LAPS (Local Administrator Password Solution)

O LAPS (Local Administrator Password Solution) é uma solução da propria Microsoft para gerenciar automaticamente as senhas de contas de administrador local em computadores em um ambiente de Active Directory.

Esse sistema gera senhas para cada máquina e armazena essas senhas de maneira segura no Active Directory, assim os administradores “autorizados” podem a recuperar essas senhas quando necessário.

O LAPS era um pacote separado que precisava ser baixado, instalado e configurado manualmente, exigia a instalação de um pacote MSI e a configuração de políticas de grupo (GPOs) para ativar e gerenciar o LAPS e as senhas geradas eram armazenadas como atributos personalizados em objetos de computador no Active Directory.

Agora esse “produto” Microsoft LAPS legado está obsoleto a partir do Windows 11 23 H2 e posteriores.

A recomendação é usar o Windows LAPS, disponível no Windows Server 2019 e posteriores e em clientes Windows 10 e Windows 11 compatíveis, para gerenciar senhas de contas de administrador local.

https://learn.microsoft.com/pt-br/windows-server/identity/laps/laps-overview#deprecation-of-legacy-microsoft-laps-product

Na versão atualizada em sistemas mais modernos como Windows 11 e Windows Server 2019 ou 2022, o LAPS já está integrado ao sistema operacional.

O LAPS do Windows já está disponível nas seguintes plataformas do sistema operacional com a atualização especificada ou instalada posteriormente:

Muito mais fácil de implementar

  • Acesse as Políticas de Grupo (GPO) e localize as configurações do LAPS diretamente no Windows.
  • Defina as políticas de duração da senha, complexidade e onde as senhas serão armazenadas.
  • Verifique as permissões de leitura das senhas para garantir que apenas administradores autorizados possam acessá-las.
  • Utilize o PowerShell para verificar e gerenciar o status do LAPS em dispositivos.

Para saber mais consulte  https://aka.ms/laps 

Ataques e como o LAPS ajuda a proteger

Ataque de Pass-The-Hash

  • Como o LAPS ajuda: O LAPS garante que cada computador tenha uma senha de administrador local única e complexa, dificultando o uso de hashes roubados em outros sistemas.
  • MITRE ATT&CK ID: T1550.002 – Use of Valid Accounts: Pass-The-Hash

Uso de Senha Padrão em Vários Computadores

  • Como o LAPS ajuda: O LAPS gera uma senha exclusiva para cada computador, eliminando o risco de uma senha comum ser explorada em vários sistemas.
  • MITRE ATT&CK ID: T1078.001 – Obtaining Valid Accounts: Local Accounts

Movimentação Lateral (Lateral Movement)

  • Como o LAPS ajuda: Como cada máquina tem uma senha de administrador local única, o atacante não pode reutilizar uma senha comprometida para acessar outros sistemas.
  • MITRE ATT&CK ID: T1078 – Valid Accounts

Força Bruta em Senha de Administrador Local

  • Como o LAPS ajuda: O LAPS gera senhas longas e complexas automaticamente, dificultando ataques de força bruta.
  • MITRE ATT&CK ID: T1110.001 – Brute Force: Password Guessing

Exposição Acidental de Senhas

  • Como o LAPS ajuda: As senhas são armazenadas de maneira segura no Active Directory e só podem ser acessadas por administradores autorizados.
  • MITRE ATT&CK ID: T1555.003 – Credentials from Password Stores

Persistência de Acesso com Contas Locais

  • Como o LAPS ajuda: O LAPS permite que as senhas sejam redefinidas automaticamente em intervalos regulares, garantindo que qualquer senha comprometida seja substituída.
  • MITRE ATT&CK ID: T1078 – Valid Accounts

Elevação de Privilégio (Privilege Escalation)

  • Como o LAPS ajuda: As senhas são complexas e desconhecidas para os usuários locais, dificultando que um usuário comum obtenha acesso de administrador.
  • MITRE ATT&CK ID: T1078 – Valid Accounts

Credenciais em Texto Claro (Credential Dumping)

  • Como o LAPS ajuda: Senhas complexas e rotativas dificultam que um atacante obtenha e reutilize as credenciais extraídas.
  • MITRE ATT&CK ID: T1003 – Credential Dumping

Controle de Acesso ao Active Directory

  • Como o LAPS ajuda: O LAPS permite definir quais usuários têm acesso às senhas de administrador local, reforçando o controle de acesso.
  • MITRE ATT&CK ID: T1484.001 – Group Policy Modification

Conclusão

O LAPS (Local Administrator Password Solution) é uma ferramenta essencial para a segurança de ambientes Windows, garantindo que as senhas de administrador local sejam gerenciadas de forma segura e automatizada. Com sua integração nas versões mais recentes do Windows, o LAPS simplifica o gerenciamento de senhas, evitando ataques comuns, como Pass-The-Hash, movimentação lateral e elevação de privilégios. Ao garantir senhas únicas, complexas e rotativas para cada computador, o LAPS se torna uma camada crucial de proteção contra ameaças internas e externas, reforçando a segurança do Active Directory e alinhando-se a práticas recomendadas de segurança cibernética.

Anúncio

Sobre Daniel Donda 571 Artigos
Olá, meu nome é Daniel Donda e sou especialista em cibersegurança, autor de livros, professor e palestrante. Saiba mais

Seja o primeiro a comentar

Faça um comentário

Seu e-mail não será divulgado.


*