Proteja as Senhas de Administrador do Windows com o Microsoft LAPS

Tutoriais

**Como você lida atualmente com as senhas locais do administrador do Windows? Cada sistema Windows tem uma e elas são as chaves do reino de cada PC. Como as senhas do administrador local não fazem parte do Active Directory (AD), é necessário gerenciar cada conta em cada computador separadamente. É uma dor de cabeça.

Muitas vezes, as organizações não dão muita importância e apenas definem uma senha padrão de administrador em cada máquina Windows. Essa prática, embora conveniente, expõe as organizações a um problema muito maior quando essa única senha mestra cai em mãos erradas. Ter uma senha de administrador local separada em cada computador não impede necessariamente que uma pessoa mal-intencionada acesse um PC, mas evita consideravelmente a exploração lateral de outros PCs.

O Microsoft Local Administrator Password Solution (LAPS) pode ajudar.

Neste artigo, você vai aprender como proteger seus computadores associados ao AD configurando o LAPS.

O que é o Microsoft LAPS?

O LAPS é uma parte vital para manter um ambiente Windows seguro. O LAPS é uma ferramenta que funciona de maneira inteligente; ele randomiza automaticamente a senha do administrador local em todos os computadores do domínio com o LAPS ativado e altera cada senha regularmente.

LAPS garante que você tenha senhas de administrador local randomizadas em toda a sua rede e impede movimentos laterais de hackers e malware. Agora, você pode pensar que uma senha longa de administrador local no cliente pode protegê-lo disso, mas isso não é verdade.

Os hackers podem usar um método de Pass-The-Hash para se espalharem rapidamente por sua rede e até mesmo encontrar credenciais de administrador de domínio usando o mesmo método. O LAPS previne essa atividade forçando indivíduos maliciosos a descobrir uma senha para cada máquina individualmente.

Prática do LAPS

O LAPS tem três partes principais:

Atributos AD Bloqueados

O LAPS armazena cada senha de administrador local para cada computador controlado no AD, chamado de ms-Mcs-AdmPwd. O LAPS também precisa saber quando as senhas expiram para alterá-las, então ele armazena outro atributo AD chamado ms-Mcs-AdmPwdExpirationTime. Esses atributos AD só podem ser lidos/gravados por princípios específicos do AD, como um grupo ou um usuário, e também podem ser gravados pela conta do computador que está usando a senha.

Configurações de GPO

Para provisionar o LAPS em um computador e alterar a senha, o LAPS também possui um conjunto de configurações de GPO. Quando a GPO está vinculada a um conjunto de computadores, as configurações do LAPS são distribuídas para cada computador. Quando o computador aplica as configurações de GPO, o LAPS usa um arquivo DLL especial para interpretá-las.

Quando o LAPS percebe que a data atual ultrapassou a data de expiração da senha, ele irá:

  • Randomizar uma nova senha e defini-la como a senha do administrador local.
  • Escrever a nova senha do administrador local no atributo Ms-Mcs-AdmPwd no AD.
  • Escrever uma nova data de expiração em ms-Mcs-AdmPwdExpirationTime.

Usando este método inteligente, mas simples, os computadores do domínio ficam ainda mais seguros.

Configurando o LAPS

Informações suficientes, vamos ver o que o LAPS pode realmente fazer! Configurar o LAPS não é complicado, mas requer alguns passos que você aprenderá neste tutorial. Eles são:

  1. Instalando as Ferramentas de Gerenciamento do LAPS em sua máquina de administração.
  2. Estendendo o esquema do AD para adicionar os dois atributos personalizados que o LAPS utiliza.
  3. Configurando privilégios apropriados para vários componentes no AD.
  4. Construindo a GPO do LAPS que será aplicada aos computadores com Windows.
  5. Implantando a Extensão da GPO do LAPS nos computadores com Windows aplicáveis.

Depois de concluir essas etapas, você terá um ambiente LAPS totalmente funcional pronto para uso!

Pré-requisitos

Neste artigo, você estará configurando o LAPS de verdade. Se deseja acompanhar, certifique-se de atender a alguns pré-requisitos primeiro.

  • Um Domínio AD (2003 e superior)
  • A computer running Windows (10 or Server 2012+ is recommended) has RSAT for Active Directory installed.
  • Acesso a uma conta que seja membro dos grupos AD Domain Admins e Schema Admins.

Todos os exemplos neste artigo estarão usando um domínio AD chamado contoso.com.

A melhor prática para o grupo de administradores de esquema é ser membro apenas quando precisar das permissões.

Instalando as Ferramentas de Gerenciamento do Microsoft LAPS

Para começar, você primeiro precisa instalar as Ferramentas de Gerenciamento do LAPS no seu computador de administração. Essas ferramentas de gerenciamento irão instalar tanto a extensão GPO do LAPS (se selecionada) quanto as ferramentas de gerenciamento para configurar o LAPS.

