LAPS
A Microsoft oferece a Solução de senha de administrador local (LAPS) que fornece uma solução para o problema de usar uma conta local comum com uma senha idêntica em todos computadores em um domínio. A LAPS resolve este problema ao configurar uma senha aleatória diferente para a conta de administrador local comum em todos os computadores no domínio.
Os administradores do domínio que usam esta solução podem determinar quais usuários, como os administradores da assistência técnica, são autorizados a ler senhas.
Recomendação:
Instale a LAPS para gerenciar automaticamente as senhas de conta de administrador local em computadores associados ao domínio para que as senhas sejam exclusivas em cada computador gerenciado, geradas aleatoriamente e armazenadas de forma centralizada na infraestrutura do Active Directory.
A LAPS armazena a senha para cada conta de administrador local do computador no Active Directory, em um atributo confidencial no objeto do Active Directory correspondente do computador. O computador tem permissão para atualizar seus próprios dados de senha no Active Directory, e os administradores de domínio podem conceder acesso de leitura aos grupos ou usuários autorizados, como administradores de assistência técnica da estação de trabalho.
A solução é oferecida gratuitamente pela Microsoft.
Entre em contato com a Dinamio para implementar na sua empresa: comercial@dinamio.com.br
Como funciona a LAPS?
A essência da solução LAPS é a extensão do lado do cliente (CSE) do Objeto de Política de Grupo que executa as tarefas a seguir e podem reforçar as seguintes ações durante a atualização do Objeto de Política de Grupo:
- Verifica se a senha da conta administrador local expirou.
- Gera uma nova senha quando a senha antiga expirou ou é obrigada a ser alterada antes da expiração.
- Valida a nova senha em relação à política de senha.
- Informa a senha ao Active Directory, armazenando-a com um atributo confidencial com a conta do computador no Active Directory.
- Informa o próximo horário de expiração para a senha ao Active Directory, armazenando-a com um atributo confidencial com a conta do computador no Active Directory.
- Altera a senha da conta de administrador.
- A senha então pode ser lida do Active Directory por usuários que têm permissão para fazê-lo. Os usuários qualificados podem solicitar uma alteração de senha para um computador.
Quais são os recursos da LAPS?
A LAPS inclui os seguintes recursos.
- Segurança que fornece a habilidade de:
- Gerar aleatoriamente senhas que são alteradas automaticamente em computadores gerenciados.
- Reduz efetivamente os ataques de PtH que dependem das senhas de conta locais idênticas.
- Reforçar a proteção de senha durante o transporte por meio de criptografia usando o protocolo Kerberos versão 5.
- Usar as listas de controle de acesso (ACLs) para proteger senhas no Active Directory e implementar um modelo de segurança detalhado facilmente.
- Capacidade de gerenciamento que fornece a habilidade de:
- Configurar parâmetros de senha, incluindo a idade, a complexidade e o comprimento.
- Forçar a redefinição de senha por máquina.
- Usar um modelo de segurança integrado com as ACLs no Active Directory.
- Usar qualquer ferramenta de gerenciamento do Active Directory de escolha; ferramentas personalizadas, como o Windows PowerShell, são fornecidas.
- Proteger contra exclusão de contas de computador.
- Implementar facilmente a solução com um espaço mínimo.