Olá, pessoal, voltei.
Hoje vim falar sobre segurança, o famoso LAPS.
Já escrevi dois artigos falando sobre o Windows LAPS, um fala sobre o Microsoft LAPS (herdado) e ou sobre o Windows LAPS.
Novidades sobre o Windows LAPS
As novidades que vou falar sobre Windows LAPS forma anunciadas em 26 de janeiro de 2024 no Windows 11 Insider Preview Build 26040 (Canary Channel) mas só agora estão disponíveis para todos na versão do Windows Server 2025 e Windows 11 Versão 24H2.
A primeira novidade se trava de uma nova limitação, o Microsoft LAPS (herdado) não funciona mais a partir da versão Windows 11 Versão 23H2 e posterior. A instalação do pacote herdado do MSI do LAPS da Microsoft está bloqueada nas versões mais recentes do sistema operacional, e a Microsoft deixará de considerar as alterações de código para o produto herdado LAPS da Microsoft.
Aviso ao tentar instalar o pacote msi do Microsoft LAPS (herdado)
Segunda novidade e a que eu acho mais importante e interessante é a Detecção e mitigação de reversão de imagem do sistema operacional Windows LAPS.
Usando esse recurso, O Windows LAPS agora detectará quando ocorreu uma reversão de imagem. Quando uma imagem do sistema operacional dinâmico é revertida (independentemente do mecanismo, por exemplo, reversão de instantâneo do Hyper-V ou por meio de produtos de reimplantação de imagem), o resultado geralmente é uma situação de “estado interrompido” em que a senha armazenada no Active Directory não corresponde mais à senha (hash) armazenada localmente no dispositivo. Quando isso acontecer, o administrador de TI não poderá entrar no dispositivo usando a senha persistente do Windows LAPS. O problema não é resolvido até que a LAPS do Windows gire a senha de acordo com o carimbo de data/hora de expiração de senha normal, o que pode não acontecer por dias ou semanas.
O novo recurso adiciona um atributo do Active Directory “msLAPS-CurrentPasswordVersion” ao esquema Windows LAPS. Esse atributo contém um GUID aleatório que é gravado pelo Windows LAPS no Windows sempre que uma nova senha é mantida no Active Directory, seguida pelo salvamento de uma cópia local. Durante cada ciclo de processamento, o GUID armazenado em msLAPS-CurrentPasswordVersion será consultado e comparado com a cópia persistente localmente; se forem diferentes, a senha será imediatamente girada.
Para habilitar esse recurso, primeiro você deve executar a versão mais recente do cmdlet Update-LapsADSchema do PowerShell. O Windows LAPS observará a presença do novo atributo e começará a usá-lo.
A Windows LAPS registrará um novo evento específico quando uma reversão for detectada, por exemplo:
Mensagem do Log de eventos do Windows do Windows LAPS quando a reversão do sistema operacional é detectada.
Se você não executar a versão atualizada do cmdlet Update-LapsADSchema do PowerShell, o Windows LAPS registrará um evento de aviso 10108 no Log de eventos do Windows, mas continuará a funcionar normalmente em todos os outros aspectos.
Observe que nenhuma configuração de política é usada para habilitar ou configurar esse recurso. O recurso é sempre ativado depois que o novo atributo de esquema é adicionado.
Observação: Esse recurso só tem suporte ao fazer backup de senhas no Active Directory. Não há suporte para o Microsoft Entra ID.
A terceira novidade do Windows LAPS e o gerenciamento automático de contas, que também acho fantástico. Usando esse recurso, os administradores de TI agora podem configurar o Windows LAPS para criar automaticamente a conta local gerenciada. Você também pode configurar o nome da conta, habilitar ou desabilitar a conta e, opcionalmente, randomizar o nome da conta para melhorar a segurança. A integração aprimorada com as políticas existentes de gerenciamento de contas locais da Microsoft também foi adicionada.
Política para configurar o gerenciamento automático de contas.
O objetivo principal do Windows LAPS é girar regularmente a senha de uma conta local do Windows. Essa conta pode ser a conta de administrador interna ou uma nova conta personalizada. O administrador de TI tem dois modos diferentes à escolha para configurar e gerenciar a conta de destino: manual e automático. Os dois modos têm seus prós e contras.
Há dois modos diferentes disponíveis para gerenciar a conta de destino.
O modo de gerenciamento de contas manual é o modo padrão. No modo manual, o administrador de TI é responsável pela configuração de todos os aspectos da conta gerenciada, exceto a senha, a qual é gerenciada e controlada pelo Windows LAPS.
O modo de gerenciamento de contas automático é um modo opcional. No modo automático, o Windows LAPS é responsável pela configuração de todos os aspectos da conta gerenciada, incluindo criação e exclusão básicas de contas conforme necessário, além da senha da conta.