  1. Comece baixando o arquivo LAPS.x64.msi e execute-o como administrador e clique em Avançar.
Installing Microsoft LAPS

2. Pressione Avançar até chegar à configuração personalizada, então clique em Ferramentas de Gerenciamento e Instalar todo o recurso no disco rígido local para instalar ambos os componentes. Se você não deseja que a máquina atual seja gerenciada pelo LAPS, então selecione Extensão GPO AdmPwd.

Click Management Tools

3. Clique em Avançar até a instalação terminar e saia do instalador.

Agora você instalou as extensões GPO do LAPS (se selecionadas) e suas ferramentas de gerenciamento e agora podemos começar a estender o esquema AD e adicionar nossas GPOs.

Estendendo o Esquema AD

Como mencionado anteriormente, o LAPS usa dois atributos AD chamados ms-Mcs-AdmPwd e ms-Mcs-AdmPwdExpirationTime. Esses dois atributos não são padrão e devem ser adicionados ao esquema AD.

  1. Comece adicionando um membro do grupo Administradores de Domínio ao grupo Administradores de Esquema se a conta ainda não for membro. Vamos chamar isso de sua “conta de administrador”.
  2. Comece o PowerShell como sua conta de administrador e importe o módulo AdmPwd PowerShell executando Import-module AdmPwd.PS.
  3. Após a importação do módulo, execute o comando Update-AdmPwdADSchema para atualizar o esquema AD adicionando os dois atributos AD. Você pode ver a saída na captura de tela a seguir.
Powershell Admin Account

Agora você estendeu nosso esquema AD para suportar o LAPS e está pronto para definir permissões no Active Directory.

Configurando Permissões no Active Directory

Cada computador precisa da capacidade de atualizar sua senha de administrador local e o atributo de tempo de expiração no AD. Para fazer isso, cada computador deve ter permissão de auto-escrita nos atributos AD ms-Mcs-AdmPwd e ms-Mcs-AdmPwdExpirationTime. Felizmente, a maior parte desse trabalho é facilmente feita com o módulo AdmPwd PowerShell.

Permitindo que as Máquinas Salvem Suas Senhas

Primeiro, garanta que cada computador possa salvar sua senha no atributo AD ms-Mcs-AdmPwd e atualizar quando essa senha expira no atributo AD ms-Mcs-AdmPwdExpirationTime. O módulo AdPwd PowerShell possui um comando que você pode usar para definir essas permissões chamado Set-AdmPwdComputerSelfPermission por unidade organizacional (OU), o qual se aplica a todas as OUs filhas.

No PowerShell, execute Set-AdmPwdComputerSelfPermission -OrgUnit ‘OU=Estações de Trabalho,DC=contoso,DC=com’, lembrando de atualizar a sua Unidade Organizacional (OU) específica e nome de domínio.

Update OU and Domain Name

Se desejar que o LAPS controle mais UOs, repita o comando acima para cada OU no AD.

Bloqueando Atributos do AD ao Encontrar Direitos Estendidos

Para garantir que apenas os usuários e grupos autorizados tenham permissões para ler e redefinir a senha de administrador local de cada computador, é necessário auditar quem possui acesso. Especificamente, é preciso saber que apenas as contas que precisam dos “Direitos Estendidos” os têm.

Para encontrar contas com direitos estendidos, execute Find-AdmPwdExtendedRights -OrgUnit 'OU=Estações de Trabalho,DC=contoso,DC=com' | Select -ExpandProperty ExtendedRightHolders, garantindo a substituição da sua OU e nome de domínio.

Agora é possível ver na captura de tela a seguir que CONTOSO\joe-the-admin e CONTOSO\MDT-service têm direitos estendidos para a OU Estações de Trabalho.

Workstations OU

A permissão do MDT-service realmente precisa do direito estendido, mas joe-the-admin não. Agora é necessário remover a permissão para joe-the-admin.

É preciso repetir esse processo para todas as UOs em que você definiu a permissão de autogeração anteriormente.

Removendo Direitos Estendidos

Depois de identificar cada conta para remover os direitos estendidos, agora é hora de fazer isso.

  1. Abra o Active Directory Users And Computers e clique em Exibir no menu superior e certifique-se de que Recursos Avançados esteja habilitado. Quando você ativa os recursos avançados, verá todas as UOs normalmente ocultas, conforme mostrado na captura de tela a seguir.
Hidden OUs

2. Clique com o botão direito na UO da qual deseja remover os direitos estendidos e clique em Propriedades

Right Click OU to Remove

3. Clique na guia Segurança e, em seguida, clique no botão Avançado.
4. Encontre a conta ou grupo para o qual deseja remover os direitos estendidos e remova selecionando e clicando em Remover.

