Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Solução de Senha de Administrador Local do Windows (Windows LAPS) permite definir configurações de diretiva para gerenciar senhas de administrador local de forma segura e automática. Este artigo explica cada configuração de política e como administrá-las para melhorar a segurança e a conformidade.
Raízes políticas apoiadas
Embora não o recomendemos, você pode administrar um dispositivo usando vários mecanismos de gerenciamento de políticas. Para dar suporte a esse cenário de forma compreensível e previsível, cada mecanismo de diretiva LAPS do Windows recebe uma chave raiz do Registro distinta:
| Nome da política | Raiz da chave de registo da política |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Política de Grupo LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configuração local do LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS herdado | HKLM\Software\Policies\Microsoft Services\AdmPwd |
O Windows LAPS consulta todas as raízes conhecidas da política de chave do Registro, começando na parte superior e descendo. Se nenhuma configuração for encontrada em uma raiz, essa raiz será ignorada e a consulta prosseguirá para a próxima raiz. Quando uma raiz que tem pelo menos uma configuração explicitamente definida é encontrada, essa raiz é usada como a política ativa. Se a raiz escolhida estiver faltando alguma configuração, as configurações serão atribuídas aos seus valores padrão.
As configurações de política nunca são compartilhadas ou herdadas entre as raízes chave da política.
Tip
A chave de configuração local do LAPS está incluída na tabela anterior para integridade. Você pode usar essa chave se necessário, mas a chave destina-se principalmente a ser usada para teste e desenvolvimento. Nenhuma ferramenta de gestão ou mecanismo de política tem como alvo esta chave.
Configurações de política suportadas pelo BackupDirectory
O Windows LAPS suporta várias definições de política que pode administrar através de várias soluções de gestão de políticas ou mesmo diretamente através do registo. Algumas dessas configurações só se aplicam ao fazer backup de senhas no Ative Directory, e algumas configurações são comuns aos cenários do Ative Directory e do Microsoft Entra.
A tabela a seguir especifica quais configurações se aplicam a dispositivos que têm a configuração de BackupDirectory especificada:
| Nome da configuração | Aplicável quando BackupDirectory=Microsoft Entra ID? | Aplicável quando BackupDirectory=AD? |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
Se BackupDirectory estiver definido como Desativado, todas as outras configurações serão ignoradas.
Você pode administrar quase todas as configurações usando qualquer mecanismo de gerenciamento de políticas. O do provedor de serviços de configuração (CSP) do Windows LAPS tem duas exceções a essa regra. O CSP LAPS do Windows suporta duas configurações que não estão na tabela anterior: ResetPassword e ResetPasswordStatus. Além disso, o Windows LAPS CSP não suporta a configuração ADBackupDSRMPassword (controladores de domínio nunca são gerenciados via CSP). Para obter mais informações, consulte a documentação do LAPS CSP.
Política de Grupo do Windows LAPS
O Windows LAPS inclui um novo Objeto de Diretiva de Grupo que você pode usar para administrar configurações de diretiva em dispositivos associados ao domínio do Ative Directory. Para aceder à Política de Grupo LAPS do Windows, no Editor de Gestão de Políticas de Grupo, vá para Configuração do Computador>Modelos Administrativos>Sistema>LAPS. A figura a seguir mostra um exemplo:
O modelo para este novo objeto de Diretiva de Grupo é instalado como parte do Windows em %windir%\PolicyDefinitions\LAPS.admx.
Repositório Central de Diretivas de Grupo
Important
Os arquivos de modelo de GPO do Windows LAPS não são copiados automaticamente para o repositório central de GPO como parte de uma operação de aplicação de patches do Windows Update, supondo que você tenha implementado essa abordagem. Em vez disso, deves copiar manualmente o LAPS.admx para o local do repositório central do GPO. Consulte Criar e gerenciar o Repositório Central.
Windows LAPS CSP
O Windows LAPS inclui um CSP específico que você pode usar para administrar configurações de diretiva em dispositivos associados ao Microsoft Entra. Gerencie o CSP do Windows LAPS usando Microsoft Intune.
Aplicar configurações de política
As seções a seguir descrevem como usar e aplicar várias configurações de diretiva para o Windows LAPS.
BackupDirectory
Use essa configuração para controlar em qual diretório é feito o backup da senha da conta gerenciada.
| Value | Descrição do cenário |
|---|---|
| 0 | Desativado (não foi feito backup da senha) |
| 1 | Faça backup da senha somente para o Microsoft Entra |
| 2 | Faça backup da senha somente no Ative Directory do Windows Server |
Se não for especificado, o padrão dessa configuração será 0 (Desabilitado).
