Windows LAPS (acronimo di Local Administrator Password Solution) è un programma che consente di gestire le password degli amministratori locali in Windows. Il software, che è gratuito, automatizza la gestione e l’esecuzione del backup delle password su sistemi desktop e server Windows.
Quali sono i prerequisiti di Windows LAPS?
Microsoft ha incluso la funzionalità aggiornata tramite i suoi aggiornamenti di Windows per integrarla nel sistema operativo anziché un download separato.
Prima di entrare nel dettaglio, è bene sapere che Windows LAPS funziona sia sulle versioni a 32 bit che a 64 bit dei seguenti sistemi operativi Windows su cui è installato l’aggiornamento dell’11 aprile 2023 o successivo:
- Windows 10
- Windows 11 22H2
- Windows Server 2019
- Windows Server 2022
richiedendo che il livello funzionale del dominio sia almeno Windows Server 2003 o successivo.
Perché Windows LAPS è così utile
Le password degli amministratori locali sono sempre state problematiche dal punto di vista della sicurezza. L’upgrade della funzione riduce una parte di questi oneri amministrativi, semplificando la gestione. Entrando più nel merito, gli esperti spiegano come con Windows sussista un problema di sicurezza di base in quanto quasi ogni dispositivo Windows contiene un account amministratore locale. Anche se il dispositivo è connesso ad Active Directory, questi account sono necessari se si verifica un problema di connessione ad Active Directory e l’amministratore ha bisogno di un altro modo per accedere al dispositivo. Per le organizzazioni che desiderano maggiore sicurezza riguardo a queste credenziali, Microsoft ha creato Windows LAPS come funzionalità gratuita nel suo sistema operativo proprio per automatizzare la gestione delle password dell’account amministratore locale. In pratica, essa ruota le password dell’amministratore locale in modo da mantenere l’ambiente più sicuro.
Quali sono le novità della funzionalità?
L’implementazione LAPS originale rilasciata nel 2016 era nota come Microsoft LAPS (a cui Microsoft ora fa riferimento come Microsoft LAPS legacy) funzionava solo con Active Directory. Microsoft ha aggiornato questa funzionalità nell’aprile 2023 per renderla parte nativa del sistema operativo Windows. Windows LAPS archivia le password dell’amministratore locale in Active Directory e nella piattaforma Microsoft di gestione delle identità e degli accessi basata su cloud Microsoft Entra ID (precedentemente nota come Azure Active Directory).
Windows LAPS non solo protegge le password degli account amministratore, ma salvaguarda anche le aziende da diversi tipi di rischi per la sicurezza, inclusi gli attacchi pass the hash. Entrando nel merito, questa tecnica di movimento laterale è un exploit in cui un utente malintenzionato ruba le credenziali di un utente con hash e, senza violarle, le riutilizza per ingannare un sistema di autenticazione e indurlo a creare una nuova sessione autenticata sulla stessa rete.
Un altro miglioramento rispetto alla versione originale è che la nuova versione include un modello di sicurezza a grana fine, supportando il controllo degli accessi basato sui ruoli di Azure. Windows LAPS ha inoltre introdotto la crittografia e la cronologia delle password. Le organizzazioni che utilizzano Active Directory locale devono eseguire un livello funzionale di dominio Windows Server 2016 o versione successiva per utilizzare la funzionalità di crittografia della password. Un’altra novità è la possibilità di automatizzare la gestione e l’archiviazione delle password per l’account in modalità ripristino servizi directory sul controller di dominio.
La modalità ripristino servizi directory (DSRM – Directory Services Restore Mode) è un’opzione di avvio in modalità provvisoria per i controller di dominio Windows Server. DSRM consente a un amministratore di riparare, recuperare o ripristinare un database Active Directory (AD). Il riavvio di un controller di dominio in modalità DSRM lo porta offline in modo che funzioni solo come un normale server.
Quali sono le sue limitazioni?
La maggior parte delle organizzazioni sostituisce semplicemente la versione LAPS legacy con Windows LAPS. Poiché esiste una curva di apprendimento con Windows LAPS, Microsoft offre una modalità di emulazione Microsoft LAPS per farla funzionare Windows LAPS come la versione legacy.
Un’altra opzione consiste nell’utilizzare fianco a fianco sia Microsoft LAPS legacy che Windows LAPS finché non si acquisisce dimestichezza con la nuova versione.