Security Tab for Account Removal

5. Repita essas etapas conforme necessário para todos os princípios com direitos estendidos.

Dando Permissão para Ler e Redefinir a Senha do Administrador Local

Agora que você garantiu que apenas contas apropriadas tenham direitos estendidos, agora precisa criar dois grupos AD para ler e redefinir a senha do administrador local chamados LAPS Leitura da Senha das Estações de Trabalho e LAPS Redefinição da Senha das Estações de Trabalho.

Observe que os nomes dos grupos especificados aqui não são obrigatórios. Você pode usar qualquer nome de grupo que desejar.

Com um console PowerShell ainda aberto com sua conta de administrador, insira os seguintes comandos para dar permissão a ambos os grupos AD para ler a senha do administrador local para computadores na Estações de Trabalho.

PS> Set-AdmPwdReadPasswordPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' -AllowedPrincipals "LAPS Workstations Password Read"

PS> Set-AdmPwdResetPasswordPermission -OrgUnit 'OU=Workstations,DC=contoso,DC=com' -AllowedPrincipals "LAPS Workstations Password Reset"

Agora você habilitou os grupos AD acima para ler e redefinir as senhas de administrador local para computadores na OU Estações de Trabalho. Agora você precisa adicionar os administradores ou grupos necessários para ler ou redefinir as senhas.

Criando um Armazenamento Central para modelos de Política de Grupo

Para que o LAPS se habilite uma vez instalado nos computadores, primeiro crie uma política de grupo importando os modelos de política de grupo para o armazenamento PolicyDefinition. O armazenamento PolicyDefinition é uma pasta localizada em todos os controladores de domínio.

Nunca habilite uma GPO do LAPS que tenha como alvo os controladores de domínio. Não é suportado e pode causar problemas inesperados.

  1. Escolha um controlador de domínio no AD; qualquer controlador de domínio servirá.
  2. Verifique se \\contoso.com\SYSVOL\Policies\PolicyDefinitions existe. Se não existir, crie agora.
  3. Copie o conteúdo de C:\Windows\PolicyDefinitions no seu computador de administrador (aquele em que você instalou o LAPS) para a pasta \\contoso.com\SYSVOL\Policies\PolicyDefinitions no controlador de domínio.

Criando a GPO

Agora vamos copiar os modelos de GPO do LAPS para o Armazenamento Central (pasta PolicyDefinitions).

  1. Abra o Group Policy Management sob sua conta de administrador, clique com o botão direito na Unidade Organizacional (OU) em que deseja habilitar o LAPS e clique em Vincular um GPO Existente…
Group Policy Management

2. Navegue até Configuração do Computador —> Modelos Administrativos —> LAPS e defina Habilitar gerenciamento de senha de administrador local como Habilitado. Se tiver requisitos diferentes para a complexidade da senha, edite as Configurações de Senha conforme necessário.

Linking GPO to all OUs

Você está quase lá! Agora, vincule este GPO a todas as UOs em que deseja usar o LAPS.

Implantando a extensão do GPO do LAPS

Assim que o GPO for aplicado a todas as UOs relevantes com computadores, agora você precisa implantar a extensão do GPO do LAPS. Você tem algumas maneiras diferentes de instalar essa extensão, seja instalando o MSI (como mostrado anteriormente) ou registrando o arquivo DLL do LAPS.

Se optar por instalar o MSI, em cada computador dentro de uma UO controlada pelo LAPS, execute o seguinte comando para habilitar o LAPS.

> msiexec /q /i \\server\share\LAPS.x64.msi

Se optar por habilitar o LAPS registrando o DLL, você pode fazer isso com o seguinte comando.

> regsvr32.dll \\server\share\AdmPwd.dll

Você pode usar qualquer ferramenta de execução remota que tenha para executar esses comandos nos computadores.

Implantando o MSI do LAPS com um GPO

O uso de um GPO é o método mais fácil para garantir que a extensão do GPO do LAPS seja instalada em todos os computadores.

  1. Copie LAPS.x64.msi para um compartilhamento de rede acessível por todos os Computadores de Domínio.
  2. Abra o Gerenciamento de Política de Grupo em seu computador de administração e crie uma GPO chamada Instalar LAPS ou algo semelhante.
Creating GPO called Install LAPS

3. Clique com o botão direito na GPO Instalar LAPS, clique em Editar e navegue até Configuração do Computador —> Políticas —> Configurações de Software —> Instalação de Software.

LAPS GPO Software Installation

4. Clique com o botão direito em Instalação de Software e navegue até Novo—> Pacote…

GPO New Package

5. Navegue até o compartilhamento onde você copiou LAPS.x64.msi, selecione-o, clique em OK e selecione Atribuído.

Assigning LAPS.x64.msi

6. Agora, vincule a GPO às mesmas UOs que você configurou o LAPS para. Você está pronto para testar o LAPS!

Testando o LAPS

Para garantir que o LAPS esteja funcionando conforme projetado nos computadores controlados, vamos forçar um dos computadores a aplicar a GPO mencionada e ver o que acontece.