AdministratorAccountName
Use essa configuração para configurar o nome da conta de administrador local gerenciado.
Se não for especificado, essa configuração assume como padrão o gerenciamento da conta de administrador local interna.
Important
Não especifique essa configuração, a menos que você queira gerenciar uma conta diferente da conta de administrador local interna. A conta de administrador local é identificada automaticamente pelo seu conhecido identificador relativo (RID).
Important
Você pode configurar a conta especificada (interna ou personalizada) como habilitada ou desabilitada. O Windows LAPS gerencia a senha dessa conta em qualquer estado. Se deixada em um estado desativado, no entanto, a conta deve primeiro ser habilitada para ser usada.
Important
Se você configurar o Windows LAPS para gerenciar uma conta de administrador local personalizada, deverá garantir que a conta seja criada. O Windows LAPS não cria a conta.
Important
Essa configuração é ignorada quando AutomaticAccountManagementEnabled está habilitado.
PasswordAgeDays
Essa configuração controla a idade máxima da senha da conta de administrador local gerenciada. Os valores suportados são:
- Mínimo: Um dia (Quando o diretório de backup é configurado para ser Microsoft Entra ID, o mínimo é de sete dias.)
- máximo: 365 dias
Se não for especificado, o padrão dessa configuração será de 30 dias.
Important
As alterações à definição de política PasswordAgeDays não têm efeito no tempo de expiração da palavra-passe atual. Da mesma forma, as alterações na configuração da política PasswordAgeDays não fazem com que o dispositivo gerido inicie uma rotação de senha.
PasswordLength
Use essa configuração para configurar o comprimento da senha da conta de administrador local gerenciado. Os valores suportados são:
- Mínimo: 8 caracteres
- Máximo: 64 caracteres
Se não for especificado, o padrão dessa configuração será de 14 caracteres.
Important
Não configure PasswordLength para um valor que seja incompatível com a política de senha local do dispositivo gerenciado. Isso resulta na falha do Windows LAPS em criar uma nova senha compatível. (Procure um evento 10027 no log de eventos LAP do Windows.)
A configuração PasswordLength é ignorada, a menos que PasswordComplexity esteja configurada para uma das opções de senha.
PassphraseLength
Use essa configuração para configurar o número de palavras na senha da conta de administrador local gerenciado. Os valores suportados são:
- Mínimo: 3 palavras
- Máximo: 10 palavras
Se não for especificado, esse padrão será de 6 palavras.
A configuração PassphraseLength é ignorada, a menos que PasswordComplexity esteja configurada para uma das opções de frase secreta.
Important
PassphraseLength só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
PasswordComplexity
Use essa configuração para configurar a complexidade de senha necessária da conta de administrador local gerenciado ou para especificar que uma senha seja criada.
| Value | Descrição do cenário |
|---|---|
| 1 | Letras grandes |
| 2 | Letras grandes + letras pequenas |
| 3 | Letras grandes + letras pequenas + números |
| 4 | Letras grandes + letras pequenas + números + caracteres especiais |
| 5 | Letras grandes + letras pequenas + números + caracteres especiais (melhor legibilidade) |
| 6 | Frase secreta (palavras longas) |
| 7 | Frase secreta (palavras curtas) |
| 8 | Frase secreta (palavras curtas com prefixos únicos) |
Se não for especificado, o padrão dessa configuração será 4.
Important
O Windows suporta as configurações de menor complexidade de senha (1, 2 e 3) apenas para compatibilidade com versões herdadas do Microsoft LAPS. Recomendamos que você sempre defina essa configuração como 4 (ou um valor mais alto, se suportado).
Important
Não defina PasswordComplexity uma configuração que seja incompatível com a política de senha local do dispositivo gerenciado. Isso resulta na falha do Windows LAPS em criar uma nova senha compatível. (Procure um evento 10027 no log de eventos do Windows LAPS.)
Important
PasswordComplexity os valores de 5 a 8 só são suportados no Windows 11 24H2, Windows Server 2025 e versões posteriores.
PasswordExpirationProtectionEnabled
Use essa configuração para configurar a imposição da idade máxima da senha para a conta de administrador local gerenciada.
Os valores suportados são 1 (True) ou 0 (False).
Se não for especificado, o padrão dessa configuração será 1 (True).
Tip
No modo herdado do Microsoft LAPS, essa configuração tem como padrão Falso para compatibilidade com versões anteriores.