Para saber mais sobre esse recurso, consulte Modos de gerenciamento de contas do Windows LAPS.
Quarta novidade do Windows LAPS é o dicionário de senhas para melhorar a legibilidade.
O Windows LAPS apresenta uma nova configuração PasswordComplexity para que os administradores de TI criem senhas menos complexas. Esse recurso possibilita personalizar o LAPS para usar as quatro categorias de caracteres (letras maiúsculas, letras minúsculas, números e caracteres especiais) como a configuração de complexidade 4 existente. Entretanto, com a nova configuração de 5, os caracteres mais complexos são excluídos, o que melhora a legibilidade da senha e minimiza possíveis confusões. Por exemplo, o número “1” e a letra “I” nunca são usados com essa nova configuração.
Quando PasswordComplexity é configurado como 5, o conjunto de caracteres do dicionário de senha padrão sofre as seguintes alterações:
- Não use estas letras: ‘I’, ‘O’, ‘Q’, ‘l’, ‘o’
- Não use estes números: ‘0’, ‘1’
- Não use estes caracteres “especiais”: ‘,’, ‘.’, ‘&’, ‘{‘, ‘}’, ‘[‘, ‘]’, ‘(‘, ‘)’, ‘;’
- Comece a usar estes caracteres “especiais”: ‘:’, ‘=’, ‘?’, ‘*’
Política para configurações de senha.
O snap-in Usuários e Computadores do Active Directory (pelo Console de Gerenciamento da Microsoft) agora apresenta uma guia aprimorada do Windows LAPS. A senha do Windows LAPS agora aparece em uma nova fonte, que deixa o texto mais legível quando mostrada em texto sem formatação.
Windows LAPS exibindo uma senha usando as fontes antiga e nova.
A quinta novidade, o Windows LAPS, uma nova configuração de política “PassphraseLength” é usada para controlar o número de palavras em uma nova senha. Faz parte em conjunto com a nova configuração PasswordComplexity. Ela controla a quantidade de palavras usadas na senha.
Quando você cria uma senha, a quantidade especificada de palavras é selecionada aleatoriamente na lista de palavras escolhida e, depois, é concatenada. Para melhorar a legibilidade, a primeira letra de cada palavra é maiúscula. Esse recurso também possibilita o backup total de senhas para o Windows Server AD ou o Microsoft Entra ID.
Configuração de comprimento da frase secreta do Windows LAPS.
As listas de senhas usadas nas três novas configurações de senha PasswordComplexity são provenientes do artigo da Electronic Frontier Foundation, “Deep Dive: EFF’s New Wordlists for Random Passphrases. O arquivo Windows LAPS Passphrase Word Lists é usado sob a licença do CC-BY-3.0 Attribution e está disponível para download.
A sexta novidade o Windows LAPS suporte de PostAuthenticationAction para encerrar processos individuais.
Uma nova opção foi adicionada à configuração da Política de Grupo PostAuthenticationActions (PAA), “Redefina a senha, saia da conta gerenciada e encerre todos os processos restantes”, localizada em Configuração do Computador > Modelos Administrativos > Sistema > LAPS > Ações de Pós-autenticação.
Política para configurar ações pós-autenticação.
Essa nova opção é uma extensão da opção anterior, “Redefina a senha e saia da conta gerenciada”. Depois de configurado, o PAA notifica e encerra todas as sessões de acesso interativas. Ele enumera e encerra todos os processos restantes que ainda estão em execução sob a identidade de conta local gerenciada pelo Windows LAPS. É importante observar que não há qualquer notificação antes desse encerramento.
Além disso, a expansão do registro de eventos durante a execução da ação pós-autenticação contém insights mais detalhados sobre a operação.
Há mais uma novidade do Windows LAPS, mas, no momento, não posso revelá-la. Vou deixar sua imaginação adivinhar qual será essa nova funcionalidade do Windows LAPS. Quando eu puder falar, vocês serão os primeiros a saber.
Referências
https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-concepts-overview
https://learn.microsoft.com/pt-br/windows-server/get-started/whats-new-windows-server-2025
Inscreva-se no meu canal do YouTube ative o sininho para receber as notificações!
Há 10 anos atuo na área de TI focado em suporte e administração de infraestrutura, especializado em plataformas Microsoft. Tenho grande experiência em troubleshooting, implantação, configuração e administração de funções e recursos de tecnologia Microsoft. Formado em Redes de Computadores pela faculdade Estácio de Sá de Belo Horizonte.
Comecei a compartilhar o meu conhecimento no ano de 2012, fazendo artigos e vídeos para o meu Blog. Em 2017 comecei a escrever artigos para o portal Cooperati.
Sou apaixonado em compartilhar o meu conhecimento. Meu lema é: um conhecimento só é válido quando compartilhado.
No responses yet