- Benefícios de usar o Windows LAPS
- Licenciamento
- Habilitar LAPS no Microsoft Entra ID
- Implementando Políticas do Windows LAPS utilizando Intune
- Validando a implementação do Windows LAPS
- Recuperando a senha da conta de administrador local
- Rotacionando a senha da conta de administrador local
- Auditoria
- Definindo permissões para gestão de senhas no Windows LAPS
Benefícios de usar o Windows LAPS
Use o Windows LAPS para rotacionar e gerenciar as senhas da conta de administrador local e obter estes benefícios:
- Proteção contra ataques pass-the-hash e lateral-traversal
- Segurança aprimorada para cenários de suporte técnico remoto
- Capacidade de entrar e recuperar dispositivos que, de outra forma, estão inacessíveis
- Um modelo de segurança refinado (listas de controle de acesso e criptografia de senha opcional) para proteger senhas armazenadas no Windows Server Active Directory
- Suporte para o modelo de controle de acesso baseado em função do Azure para proteger senhas armazenadas no Azure Active Directory
Licenciamento
- Intune: Microsoft Intune Plano 1, que é a assinatura básica do Intune. Você também pode usar o Windows LAPS com uma assinatura de avaliação gratuita para o Intune.
- Microsoft Entra ID: Microsoft Entra ID Free, que é a versão gratuita de Microsoft Entra ID incluída quando você assina o Intune. Com Microsoft Entra ID Free, você pode usar todos os recursos do LAPS.
Habilitar LAPS no Microsoft Entra ID
- Entrar em https://portal.azure.com/
- Clique em Microsoft Entra ID
- Selecione Devices > Device settings
- Habilite Azure AD Local Administrator Password Solution (LAPS)
Implementando Políticas do Windows LAPS utilizando Intune
- Entre em https://endpoint.microsoft.com/
- Selecione Devices > Account protection
- Clique em Create Policy
- Em Platform, selecione Windows 10 and later
- Em Profile, selecione Local admin password solution (Windows LAPS)
- Clique em Create
- Adicione o nome da política, depois clique em Next.
- Aqui está um exemplo usando as configurações padrão. Analise e escolha aquelas que melhor se adequam ao seu cenário.
- Clique em Next > Next
- Atribua a política a um grupo de Segurança do Azure AD que inclua usuários ou dispositivos nos quais essa configuração de dispositivo específica precisa ser implementada.
- Clique em Create
Validando a implementação do Windows LAPS
Todos os eventos relacionados ao Windows LAPS podem ser localizados no visualizador de eventos em Logs de Aplicativos e Serviços > Microsoft > Windows > LAPS.
Recuperando a senha da conta de administrador local
A senha da conta de administrador do LAPS é registrada tanto no Intune quanto no Microsoft Entra ID, possibilitando a sua recuperação por meio de ambos os portais.
Microsoft Entra ID
- Entrar em https://portal.azure.com/
- Clique em Microsoft Entra ID
- Selecione Devices > Local administrator password recovery
- Clique em Show local administrator password no dispositivo para o qual deseja recuperar a senha.
Intune
- Entre em https://endpoint.microsoft.com/
- Selecione Devices > Windows
- Selecione o dispositivo
- Clique em Local admin password > Show local administrator password
Rotacionando a senha da conta de administrador local
- Entre em https://endpoint.microsoft.com/
- Selecione Devices > Windows
- Selecione o dispositivo
- Clique em Rotate local admin password
Log no event viewer informando a alteração da senha.
Auditoria
As atividades do Windows LAPS podem ser auditadas a partir do Microsoft Entra ID.
- Entrar em https://portal.azure.com/
- Clique em Microsoft Entra ID > Devices > Audit logs
- Filtre por Recover device local administrator password ou Update device local administrator password.
Definindo permissões para gestão de senhas no Windows LAPS
Microsoft Entra ID
A seguir, iremos criar uma função que permitirá aos usuários, aos quais foram atribuídas permissões, acessar e visualizar as senhas da conta de administrador local dos dispositivos.
- Next > Create
- Continue com as atribuições da função para os usuários.
Intune
A seguir, iremos criar uma função no Intune que permitirá aos usuários acessar, visualizar e rotacionar as senhas da conta de administrador local dos dispositivos.
- Entre em https://endpoint.microsoft.com/
- Clique em Tenant administration > Roles
- Next
- A Seguir, habilite as opções Read para Managed devices e Organization e defina Yes para Rotate Local Admin Password
Depois de criar esta função, você a encontrará em All Roles. Clique nele para abrir, na sequencia em Assignments e depois em Assign para atribuir esta função aos usuários.
Leia mais sobre Windows Laps aqui: Windows LAPS overview | Microsoft Learn
Parabéns pela iniciativa e por compartilhar conhecimentos ricos.