Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Saiba mais sobre os conceitos básicos de design e segurança para a Solução de Senha de Administrador Local do Windows (Windows LAPS), incluindo:
- Architecture
- Fluxo de cenário básico
- Ciclo de processamento de políticas em segundo plano
- Palavras-passe do Microsoft Entra
- Senhas do Ative Directory do Windows Server
- Redefinição de senha após autenticação
- Proteção contra violação de senha de conta
- Modo de segurança do Windows
Arquitetura LAPS do Windows
A figura a seguir mostra a arquitetura LAPS do Windows:
O diagrama de arquitetura LAPS do Windows tem vários componentes principais:
Administrador de TI: representa coletivamente as várias funções de administrador de TI que podem estar envolvidas em uma implantação do Windows LAPS. As funções de administrador de TI estão envolvidas na configuração de políticas, expiração ou recuperação de senhas armazenadas e na interação com dispositivos gerenciados.
Dispositivo gerenciado: representa um dispositivo associado ao Microsoft Entra ou ao Ative Directory do Windows Server no qual você deseja gerenciar uma conta de administrador local. O recurso é composto por alguns binários importantes: laps.dll para lógica principal, lapscsp.dll para lógica CSP (provedor de serviços de configuração) e lapspsh.dll para lógica de cmdlet do PowerShell. Você também pode configurar o Windows LAPS usando a Diretiva de Grupo. O Windows LAPS responde às notificações de alteração do GPO (Objeto de Diretiva de Grupo). O dispositivo gerenciado pode ser um controlador de domínio do Ative Directory do Windows Server e ser configurado para fazer backup de senhas de conta do Modo de Reparo dos Serviços de Diretório (DSRM).
Ative Directory do Windows Server: uma implantação local do Ative Directory do Windows Server.
Microsoft Entra ID: uma implantação do Microsoft Entra em execução na nuvem.
Microsoft Intune A solução preferida de gerenciamento de políticas de dispositivos da Microsoft, também executada na nuvem.
Fluxo de cenário básico
A primeira etapa em um cenário básico do Windows LAPS é configurar a política do Windows LAPS para sua organização. Recomendamos que você use as seguintes opções de configuração:
Dispositivos Associados do Microsoft Entra: Use o Microsoft Intune.
Dispositivos associados ao Ative Directory do Windows Server: use a Diretiva de Grupo.
Dispositivos associados híbridos do Microsoft Entra inscritos no Microsoft Intune: utilize o Microsoft Intune.
Depois que o dispositivo gerenciado é configurado com uma política que habilita o Windows LAPS, o dispositivo começa a gerenciar a senha da conta local configurada. Quando a senha expira, o dispositivo gera uma nova senha aleatória que é compatível com os requisitos de comprimento e complexidade da política atual.
Quando uma nova senha é validada, o dispositivo armazena a senha no diretório configurado, Windows Server Ative Directory ou Microsoft Entra ID. Um tempo de expiração de senha associado, que se baseia na configuração de idade da senha da política atual, também é calculado e armazenado no diretório. O dispositivo gira a senha automaticamente quando o tempo de expiração da senha é atingido.
Quando a senha da conta local é armazenada no diretório relevante, um administrador de TI autorizado pode acessar a senha. As senhas armazenadas no Microsoft Entra ID são protegidas por meio de um modelo de controle de acesso baseado em função. As senhas armazenadas no Ative Directory do Windows Server são protegidas por meio de listas de controle de acesso (ACLs) e, opcionalmente, também por criptografia de senha.
Você pode girar a senha antes do tempo de expiração normalmente esperado. Gire uma senha antes de uma expiração agendada usando um dos seguintes métodos:
- Gire manualmente a senha no próprio dispositivo gerenciado, usando o
Reset-LapsPasswordcmdlet. - Invoque a ação ResetPassword Execute no CSP do Windows LAPS.
- Modifique o tempo de expiração da senha no diretório (aplica-se somente ao Ative Directory do Windows Server).
- Acione a rotação automática quando a conta gerenciada for usada para autenticar no dispositivo gerenciado.
Ciclo de processamento de políticas em segundo plano
O Windows LAPS usa uma tarefa em segundo plano que é ativada a cada hora para processar a política ativa no momento. Esta tarefa não é implementada com uma tarefa do Agendador de Tarefas do Windows e não é configurável.
Quando a tarefa em segundo plano é executada, ela executa o seguinte fluxo básico:
A principal diferença óbvia entre o fluxo de ID do Microsoft Entra e o fluxo do Ative Directory do Windows Server está relacionada à forma como o tempo de expiração da senha é verificado. Em ambos os cenários, o tempo de expiração da senha é armazenado lado a lado com a senha mais recente no diretório.
