Zacznijmy od tego co to jest LAPS
LAPS, czyli Local Administrator Password Solution – to rozwiązanie Microsoftu do zarządzania hasłami konta lokalnego administratora na komputerach podłaczonych do domeny Active Directory. Generowane przez niego hasła są przechowywane w Active Directory oraz generowane losowo – złożoność konfigurowalna za pomocą polityk GPO.
Obecnie Microsoft już udostępnił 2-gą generację tego rozwiązania, nazywającą się Windows LAPS, gdzie poprzednia była oznaczana jako Microsoft LAPS (dzisiaj zwane jako Legacy LAPS).
Jakie zatem korzyści płyną z korzystania z tego rozwiązania:
- Automatyczna rotacja haseł – LAPS regularnie zmienia hasła lokalnych administratorów, co zwiększa bezpieczeństwo i minimalizuje ryzyko przejęcia konta
- Indywidualne hasła dla każdego komputera – zamiast stosowania jednego wspólnego hasła dla wszystkich urządzeń, każde z nich ma unikalne, losowo wygenerowane hasło. Zmniejsza to także pole ataku. Gdy atakujący przejmie uprawnienia administratora lokalnego (RID500, nie z konta domenowego), to posiada je tylko na jednej stacji. Stosując wszędzie to samo hasło, atakujący przejmując jedno hasło administratora, przejmuje dostęp do wszystkich stacji
- Zarządzanie parametrami haseł – za pomocą polityk GPO, można określić, długość, złożoność hasła oraz czas ważności
- Bezpieczne przechowywanie haseł – hasła są zapisywane w Active Directory, a dostęp do nich można kontrolować poprzez odpowiednie uprawnienia
Dodatkowo Windows LAPS rozbudowuje starsze rozwiązanie (Legacy LAPS) o kilka nowych funkcji, powodując znaczne zmniejszenie ograniczeń pierwszej wersji. Między innymi są to:
- Natywna integracja z Windows – Windows LAPS jest wbudowany w system Windows, co eliminuje konieczność instalowania dodatkowego oprogramowania
- Wsparcie dla EntraID (dawne Azure Active Directory) – w najnowszej wersji LAPS umożliwia zarządzanie hasłami w chmurze – hasła są przechowywane w Intune oraz jest łatwiejsza możliwość rotacji hasła z poziomu właściwości urządzenia w Intune
- Szyfrowanie haseł – nowa wersja LAPS pozwala na ich szyfrowanie, co dodatkowo zwiększa poziom ochrony przed nieautoryzowanym dostępem
- Historia haseł – umożliwia odzyskanie wcześniejszych haseł, co może być przydatne w przypadku przywracania systemu z kopii zapasowej
- Szybsza rotacja haseł – legacy LAPS bazuje na politykach GPO, rotacja haseł jest zatem uzależniona od procesu odświeżania polityk. nowa wersja bazuje na harmonogramie, który co godzinę sprawdza ważność hasła a co za tym idzie konieczność jego zmiany
Tabela kompatybilności
Systemy klienckie:
| Windows Vista | Windows 7 | Windows 8/8.1 | Windows 10 | Windows 11 | |
| Microsoft LAPS | X | X | X | X | X |
| Windows LAPS | X | X |
Systemy serwerowe:
| Windows Server 2003 | Windows Server 2008/R2 | Windows Server 2012/R2 | Windows Server 2016 | Windows Server 2019 | Windows Server 2022 | Windows Server 2025 | |
| Microsoft LAPS | X | X | X | X | X | X | |
| Windows LAPS | X | X | X |
Proces zmiany hasła
Na poniższym obrazku, możecie zobaczyć jak wygląda proces zmiany hasła w LAPSie.
Ograniczenia LAPSa
Choć Microsoft LAPS jest skutecznym narzędziem do zarządzania hasłami administratorów lokalnych, ma też pewne ograniczenia:
- Brak dostępu do haseł po odłączeniu urządzenia od domeny – jeśli komputer zostanie usunięty z Active Directory lub Entra ID, zapisane hasło przestaje być dostępne. W przypadku Active Directory mamy możliwość odzyskania obiektu z kosza przez 180 dni, w przypadku EntraID tylko przez 30
- Potrzeba rozszerzenia schematu Active Directory – w przypadku LAPSa konieczne jest modyfikowanie schematu AD, co może być problematyczne w niektórych środowiskach lub wymagać nadania dodatkowych uprawnień
- Hasła przechowywane w postaci niezaszyfrowanej – Legacy LAPS nie wspiera szyfrowania, w Windows LAPS należy tą opcję włączyć. Jednak należy mieć na uwadze, że oba rozwiązania mogą przechowywać hasła czystym tekstem i należy regularnie weryfikować dostęp administratorów do haseł
- Brak historii haseł – legacy LAPS nie wspiera historii haseł, więc mogą zdarzyć się sytuacje, np. problemy sieciowe, w wyniku których hasło przechowywane może być nieaktualne
Mimo tych ograniczeń, LAPS pozostaje jednym z najlepszych rozwiązań do zabezpieczania kont administratorów lokalnych. Już wiecie w jaki sposób on działa, jak wpływa na poprawę bezpieczeństwa. W kolejnych wpisach poznacie w jaki sposób wdrożyć „starego”, jak i „nowego” LAPSa oraz uczynić Wasze środowiska bezpieczniejsze.
3 komentarze do “LAPS – to Twój must have #1”