Ma attenzione: Windows LAPS e Microsoft LAPS non possono gestire lo stesso account sullo stesso computer. Per utilizzare entrambe le funzionalità di sicurezza sullo stesso computer sarebbe necessario creare un nuovo account amministratore locale sui dispositivi gestiti con un nome diverso da utilizzare con i criteri LAPS di Windows.
Come distribuire Windows LAPS
Sono disponibili due opzioni per distribuire Windows LAPS. La prima opzione consiste nell’utilizzare Intune per creare criteri LAPS, che vengono distribuiti ai dispositivi Windows gestiti.
L’altra opzione è inviare le impostazioni LAPS ai dispositivi gestiti tramite criteri di gruppo, che è appropriato solo quando si gestiscono dispositivi Windows aggiunti a un dominio.
Come creare i criteri di Intune per Windows LAPS
Per gestire Windows LAPS tramite Intune, bisogna iniziare con l’aprire l’interfaccia di amministrazione di Microsoft Intune, selezionando la scheda Sicurezza endpoint.
Fare clic su Protezione account, quindi sul collegamento Crea policy, mostrato nella Figura 1. L’interfaccia visualizzerà una richiesta per scegliere una piattaforma e un profilo. Impostare la piattaforma su Windows 10 e versioni successive, quindi impostare il profilo su Soluzione password amministratore locale (Windows LAPS).
Quando richiesto, assegnare un nome al profilo e fare clic su Avanti per passare alla schermata Impostazioni di configurazione per specificare la directory di backup, i requisiti di lunghezza e complessità della password e altre impostazioni pertinenti.
Fare clic su Avanti per applicare un tag di ambito personalizzato o utilizzare il tag di ambito predefinito.
Fare nuovamente clic su Avanti per aprire la schermata Assegnazioni e selezionare dove applicare la policy.
Fare clic su Avanti per visualizzare la schermata che mostra un riepilogo delle opzioni di configurazione fornite. È bene prendersi un momento per rivedere queste impostazioni: se tutto sembra a posto, cliccare sul pulsante Crea per creare la policy.
Come impostare criteri di gruppo per Windows LAPS
È possibile utilizzare le impostazioni dei criteri di gruppo per inviare le impostazioni di Windows LAPS ai dispositivi aggiunti al dominio, ma bisogna prima preparare Active Directory. Più specificamente, è necessario estendere lo schema di Active Directory per supportare Windows LAPS e quindi fornire le autorizzazioni necessarie.
È consigliabile eseguire il backup di Active Directory per ripristinare le modifiche, se necessario, poiché l’estensione dello schema di Active Directory è permanente. In seguito, aprire una sessione di PowerShell con privilegi elevati sul controller di dominio e quindi immettere il seguente comando:
Aggiornamento-LapsADSchema
Se viene visualizzato un errore relativo al mancato riconoscimento del comando, verificare che il server disponga di tutti gli aggiornamenti disponibili e confermare il suo ruolo di controller di dominio.
Successivamente, concedere ai computer aggiunti al dominio l’autorizzazione per utilizzare Windows LAPS. Il modo più semplice consiste nel concedere l’autorizzazione al Computer container in Active Directory. La sintassi del comando varierà a seconda della struttura di Active Directory. Ai fini di questo esercizio esemplificativo, è stata creata una foresta a dominio singolo denominata Poseylab.com, eseguendo il seguente comando di PowerShell per assegnare le autorizzazioni necessarie al contenitore Computer predefinito in questo dominio:
Set-LapsADComputerSelfPermission -Identity “CN=Computers,DC=poseylab,DC=com”
Successivamente, configurare i criteri di gruppo per applicare i criteri LAPS di Windows. Utilizzare l’editor Gestione criteri di gruppo per trovare le impostazioni dei criteri di gruppo relative a LAPS nella sezione:
Computer Configuration > Policies > Administrative Templates > System > LAPS
Le password per gli account degli amministratori locali non scompariranno nel breve e nel medio termine e l’aggiornamento di Windows LAPS è il tentativo di Microsoft di gestire al meglio una difficile situazione di sicurezza. Questo processo automatizzato migliora il sistema Microsoft LAPS legacy: ecco perché vale la pena esplorare questa implementazione nel proprio ambiente.