No cenário do Microsoft Entra, o dispositivo gerido não consulta o Microsoft Entra ID. Em vez disso, o tempo de expiração da senha atual é mantido localmente no dispositivo.
No cenário do Ative Directory do Windows Server, o dispositivo gerenciado sonda regularmente o diretório para consultar o tempo de expiração da senha e age quando a senha expira.
Iniciar manualmente o ciclo de processamento da política
O Windows LAPS responde às notificações de alteração da Diretiva de Grupo. Você pode iniciar manualmente o ciclo de processamento da política de duas maneiras:
Forçar uma atualização da Diretiva de Grupo. Aqui está um exemplo:
gpupdate.exe /target:computer /forceExecute o
Invoke-LapsPolicyProcessingcmdlet. Esse método é preferido porque é mais abrangente.
Tip
O Microsoft LAPS lançado anteriormente (Microsoft LAPS herdado) foi criado como uma extensão do lado do cliente (CSE) da Diretiva de Grupo (GPO). Os CSEs de GPO são carregados e invocados em cada ciclo de atualização da Diretiva de Grupo. A frequência do ciclo de sondagem do Microsoft LAPS herdado é a mesma do ciclo de atualização da Diretiva de Grupo. O Windows LAPS não é construído como um CSE, portanto, seu ciclo de sondagem é codificado para uma vez por hora. O Windows LAPS não é afetado pelo ciclo de atualização da Diretiva de Grupo.
Palavras-passe do Microsoft Entra
Quando você faz backup de senhas para o Microsoft Entra ID, as senhas de conta local gerenciadas são armazenadas no objeto de dispositivo Microsoft Entra. O Windows LAPS autentica a ID do Microsoft Entra usando a identidade do dispositivo gerenciado. Os dados armazenados no Microsoft Entra ID são altamente seguros, mas para proteção extra, a senha é criptografada antes de ser persistida. Essa camada de criptografia extra é removida antes que a senha seja devolvida aos clientes autorizados.
Por predefinição, apenas os membros das funções de Administrador Global, Administrador de Dispositivos na Nuvem e Administrador do Intune podem recuperar a palavra-passe de texto não criptografado.
Senhas do Ative Directory do Windows Server
As seções a seguir fornecem informações importantes sobre como usar o Windows LAPS com o Ative Directory do Windows Server.
Segurança da palavra-passe
Quando você faz backup de senhas para o Ative Directory do Windows Server, as senhas de conta local gerenciadas são armazenadas no objeto de computador. O Windows LAPS protege essas senhas usando dois mecanismos:
- ACLs
- Palavras-passe encriptadas
ACLs
A linha de frente da segurança de senhas no Active Directory do Windows Server utiliza ACLs configuradas no objeto de computador que contém uma Unidade Organizacional (UO). As ACLs são herdadas do próprio objeto de computador. Você pode especificar quem pode ler vários atributos de senha usando o Set-LapsADReadPasswordPermission cmdlet. Da mesma forma, você pode especificar quem pode ler e definir o atributo de tempo de expiração de senha usando o Set-LapsADResetPasswordPermission cmdlet.
Palavras-passe encriptadas
A segunda linha de segurança de senha usa o recurso de criptografia de senha do Ative Directory do Windows Server. Para usar a criptografia de senha do Ative Directory do Windows Server, seu domínio deve ser executado no Nível Funcional de Domínio (DFL) do Windows Server 2016 ou posterior. Quando ativada, a senha é primeiro criptografada para que apenas uma entidade de segurança específica (um grupo ou usuário) possa descriptografá-la. A criptografia de senha ocorre no próprio dispositivo gerenciado antes que o dispositivo envie a senha para o diretório.
Important
- É altamente recomendável que você habilite a criptografia de senha ao armazenar suas senhas do Windows LAPS no Ative Directory do Windows Server.
- A Microsoft não oferece suporte à recuperação de senhas LAPS descriptografadas anteriormente em um domínio que executa uma DFL anterior à DFL do Windows Server 2016. A operação pode ou não ter êxito, dependendo se os controladores de domínio que executam versões anteriores ao Windows Server 2016 foram promovidos para o domínio.
Permissões de grupo de usuários
Ao projetar seu modelo de segurança de recuperação de senha, considere as informações na figura a seguir:
O diagrama ilustra as camadas de segurança de senha do Ative Directory do Windows Server sugeridas e sua relação entre si.