ADPasswordEncryptionEnabled
Use essa configuração para habilitar a criptografia de senhas no Ative Directory.
Os valores suportados são 1 (True) ou 0 (False).
Important
A habilitação dessa configuração requer que seu domínio do Ative Directory esteja sendo executado no Nível Funcional de Domínio 2016 ou posterior.
ADPasswordEncryptionPrincipal
Use essa configuração para configurar o nome ou identificador de segurança (SID) de um usuário ou grupo que pode descriptografar a senha armazenada no Ative Directory.
Essa configuração será ignorada se a senha estiver armazenada no Azure.
Se essa configuração não for especificada, somente os membros do grupo Administradores do Domínio no domínio do dispositivo poderão descriptografar a senha.
Se essa configuração for especificada, o usuário ou grupo especificado poderá descriptografar a senha armazenada no Ative Directory.
Important
A cadeia de caracteres armazenada nessa configuração é um SID em forma de cadeia de caracteres ou o nome totalmente qualificado de um usuário ou grupo. Exemplos válidos incluem:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
A principal identificada (por SID ou por nome de utilizador ou grupo) deve existir e ser resolvível pelo dispositivo.
Os dados especificados nesta configuração são inseridos as-is; Por exemplo, não adicione aspas ou parênteses.
Essa configuração é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado para True e todos os outros pré-requisitos sejam atendidos.
Essa configuração é ignorada quando o backup das senhas de conta do Modo de Reparo dos Serviços de Diretório (DSRM) é feito em um controlador de domínio. Nesse cenário, essa configuração sempre assume como padrão o grupo Administradores do Domínio do domínio do controlador de domínio.
ADEncryptedPasswordHistorySize
Use essa configuração para configurar quantas senhas criptografadas anteriores são lembradas no Ative Directory. Os valores suportados são:
- mínimo: 0 palavras-passe
- Máximo: 12 palavras-passe
Se não for especificado, essa configuração assume como padrão 0 senhas (desabilitada).
Important
Essa configuração é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como True e todos os outros pré-requisitos sejam atendidos.
Essa configuração também entra em vigor nos controladores de domínio que fazem backup de suas senhas DSRM.
ADBackupDSRMPassword
Use essa configuração para habilitar o backup da senha da conta DSRM nos controladores de domínio do Ative Directory do Windows Server.
Os valores suportados são 1 (True) ou 0 (False).
O padrão dessa configuração é 0 (Falso).
Important
Essa configuração é ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como True e todos os outros pré-requisitos sejam atendidos.
PostAuthenticationResetDelay
Use essa configuração para especificar a quantidade de tempo (em horas) para aguardar após uma autenticação antes de executar as ações de pós-autenticação especificadas (consulte PostAuthenticationActions). Os valores suportados são:
- mínimo: 0 horas (definir este valor como 0 desativa todas as ações de pós-autenticação)
- máximo : 24 horas
Se não for especificado, esse padrão será de 24 horas.
PostAuthenticationActions
Use essa configuração para especificar as ações a serem executadas após a expiração do período de cortesia configurado (consulte PostAuthenticationResetDelay).
Essa configuração pode ter um dos seguintes valores:
| Value | Name | Ações tomadas quando o período de carência expira | Comments |
|---|---|---|---|
| 1 | Repor palavra-passe | A senha da conta gerenciada é redefinida. | |
| 3 | Redefinir a palavra-passe e sair | A senha da conta gerenciada é redefinida, as sessões de entrada interativas usando a conta gerenciada são encerradas e as sessões SMB usando a conta gerenciada são excluídas. | As sessões interativas recebem um aviso não configurável de dois minutos para guardar o trabalho e terminar sessão. |
| 5 | Redefinir senha e reiniciar | A senha da conta gerenciada é redefinida e o dispositivo gerenciado é reiniciado. | O dispositivo gerenciado é reiniciado após um atraso não configurável de um minuto. |
| 11 | Redefinir a palavra-passe e sair | A senha da conta gerenciada é redefinida, as sessões de entrada interativas usando a conta gerenciada são encerradas, as sessões SMB usando a conta gerenciada são excluídas e todos os processos restantes em execução sob a identidade da conta gerenciada são encerrados. | As sessões interativas recebem um aviso não configurável de dois minutos para guardar o trabalho e terminar sessão. |
Se não for especificado, o padrão dessa configuração será 3.
Important
As ações de pós-autenticação permitidas destinam-se a ajudar a limitar a quantidade de tempo que uma senha do Windows LAPS pode ser usada antes de ser redefinida. Sair da conta gerenciada ou reiniciar o dispositivo são opções que ajudam a garantir que o tempo seja limitado. Encerrar abruptamente sessões de login ou reiniciar o dispositivo pode resultar em perda de dados.