  1. Reinicie um computador que está localizado em um dos UOs que você acabou de configurar. Uma vez reiniciado, o computador deve começar a instalar o LAPS.
  2. Depois que o LAPS for instalado no computador, reinicie a máquina novamente e abra um console do PowerShell como administrador em seu computador de administração, como uma conta que seja membro dos grupos AD LAPS Workstation Password Read e LAPS Workstation Password Reset.
  3. Execute o comando Get-AdmPwdPassword <nomedocomputador> usando o nome do computador que você acabou de reiniciar e instalar o LAPS. Se tudo ocorreu bem, você verá algo semelhante à saída mostrada na captura de tela a seguir.
LAPS Installation Output

4. Agora tente fazer login no computador controlado pelo LAPS usando a senha exibida acima. Se funcionar, você terá acesso.
5. Agora tente redefinir a senha executando o comando Reset-AdmPwdPassword <nomedocomputador> e reinicie o computador. Veja como a senha foi alterada na captura de tela a seguir.

LAPS Password Reset

Agora o LAPS está funcionando em seu ambiente. Embora a administração seja bastante fácil, há algumas coisas que você deve saber…

Dicas e truques para usar o LAPS na prática

Embora a configuração acima seja suficiente para a maioria dos ambientes menores, ela pode ser insegura ou não oferecer o nível de auditoria necessário para organizações maiores. Aqui estão algumas dicas para torná-lo funcional no mundo real.

1. Ative a auditoria

A auditoria quando alguém lê ou redefine uma senha é importante, especialmente considerando que você pode configurar alarmes para isso se alguém ler a senha de todos os computadores. Felizmente, o módulo AdmPwd nos fornece um cmdlet para habilitar essa funcionalidade.

PS> Set-AdmPwdAuditing -AuditedPrincipals Everyone -OrgUnit "OU=Workstations,DC=contoso,DC=com"

2. Garanta que nenhum usuário possa ler diretamente o atributo AD ms-mcs-AdmPwd.

Uma maneira de garantir que um usuário não consiga ler o atributo ms-mcs-AdmPwd do AD é criar um método de autoatendimento para obter a senha de administrador local de um computador. Embora esteja fora do escopo deste artigo, confira ferramentas como JEA ou WebJEA se você não tiver um portal de autoatendimento existente adequado para isso.

3. Redefinir o Atributo Ms-Mcs-AdmPwdTime Durante a Imagem de Disco

Você deve se lembrar de redefinir o atributo Ms-Mcs-AdmPwdTime ao reimager um computador controlado pelo LAPS, caso contrário, não acionará a alteração da senha e manterá a senha de administrador local fornecida pela imagem. No entanto, ela será acionada após a expiração de Ms-Mcs-AdmPwdTime.

Você pode usar o seguinte comando PowerShell para redefinir o ExpirationTime sem o módulo AdmPwd:

# Com RSAT 
Get-ADComputer Workstation1 | Set-ADObject -Replace @{"ms-mcs-AdmPwdExpirationTime"=(Get-Date)} 

# Sem RSAT
$Computer = New-Object DirectoryServices.DirectoryEntry "LDAP://CN=Workstation1,OU=Workstations,DC=contoso,DC=com"
$Computer.'ms-Mcs-AdmPwdExpirationTime'.Clear()
$Computer.CommitChanges()

4. Lembre-se de que o Atributo ms-Mcs-AdmPwd Permanece na Lixeira do AD

Ao excluir um objeto no AD e ter a Lixeira do AD ativada, o AD geralmente remove atributos importantes; felizmente, o ms-Mcs-AdmPwd está protegido contra isso!

5. O LAPS Não é para Acesso Temporário

Embora seja tentador, o LAPS não é destinado a fornecer acesso temporário a fornecedores, usuários e outros tipos de contas. Em vez de usar o LAPS, utilize um grupo do AD que seja administrador local daquele computador específico e utilize Tempo de Vida em associações de grupos.

Conclusão

Agora você aprendeu como implantar o LAPS, configurar suas permissões e algumas dicas e truques para torná-lo mais seguro. Com um ambiente onde o LAPS está implantado, a senha do administrador local é alterada regularmente e automaticamente. Isso reduz significativamente os riscos de um computador associado ao domínio ser comprometido por hackers ou malware e esperamos que isso o livre de muitas dores de cabeça.

Se você tiver alguma dúvida, sinta-se à vontade para me enviar um tweet em @AlexAsplund ou deixar um comentário abaixo.

Source:
https://adamtheautomator.com/microsoft-laps/