
O LAPS (Local Administrator Password Solution) é uma solução da propria Microsoft para gerenciar automaticamente as senhas de contas de administrador local em computadores em um ambiente de Active Directory.
Esse sistema gera senhas para cada máquina e armazena essas senhas de maneira segura no Active Directory, assim os administradores “autorizados” podem a recuperar essas senhas quando necessário.
O LAPS era um pacote separado que precisava ser baixado, instalado e configurado manualmente, exigia a instalação de um pacote MSI e a configuração de políticas de grupo (GPOs) para ativar e gerenciar o LAPS e as senhas geradas eram armazenadas como atributos personalizados em objetos de computador no Active Directory.
Agora esse “produto” Microsoft LAPS legado está obsoleto a partir do Windows 11 23 H2 e posteriores.
A recomendação é usar o Windows LAPS, disponível no Windows Server 2019 e posteriores e em clientes Windows 10 e Windows 11 compatíveis, para gerenciar senhas de contas de administrador local.
Na versão atualizada em sistemas mais modernos como Windows 11 e Windows Server 2019 ou 2022, o LAPS já está integrado ao sistema operacional.
O LAPS do Windows já está disponível nas seguintes plataformas do sistema operacional com a atualização especificada ou instalada posteriormente:
- Windows 11 22H2 – Atualização de 11 de abril de 2023
- Windows 11 21H2 – Atualização de 11 de abril de 2023
- Windows 10 – Atualização de 11 de abril de 2023
- Windows Server 2022 – Atualização de 11 de abril de 2023
- Windows Server 2019 – Atualização de 11 de abril de 2023
Muito mais fácil de implementar
- Acesse as Políticas de Grupo (GPO) e localize as configurações do LAPS diretamente no Windows.
- Defina as políticas de duração da senha, complexidade e onde as senhas serão armazenadas.
- Verifique as permissões de leitura das senhas para garantir que apenas administradores autorizados possam acessá-las.
- Utilize o PowerShell para verificar e gerenciar o status do LAPS em dispositivos.
Para saber mais consulte https://aka.ms/laps
Ataques e como o LAPS ajuda a proteger
Ataque de Pass-The-Hash
- Como o LAPS ajuda: O LAPS garante que cada computador tenha uma senha de administrador local única e complexa, dificultando o uso de hashes roubados em outros sistemas.
- MITRE ATT&CK ID: T1550.002 – Use of Valid Accounts: Pass-The-Hash
Uso de Senha Padrão em Vários Computadores
- Como o LAPS ajuda: O LAPS gera uma senha exclusiva para cada computador, eliminando o risco de uma senha comum ser explorada em vários sistemas.
- MITRE ATT&CK ID: T1078.001 – Obtaining Valid Accounts: Local Accounts
Movimentação Lateral (Lateral Movement)
- Como o LAPS ajuda: Como cada máquina tem uma senha de administrador local única, o atacante não pode reutilizar uma senha comprometida para acessar outros sistemas.
- MITRE ATT&CK ID: T1078 – Valid Accounts
Força Bruta em Senha de Administrador Local
- Como o LAPS ajuda: O LAPS gera senhas longas e complexas automaticamente, dificultando ataques de força bruta.
- MITRE ATT&CK ID: T1110.001 – Brute Force: Password Guessing
Exposição Acidental de Senhas
- Como o LAPS ajuda: As senhas são armazenadas de maneira segura no Active Directory e só podem ser acessadas por administradores autorizados.
- MITRE ATT&CK ID: T1555.003 – Credentials from Password Stores
Persistência de Acesso com Contas Locais
- Como o LAPS ajuda: O LAPS permite que as senhas sejam redefinidas automaticamente em intervalos regulares, garantindo que qualquer senha comprometida seja substituída.
- MITRE ATT&CK ID: T1078 – Valid Accounts
Elevação de Privilégio (Privilege Escalation)
- Como o LAPS ajuda: As senhas são complexas e desconhecidas para os usuários locais, dificultando que um usuário comum obtenha acesso de administrador.
- MITRE ATT&CK ID: T1078 – Valid Accounts
Credenciais em Texto Claro (Credential Dumping)
- Como o LAPS ajuda: Senhas complexas e rotativas dificultam que um atacante obtenha e reutilize as credenciais extraídas.
- MITRE ATT&CK ID: T1003 – Credential Dumping
Controle de Acesso ao Active Directory
- Como o LAPS ajuda: O LAPS permite definir quais usuários têm acesso às senhas de administrador local, reforçando o controle de acesso.
- MITRE ATT&CK ID: T1484.001 – Group Policy Modification
Conclusão
O LAPS (Local Administrator Password Solution) é uma ferramenta essencial para a segurança de ambientes Windows, garantindo que as senhas de administrador local sejam gerenciadas de forma segura e automatizada. Com sua integração nas versões mais recentes do Windows, o LAPS simplifica o gerenciamento de senhas, evitando ataques comuns, como Pass-The-Hash, movimentação lateral e elevação de privilégios. Ao garantir senhas únicas, complexas e rotativas para cada computador, o LAPS se torna uma camada crucial de proteção contra ameaças internas e externas, reforçando a segurança do Active Directory e alinhando-se a práticas recomendadas de segurança cibernética.
Seja o primeiro a comentar