Vamos definir um padrão de senhas em computadores em que, de modo seguro, seja alterado de tempos em tempos por uma senha aleatória que fica armazenada de forma centralizada. Evitando o vazamento da mesma.

Basicamente o LAPS expande campos e funções de GPO do Active Directory, também se instala nos computadores através de GPO. Desta forma o cliente no desktop irá, para cada vez que o computador ligar, se comunicar com o Active Directory, consultar um campo do AD do próprio computador que informa a data de expiração da senha de administrador e, estando vencido o prazo, define uma senha randômica, define essa senha como a nova senha do administrador local desse computador e grava essa senha em outro atributo do computador no AD.

Todas essas definições são alteradas via GPO. Dessa forma, quando o computador perde acesso a rede por qualquer motivo, é possível para um administrador localizar esse PC no AD, abrir o atributo de senha dele e consultar qual é a última senha de administrador que funciona neste computador.

Pre-Requisitos

É necessário usar uma conta que tenha permissão para estender o AD (membro do grupo Schema Admins)

Crie, no AD, os grupos:

  • AD – Admin LAPS of Desktops
  • AD – Admin LAPS of Servers

Crie uma pasta Packages, dentro de sua pasta NETLOGON do seu domínio.

Por fim, você precisará de dois DistinguishedNames, um de onde estão os desktops que usaram o LAPS e outra de onde estão os Servidores. Caso não saiba obter o DN, leia nosso post sobre Como obter o Distinguished Name (DN) no Active Directory

Instalando

Baixe o LAPS pelo site da Microsoft, tanto x86 quanto x64, salve na pasta Packages, que foi criada dentro da pasta NETLOGON do seu domínio, para serem disponibilizados por GPO.

Em um DC, instale o LAPS, durante a instalação escolha instalar todos os componentes. Ainda no DC, abra o Powershell como administrador e execute os seguintes comandos:

  • Para instalar o módulo do LAPS, execute o comando: Install-Module -Name AdmPwd.PS
  • Para habilitar o módulo do LAPS, execute o comando: Import-Module AdmPwd.PS
  • Para estender o AD, execute o comando: Update-AdmPwdADSchema
  • Para habilitar que o PC a altere a própria senha, uses os comandos: Set-AdmPwdComputerSelfPermission -OrgUnit “DC=seudominio,DC=com,DC=br”
  • Para dar permissão de administrar as senhas dos desktops, digite os comandos:
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=OU_DE_DESKTOPS,DC=seudominio,DC=com,DC=br" -AllowedPrincipals "AD - Admin LAPS of Desktops"
Set-AdmPwdResetPasswordPermission -OrgUnit "OU=OU_DE_DESKTOPS,DC=seudominio,DC=com,DC=br" -AllowedPrincipals "AD - Admin LAPS of Desktops"
  • Para dar permissão de administrar as senhas dos servidores, digite os comandos:
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=OU_DE_SERVIDORES,DC=seudominio,DC=com,DC=br" -AllowedPrincipals "AD - Admin LAPS of Servers"
Set-AdmPwdResetPasswordPermission -OrgUnit "OU=OU_DE_SERVIDORES,DC=seudominio,DC=com,DC=br" -AllowedPrincipals "AD - Admin LAPS of Servers"

Agora, crie uma GPO chamada Deploy LAPS com as opções de usuários desabilitado, vincule ela na(s) OU(s) dos desktops e de servidores, nesta GPO:

  • Verifique se existe a pasta LAPS, dentro de Modelos administrativos, se não houver vá no seu controlador de domínio e:
    • Vá na pasta %windir%\PolicyDefinitions e copie o arquivo AdmPwd.admx para a pasta %windir%\SYSVOL\SYSVOL\seudominio\Policies\PolicyDefinitions
    • Vá na pasta %windir%\PolicyDefinitions\en-US e copie o arquivo AdmPwd.admx para a pasta %windir%\SYSVOL\SYSVOL\seudominio\Policies\PolicyDefinitions\en-US
  • Nas configurações de computador:
    • Adicione os dois pacotes MSI (usando o caminho de rede), renomeie o nome do pacote de acordo com a versão (x86 ou x64). Em ambas versões (vá na aba Implantação, clique no botão Avançado) marque para ignorar idioma de e na versão x86 desmarque a opção para ser usada em computadores 64bits.
    • Em Modelos administrativos, LAPS:
      • Habilite a opção Password Settings, com a complexividade maior, tamanho de senha de 14 e idade de 30 dias.
      • Habilite a opção de não permitir senhas expiradas mais longas do que a política;
      • Habilite a opção de gerenciar a senha do local admin

Administração no dia a dia

Com o LAPS instalado, instale o módulo de gerência no desktop, abra o powershell com a credencial administrativa e execute:

  • Para habilitar o módulo do LAPS, execute o comando: Import-Module AdmPwd.PS
  • Para obter uma senha, execute o comando: Get-AdmPwdPassword -ComputerName NOME_DO_PC
  • Para solicitar que uma senha seja redefinida, execute o comando: Reset-AdmPwdPassword -ComputerName NOME_DO_PC

Fontes/Referências

NVLAN – Como obter o Distinguished Name (DN) no Active Directory

https://microsoft.com/en-us/download/details.aspx?id=46899
https://social.technet.microsoft.com/Forums/office/en-US/8c7347ce-ca76-4bcf-8391-f2a4cf793bed/problm-with-laps-gpo-options-not-showing-up?forum=winserverGP
https://support.microsoft.com/pt-br/help/3062591/microsoft-security-advisory-local-administrator-password-solution-laps
https://www.petenetlive.com/KB/Article/0001059
https://youtube.com/watch?v=78SE1DYIaxo
https://youtube.com/watch?v=M21S4c1U4sw

Mais Informações

Esperamos ter ajudado da melhor forma possível e estaremos sempre a disposição para mais informações.

Entre em contato conosco pelo e-mail equipe@nvlan.com.br.

NVLAN - Consultoria