurações da Política de Grupo:
Agora que a Política de Grupo está pronta, force a atualização dela para que os computadores recuperem as configurações e gerem uma senha para a conta do administrador local.
Veja a senha gerada pelo LAPS
Agora que nossos computadores possuem uma senha diferente, veremos como recuperar a senha.
Do Active Directory
A exibição de recursos avançados deve estar habilitada.
Com o console Usuários e Computadores do Active Directory, abra as propriedades do computador, vá para a guia Editor de Atributos 1 e procure o atributo ms-Mcs-AdmPwd 2.
Com o cliente LAPS
Ao instalar o LAPS no servidor, todos os componentes foram instalados. Um cliente está disponível no menu Iniciar. Uma vez iniciado, digite o nome do computador 1 e clique em Pesquisar 2 para exibir a senha 3, bem como a data de validade 4 .
É possível modificar a data de validade da senha, uma vez configurada clique em Definir. A alteração da senha terá efeito ao aplicar políticas de grupo no computador.
Permitir visualização de senha para um grupo AD
Por padrão, o grupo Admins. do Domínio pode ver o atributo que contém a senha da conta do Administrador Local da estação de trabalho. Pode ser necessário conceder acesso por senha a outras pessoas, por exemplo, pessoas da equipe de suporte, caso não sejam membros do grupo Administradores de Domínio.
A parte cliente do LAPS precisará ser instalada em seu computador para ver a senha.
No controlador de domínio, abra o console de modificação ADSI, clique com o botão direito em Modificação ADSI 1 e clique em Conexão 2.
Escolha Contexto de Atribuição Padrão 1 e clique em OK 2.
Uma vez conectado, abra as propriedades da UO onde o LAPS foi configurado.
Vá para a guia Segurança 1 e clique no botão Avançado 2.
Clique em Adicionar 1.
Selecione o grupo 1, digite: Permitir 2. Verifique a autorização Todos os direitos estendidos 3 e valide clicando em OK 4.
As autorizações foram adicionadas à unidade organizacional, clique em Aplicar 1 e depois em OK 2 para validar. Em seguida, feche as janelas.
É possível fazer a mesma coisa no PowerShell usando o seguinte comando:
Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
É possível verificar o acesso no PowerShell usando o seguinte comando:
Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders
ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}
Os usuários do grupo SupportSI agora podem ver a senha da conta do Administrador Local.
Para dar permissão ao grupo SupportSI para alterar a data de expiração da senha, insira o seguinte comando do PowerShell:
Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Conclusão
LAPS é uma solução gratuita que ajuda a proteger a conta do administrador local em computadores clientes e servidores.
Acho esta solução ainda mais interessante em servidores que permite ter uma senha diferente para cada um deles e assim aumentar a segurança. A expiração e renovação automáticas da senha proporcionam segurança adicional quando um profissional de TI sai da empresa.