Modos de gerenciamento de contas do Windows LAPS
Saiba mais sobre os diferentes modos de gerenciamento de contas aceitos pela Solução de Senha de Administrador Local do Windows (Windows LAPS).
Importante
O recurso de gerenciamento automático de contas do Windows LAPS só tem suporte no Windows 11 24H2, Windows Server 2025 e versões posteriores.
Visão geral
O objetivo principal do Windows LAPS é girar regularmente a senha de uma conta local do Windows. Essa conta pode ser a conta de administrador interna ou uma nova conta personalizada. O administrador de TI tem dois modos diferentes à escolha para configurar e gerenciar a conta de destino: manual e automático. Os dois modos têm seus prós e contras.
Há dois modos diferentes disponíveis para gerenciar a conta de destino.
O modo de gerenciamento de contas manual é o modo padrão. No modo manual, o administrador de TI é responsável pela configuração de todos os aspectos da conta gerenciada, exceto a senha, a qual é gerenciada e controlada pelo Windows LAPS.
O modo de gerenciamento de contas automático é um modo opcional. No modo automático, o Windows LAPS é responsável pela configuração de todos os aspectos da conta gerenciada, incluindo criação e exclusão básicas de contas conforme necessário, além da senha da conta.
Modo de gerenciamento de contas manual
O modo manual é o modo padrão. O administrador de TI tem a opção de escolher a conta de administrador interna ou uma nova conta personalizada. Essa opção é configurada por meio da configuração de política AdministratorAccountName. Se a configuração AdministratorAccountName estiver vazia, a conta de administrador interna será gerenciada, caso contrário, AdministratorAccountName especificará o nome de uma conta local personalizada.
Quando uma conta local personalizada é especificada, o administrador de TI é responsável por criar essa conta antes de habilitar a LAPS do Windows – a LAPS do Windows não cria a conta nesse modo. Há muitas maneiras de criar uma conta local:
- Configurando o CSP de contas
- Implantando scripts de gerenciamento orientados por políticas customizados
- Adicionando a conta de destino a uma imagem base do sistema operacional.
Esses mecanismos adicionam complexidade extra que pode ser evitada usando o modo de gerenciamento automático de contas.
Nesse modo, a senha da conta de destino é protegida contra adulteração acidental ou descuidada. Todas as demais alterações de configuração de conta são permitidas.
Modo de gerenciamento de contas automático
O modo automático é um modo desativado por padrão. Uma vez habilitado, o administrador de TI pode escolher entre os seguintes detalhes de configuração:
- Se a conta de administrador interna ou uma nova conta personalizada será usada
- O nome da conta
- Se a conta deve ser habilitada ou desabilitada
- Se o nome da conta deve ser gerado de forma aleatória
Detalhes de configuração automática da conta
Quando o modo automático está habilitado, a conta gerenciada é configurada da seguinte forma:
- Por padrão, a conta torna-se um membro do grupo local de administradores.
- A configuração password-not-required está desabilitada
- O sinalizador password-never-expires está desabilitado
- A descrição da conta é modificada para indicar que o Windows LAPS está controlando a conta
Melhorias e considerações de segurança do gerenciamento automático de contas
Como qualquer conta de usuário, as contas locais do Windows representam um potencial vetor de vulnerabilidade para invasores. Essa ameaça também está presente para contas gerenciadas pelo Windows LAPS, embora seja mitigada em grande parte pelas senhas altamente complexas geradas (e alternadas regularmente) pelo Windows LAPS. O gerenciamento automático de contas oferece duas melhorias que podem mitigar ainda mais as ameaças quando mais garantia é desejada para ambientes de alta ameaça.
Primeiro, manter a conta gerenciada em um estado desabilitado elimina completamente qualquer chance de que a conta possa ser alvo de um spray de senha ou ataque semelhante. No entanto, manter a conta gerenciada em um estado desabilitado introduz atrito: a conta gerenciada deve ser habilitada (por meio de manipulação de política de GPO ou MDM) antes que a conta possa ser usada.