Do ponto de vista da segurança, um usuário mal-intencionado que adquire privilégios administrativos em um dispositivo usando uma senha válida do Windows LAPS tem a capacidade final de impedir ou contornar esses mecanismos.
Important
PostAuthenticationActions valor 11 só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementEnabled
Use essa configuração para habilitar o gerenciamento automático de contas.
Os valores suportados são 1 (True) ou 0 (False).
O padrão dessa configuração é 0 (Falso).
Important
AutomaticAccountManagementEnabled só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementTarget
Use essa configuração para especificar se a conta de Administrador interna ou uma nova conta personalizada será gerenciada automaticamente.
| Value | Descrição do cenário |
|---|---|
| 0 | Gerencie automaticamente a conta de administrador integrada |
| 1 | Gerenciar automaticamente uma nova conta personalizada |
O padrão dessa configuração é 1.
Essa configuração é ignorada, a menos que AutomaticAccountManagementEnabled esteja habilitada.
Important
AutomaticAccountManagementTarget só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementNameOrPrefix
Use essa configuração para especificar o nome ou o prefixo do nome da conta gerenciada automaticamente.
O padrão desta configuração é WLapsAdmin.
Esta configuração é tratada como um nome se AutomaticAccountManagementRandomizeName for 0 (Falso).
Essa configuração é tratada como um prefixo de nome se AutomaticAccountManagementRandomizeName for 1 (True).
Essa configuração é ignorada, a menos que AutomaticAccountManagementEnabled esteja habilitada.
Important
AutomaticAccountManagementNameOrPrefix só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementEnableAccount
Use essa configuração para habilitar ou desabilitar a conta gerenciada automaticamente.
| Value | Descrição do cenário |
|---|---|
| 0 | Desativar a conta gerida automaticamente |
| 1 | Ativar a conta gerida automaticamente |
O padrão dessa configuração é 0.
Essa configuração é ignorada, a menos que AutomaticAccountManagementEnabled esteja habilitada.
Important
AutomaticAccountManagementEnableAccount só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementRandomizeName
Use essa configuração para habilitar a aleatorização do nome da conta gerenciada automaticamente.
Quando esta configuração é ativada, o nome da conta gerida (determinado pela configuração AutomaticAccountManagementNameOrPrefix) recebe um sufixo aleatório de seis dígitos cada vez que a senha é alterada.
Os nomes de contas locais do Windows têm um comprimento máximo de 20 caracteres, o que significa que o componente de nome deve ter no máximo 14 caracteres para ter espaço suficiente para o sufixo aleatório. Os nomes de conta especificados por AutomaticAccountManagementNameOrPrefix com mais de 14 caracteres são truncados.
| Value | Descrição do cenário |
|---|---|
| 0 | Não aleatorize o nome da conta gerenciada automaticamente |
| 1 | Aleatorizar o nome da conta gerenciada automaticamente |
O padrão dessa configuração é 0.
Essa configuração é ignorada, a menos que AutomaticAccountManagementEnabled esteja habilitada.
Important
AutomaticAccountManagementRandomizeName só é suportado no Windows 11 24H2, Windows Server 2025 e versões posteriores.
Valores de política padrão do Windows LAPS
Todas as configurações de diretiva LAPS do Windows têm um valor padrão. O valor padrão é aplicado sempre que um administrador não define uma configuração específica. O valor padrão também é aplicado sempre que um administrador configura uma configuração específica com um valor sem suporte.
| Nome da configuração | Valor predefinido |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (Alterar palavra-passe e sair) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Administradores de Domínio |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal é uma exceção à regra de configuração configurada incorretamente. Esta configuração tem como padrão 'Administradores de Domínio' somente quando a configuração não foi configurada. Quando um nome de usuário ou grupo inválido é especificado, ocorre uma falha no processamento da política e não é feito backup da senha da conta gerenciada.
Tenha esses padrões em mente ao configurar novos recursos do Windows LAPS, por exemplo, suporte a frases secretas. Se você configurar uma política com um valor PasswordComplexity de 6 (frases secretas de palavras longas) e, em seguida, aplicar essa política a um sistema operacional mais antigo que não ofereça suporte a esse valor, o sistema operacional de destino usará o valor padrão de 4. Para evitar esse resultado, crie duas políticas diferentes: uma para o sistema operacional mais antigo e outra para o sistema operacional mais recente.