O círculo mais externo (verde) é composto por entidades de segurança que recebem permissão para ler ou definir o atributo de tempo de expiração de senha em objetos de computador no diretório. Esta capacidade é uma permissão sensível, mas é considerada não destrutiva. Um invasor que adquire essa permissão pode forçar os dispositivos gerenciados a girar seus dispositivos gerenciados com mais frequência.
O círculo do meio (amarelo) é composto por entidades de segurança que recebem permissão para ler ou definir atributos de senha em objetos de computador no diretório. Esta capacidade é uma permissão sensível e deve ser cuidadosamente monitorizada. A abordagem mais segura é reservar esse nível de permissão para membros do grupo de segurança Administradores do Domínio.
O círculo interno (vermelho) aplica-se apenas quando a encriptação de palavra-passe está ativada. O círculo interno é composto por grupos ou utilizadores aos quais são concedidas permissões de desencriptação para atributos de palavras-passe encriptadas em objetos de computador no diretório. Como a permissão no círculo do meio, essa habilidade é uma permissão sensível e deve ser cuidadosamente monitorada. A abordagem mais segura é reservar esse nível de permissão para membros do grupo Administradores do Domínio.
Important
Considere personalizar suas camadas de segurança para corresponder à sensibilidade das máquinas gerenciadas em sua organização. Por exemplo, pode ser aceitável que os dispositivos de trabalho de TI da linha de frente sejam acessíveis aos administradores de help desk, mas você provavelmente desejará definir limites mais rígidos para laptops executivos corporativos.
Encriptação de palavra-passe
O recurso de criptografia de senha LAPS do Windows é baseado na API de criptografia: API de proteção de dados de próxima geração (CPNG DPAPI). O CNG DPAPI suporta vários modos de criptografia, mas o Windows LAPS oferece suporte à criptografia de senhas em apenas uma única entidade de segurança do Ative Directory do Windows Server (usuário ou grupo). A encriptação subjacente baseia-se na encriptação AES-256 (Advanced Encryption Standard 256-bit key).
Pode utilizar a definição de política ADPasswordEncryptionPrincipal para especificar um principal de segurança para a encriptação da palavra-passe. Se ADPasswordEncryptionPrincipal não for especificado, o Windows LAPS encriptará a senha contra o grupo Administradores de Domínio, do domínio do dispositivo gerido. Antes de um dispositivo gerenciado criptografar uma senha, o dispositivo sempre verifica se o usuário ou grupo especificado pode ser resolvido.
Tip
- O Windows LAPS suporta a encriptação de palavras-passe apenas para um único principal de segurança. O CNG DPAPI suporta criptografia contra várias entidades de segurança, mas esse modo não é suportado pelo Windows LAPS porque causa inchaço de tamanho dos buffers de senha criptografada. Se precisar de conceder permissões de desencriptação a várias entidades de segurança, para resolver a restrição, pode criar um grupo de wrapper que tenha todas as entidades de segurança relevantes como membros.
- A entidade de segurança autorizada a desencriptar a palavra-passe não pode ser alterada depois de uma palavra-passe ser encriptada.
Histórico de senhas criptografadas
O Windows LAPS oferece suporte a um recurso de histórico de senhas para clientes e controladores de domínio ingressados no Active Directory do Windows Server. O histórico de senhas é suportado somente quando a criptografia de senha está ativada. O histórico de senhas não é suportado se você armazenar senhas de texto não criptografado no Ative Directory do Windows Server.
Quando o histórico de senhas criptografadas está habilitado e é hora de girar a senha, o dispositivo gerenciado lê primeiro a versão atual da senha criptografada do Ative Directory do Windows Server. A senha atual é então adicionada ao histórico de senhas. As versões anteriores da senha no histórico são excluídas conforme necessário para cumprir a limitação máxima do histórico configurada.
Tip
Para que o recurso de histórico de senhas funcione, o dispositivo gerenciado deve receber permissões SELF para ler a versão atual da senha criptografada do Ative Directory do Windows Server. Esse requisito é tratado automaticamente quando você executa o Set-LapsADComputerSelfPermission cmdlet.
Important
Recomendamos que nunca conceda permissões a um dispositivo gerido para desencriptar uma palavra-passe encriptada para qualquer dispositivo, incluindo para o próprio dispositivo.
Suporte a palavra-passe DSRM
O Windows LAPS oferece suporte ao backup da senha da conta DSRM em controladores de domínio do Windows Server. O backup das senhas de conta DSRM só pode ser feito no Ative Directory do Windows Server e se a criptografia de senha estiver habilitada. Caso contrário, esse recurso funciona de forma quase idêntica à forma como o suporte a senhas criptografadas funciona para clientes ingressados no Ative Directory do Windows Server.