Em segundo lugar, manter um nome de conta gerenciado exclusivo por dispositivo (por meio da randomização do nome da conta) dificulta o trabalho de um invasor. Em vez de saber com antecedência qual conta atacar em todos os dispositivos, o invasor deve de alguma forma descobrir o nome da conta em um determinado dispositivo de destino. Há mais atrito aqui também, pois a equipe de TI deve ser treinada para não confiar em saber um nome de conta gerenciado comum em toda a organização.
Os administradores de TI que implantam o Windows LAPS em um ambiente crítico de segurança devem considerar esses recursos. Se o atrito introduzido pela adoção desses recursos é aceitável depende da frequência com que as contas gerenciadas pelo Windows LAPS precisam ser usadas, além dos requisitos de segurança de um determinado ambiente de TI.
Integração com políticas de gerenciamento de contas locais
O Windows oferece suporte a várias políticas para gerenciar a associação de grupos locais do Windows:
- CSP da política RestrictedGroups
- CSP da Política LocalUsersAndGroups
- Usuários e Grupos Locais (Política de Grupo)
- Grupos Restritos (Política de Grupo)
Cada uma das políticas acima oferece suporte a um modo de configuração que pode ser usado para forçar a remoção de todos os membros de um grupo local especificado. As políticas acima agora ignoram qualquer tentativa de remover a conta gerenciada automaticamente pelo Windows LAPS do grupo local de administradores.
Proteção contra adulterações de conta
A proteção contra adulterações de conta é expandida no modo automático. O Windows LAPS controla todos os aspectos de configuração de uma conta gerenciada automaticamente. Tentativas externas de modificar a conta gerenciada são bloqueadas. Os administradores de TI não devem criar políticas ou scripts que tentem modificar a conta gerenciada.
O Windows LAPS rejeita tentativas inesperadas de modificar a conta com um erro STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Cada rejeição tem um evento associado no canal de log de eventos do Windows LAPS. Os eventos 10101-10104 são registrados e correspondem ao tipo de modificação solicitada (modificação básica, modificação do descritor de segurança, exclusão ou remoção do grupo local de administradores).
Escolha de um modo
O modo manual é a melhor opção para situações que exigem configuração exclusiva e/ou detalhada da conta de destino.
O modo automático é a melhor escolha para situações com requisitos menos detalhados, por exemplo, quando você só precisa que a conta gerenciada esteja disponível e pronta para uso em uma configuração básica com privilégios administrativos. O modo automático também oferece suporte à criação de uma nova conta personalizada.
| Recurso | Modo manual | Modo automático |
|---|---|---|
| Senha controlada pelo Windows LAPS | Sim | Sim |
| O administrador de TI pode personalizar a conta | Sim | No |
| Suporte à criação automática de contas | Não | Sim |
| Suporte à nomeação automática de contas | Não | Sim |
| Suporte à habilitação/desabilitação automática de contas | Não | Sim |
| Suporte à geração aleatória automática de nomes de contas | Não | Sim |
| Suporte à integração com políticas de conta local | Não | Sim |
Importante
A Microsoft recomenda que os clientes prefiram o modo de gerenciamento automático de conta em todos os momentos, exceto para aquelas situações (raras) que exigem configuração exclusiva da conta de gerenciamento de destino. Além disso, é recomendável que o modo de gerenciamento automático de contas seja configurado para criar/direcionar uma conta personalizada e que a conta de administrador interna não seja usada e mantida em um estado desabilitado.
Gerenciamento de contas do Modo de Reparo dos Serviços de Diretório
O Windows LAPS oferece suporte ao gerenciamento da senha da conta do Modo de Reparo dos Serviços de Diretório (DSRM) em controladores de domínio. Os modos de gerenciamento de conta manual e automático descritos neste artigo não se aplicam à conta DSRM.
Confira também
Próximas etapas
Agora que você entende os diferentes modos de gerenciamento de contas, dê uma olhada nestas outras seções.