Não há suporte para backup de senhas DSRM para o Microsoft Entra ID.
Important
Quando o backup de senha DSRM está habilitado, a senha DSRM atual para qualquer controlador de domínio é recuperável se pelo menos um controlador de domínio nesse domínio estiver acessível.
Considere um cenário catastrófico no qual todos os controladores de domínio em um domínio estão inativos. Nessa situação, desde que você tenha mantido backups regulares de acordo com as práticas recomendadas do Ative Directory, ainda poderá recuperar senhas DSRM de backups usando o procedimento descrito em Recuperar senhas durante cenários de recuperação de desastres do Ative Directory.
Redefinição de senha após autenticação
O Windows LAPS oferece suporte à rotação automática da senha da conta de administrador local se detetar que a conta de administrador local foi usada para autenticação. Este recurso destina-se a limitar a quantidade de tempo que a senha de texto não criptografado é utilizável. Você pode configurar um período de carência para dar tempo ao usuário para concluir as ações pretendidas.
A redefinição de senha após a autenticação não é suportada para a conta DSRM em controladores de domínio.
Proteção contra violação de senha de conta
Quando o Windows LAPS é configurado para gerenciar uma senha de conta de administrador local, essa conta é protegida contra adulterações acidentais ou descuidadas. Essa proteção se estende à conta DSRM, quando o Windows LAPS está gerenciando essa conta em um controlador de domínio do Ative Directory do Windows Server.
O Windows LAPS rejeita tentativas inesperadas de modificar a senha da conta com um STATUS_POLICY_CONTROLLED_ACCOUNT erro (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Cada rejeição é anotada com um evento 10031 no canal de log de eventos do Windows LAPS.
Desativado no modo de segurança do Windows
Quando o Windows é iniciado no modo de segurança, no modo DSRM ou em qualquer outro modo de inicialização não normal, o Windows LAPS é desativado. O backup da senha da conta gerenciada não é feito durante esse período, mesmo que esteja em um estado expirado.
Integração do Windows LAPS com a política de cartão inteligente
A conta gerenciada pelo Windows LAPS é isenta quando a política "Logon interativo: exigir o Windows Hello for Business ou cartão inteligente" (também conhecida como SCForceOption) está habilitada. Consulte Configurações adicionais da Diretiva de Grupo do cartão inteligente e chaves de registo.
Como uma política LAPS do Windows é aplicada a um novo dispositivo cliente
As seções a seguir descrevem como uma diretiva LAPS do Windows é aplicada a um novo dispositivo cliente.
Novo cenário de instalação do sistema operativo com uma política de LAPS do Windows
O Windows LAPS está integrado no sistema operativo Windows. É um recurso de segurança de linha de base do Windows e não pode ser desinstalado. É importante, portanto, estar ciente do efeito que uma política LAPS do Windows pode ter durante uma nova instalação do sistema operacional.
O principal fator a ter em conta é que o Windows LAPS está sempre "ligado". Assim que uma política LAPS do Windows é aplicada ao dispositivo, o Windows LAPS começa imediatamente a aplicar a política. Esse comportamento pode provocar interrupções se, em algum momento, o fluxo de trabalho de implantação do sistema operativo envolver a integração de um dispositivo ao domínio numa Unidade Organizacional (UO) com uma política de LAPS do Windows ativada. Se a política LAPS do Windows tiver como alvo a mesma conta local com a qual o fluxo de trabalho de implantação está conectado, a modificação imediata resultante da senha da conta local provavelmente interromperá o fluxo de trabalho (por exemplo, após uma reinicialização durante a entrada automática).
A primeira técnica para mitigar esse problema é usar uma Unidade Organizacional (UO) de "preparação" limpa. Uma UO de teste é considerada uma casa temporária para a conta do dispositivo que aplica um conjunto mínimo de políticas exigidas e não deveria incluir uma política de LAPS do Windows. Somente na conclusão do fluxo de trabalho de implantação do sistema operativo é que a conta do dispositivo é movida para a sua UO de destino final. A Microsoft recomenda o uso de uma UO de preparação limpa como uma prática recomendada genérica.
Uma segunda técnica é configurar a política LAPS do Windows para direcionar uma conta diferente daquela usada pelo fluxo de trabalho de implantação do sistema operacional. Como prática recomendada, todas as contas locais que não são necessárias no final do fluxo de trabalho de implantação do sistema operacional devem ser excluídas.
Novo cenário de instalação do SO com uma política LAPS herdada
Este cenário tem as mesmas preocupações básicas que o cenário de instalação do Novo SO com uma política de LAPS do Windows, mas tem alguns problemas especiais relacionados com o suporte do Windows LAPS para o modo de emulação LAPS herdado.
Mais uma vez, o principal fator a ter em conta é que o Windows LAPS está sempre "ligado". Assim que uma política LAPS herdada é aplicada ao dispositivo - e supondo que todos os critérios do modo de emulação LAPS herdado sejam atendidos - o Windows LAPS começa imediatamente a aplicar a política. Esse comportamento pode causar interrupções se, em algum momento, o fluxo de trabalho de implantação do sistema operacional envolver a junção de domínio de um dispositivo em uma UO com uma política de LAPS herdada habilitada. Se a política LAPS herdada tiver como alvo a mesma conta local com a qual o fluxo de trabalho de implantação está conectado, a modificação imediata resultante da senha da conta local provavelmente interromperá o fluxo de trabalho (por exemplo, após uma reinicialização durante a entrada automática).
A primeira técnica para mitigar esse problema é usar uma Unidade Organizacional (UO) de "preparação" limpa. Uma UO de preparo é considerada uma casa temporária para a conta do dispositivo, que aplica um conjunto estritamente mínimo de políticas necessárias e não deve aplicar uma política LAPS antiga. Somente na conclusão do fluxo de trabalho de implantação do sistema operativo é que a conta do dispositivo é movida para a sua UO de destino final. A Microsoft recomenda o uso de uma UO de preparação limpa como uma prática recomendada genérica.
Uma segunda técnica é configurar a política LAPS herdada para direcionar uma conta diferente daquela usada pelo fluxo de trabalho de implantação do sistema operacional. Como prática recomendada, todas as contas locais que não são necessárias no final do fluxo de trabalho de implantação do sistema operacional devem ser excluídas.
Uma terceira técnica é desativar o modo de emulação LAPS herdado no início do fluxo de trabalho de implantação do sistema operacional e habilitá-lo (se necessário) no final do fluxo de trabalho de implantação do sistema operacional.
Deteção e mitigação de reversão de imagem do sistema operacional Windows LAPS
Quando uma imagem do sistema operacional ao vivo é revertida para uma versão anterior, o resultado geralmente é uma situação de "estado rasgado", onde a senha armazenada no diretório não corresponde mais à senha armazenada localmente no dispositivo. Por exemplo, o problema pode ocorrer quando uma máquina virtual Hyper-V é restaurada para um instantâneo anterior.
Quando o problema ocorre, o administrador de TI não consegue iniciar sessão no dispositivo utilizando a palavra-passe persistente do Windows LAPS. O problema não é resolvido até que o Windows LAPS gire a senha - mas isso pode não ocorrer por dias ou semanas, dependendo da data de expiração da senha atual.
O Windows LAPS atenua esse problema gravando um GUID aleatório no diretório ao mesmo tempo em que uma nova senha está sendo persistida, seguida de salvar uma cópia local. O GUID é armazenado no atributo msLAPS-CurrentPasswordVersion. Durante cada ciclo de processamento, o guid msLAPS-CurrentPasswordVersion é consultado e comparado com a cópia local. Se os dois GUIDs forem diferentes, a senha será imediatamente alterada.
Esse recurso só é suportado ao fazer backup de senhas até o Ative Directory. O Microsoft Entra ID não é suportado.
Important
A deteção e mitigação de reversão de LAPS do Windows só pode funcionar se a máquina ainda tiver uma senha de conta de computador válida e for capaz de se autenticar no Ative Directory. Essa condição pode ou não ser verdadeira, dependendo do estado incompatível causado pela reversão. Se a máquina não for mais capaz de autenticar, outras etapas de recuperação serão necessárias, como redefinir a senha da conta da máquina. A conta LAPS do Windows na máquina revertida ainda pode ser útil se o recurso de histórico de senhas do Windows LAPS tiver sido habilitado.
Important
O recurso de deteção e mitigação de reversão de imagem do sistema operacional Windows LAPS é suportado no Windows 11 24H2, Windows Server 2025 e posterior. Esta funcionalidade requer o msLAPS-CurrentPasswordVersion atributo esquema, que só está disponível ao usar o esquema florestal do Windows Server 2025. Este atributo é automaticamente incluído quando promove o primeiro controlador de domínio do Windows Server 2025 na sua floresta; Não é instalado ao executar o Update-LapsADSchema cmdlet.
Consulte também
- Modos de gerenciamento de conta LAPS do Windows
- Palavras-passe e frases secretas do Windows LAPS
- GNV DPAPI
- Microsoft Intune
Próximos passos
Agora que você entende os conceitos básicos do design do Windows LAPS, comece com um dos seguintes cenários: