Compartilhar via

Introdução à LAPS do Windows durante cenários de implantação e migração

  • Artigo

Há muitos métodos possíveis de implantar a LAPS do Windows ou migrar da LAPS herdada para a LAPS do Windows. Este artigo descreve os cenários básicos, juntamente com dicas e truques interessantes.

Ao migrar dispositivos híbridos existentes da LAPS herdada para a LAPS do Windows, você pode optar por continuar armazenando as senhas no Active Directory ou mudar para armazená-las no Microsoft Entra ID.

Preparação do diretório

A maior parte do conteúdo neste guia não é específica do diretório. No entanto, há algumas etapas preparatórias necessárias para habilitar o diretório (Active Directory ou Microsoft Entra ID) para dar suporte a dispositivos da LAPS do Windows. Essas etapas devem ser seguidas antes da implementação dos outros cenários descritos neste artigo.

Preparar o Windows Server Active Directory

As etapas a seguir devem ser seguidas antes da configuração dos dispositivos ingressados no Azure Active Directory ou ingressados no AD híbrido para fazer backup das senhas de uma conta gerenciada no Azure Active Directory.

  1. Estenda o esquema do AD para dar suporte à LAPS do Windows. Confira Atualizar o esquema do Active Directory do Windows Server.
  2. Se você estiver usando um GPO Central Store, copie manualmente os arquivos de modelo Política de Grupo do Windows LAPS para o repositório central. Confira GPO Central Store.
  3. Atribua permissões de autogravação ao dispositivo. Confira Conceder permissão ao dispositivo gerenciado para atualizar a senha.
  4. Analise, determine e configure as permissões apropriadas para expiração de senha e recuperação de senha. Confira Senhas do Windows Server Active Directory.
  5. Analise e determine os grupos autorizados apropriados para descriptografar senhas. Confira Senhas do Windows Server Active Directory.
  6. Crie uma política da LAPS do Windows direcionada aos dispositivos gerenciados com as configurações apropriadas, determinadas nas etapas anteriores.

Dica

Se você estiver planejando fazer backup apenas de senhas para o Microsoft Entra ID, não precisará executar nenhuma dessas etapas, incluindo a extensão do esquema do AD.

Preparando o Microsoft Entra ID

As etapas a seguir devem ser seguidas antes da configuração dos dispositivos ingressados no Microsoft Entra ou ingressados em modo híbrido para fazer backup das senhas de uma conta gerenciada no Microsoft Entra ID.

  1. Examine a associação das funções internas do Microsoft Entra que têm acesso por padrão às senhas da LAPS do Windows armazenadas no Microsoft Entra ID. Por padrão, essas funções são altamente privilegiadas, portanto, não deve haver surpresas nesta etapa.
  2. Habilite o locatário do Microsoft Entra para dar suporte ao backup de senha da LAPS do Windows. Consulte Habilitar a LAPS do Windows com o Microsoft Entra ID.

Novo cenário de instalação do sistema operacional com uma política da LAPS do Windows

A LAPS do Windows é integrada ao sistema operacional Windows. Ela é um recurso de segurança de linha de base do Windows e não pode ser desinstalada. Portanto, é importante estar ciente do efeito que uma política da LAPS do Windows pode ter durante uma nova instalação do sistema operacional.

O principal fator a saber é que a LAPS do Windows está sempre "ativada". Assim que uma política da LAPS do Windows é aplicada ao dispositivo, a LAPS do Windows começa imediatamente a impor a política. Esse comportamento poderá causar interrupções se, em algum momento, o fluxo de trabalho de implantação do sistema operacional envolver o ingresso de um dispositivo no domínio em uma UO com uma política habilitada da LAPS do Windows. Se a política da LAPS do Windows for direcionada à mesma conta local de logon do fluxo de trabalho de implantação, a modificação imediata resultante da senha da conta local provavelmente interromperá o fluxo de trabalho (por exemplo, após uma reinicialização durante a entrada automática).

A primeira técnica para atenuar esse problema é usar uma UO (unidade organizacional) "de preparo" limpa. Uma UO de preparo é considerada uma base temporária para a conta do dispositivo que aplica um conjunto mínimo de políticas necessárias e não deve aplicar uma política da LAPS do Windows. Somente na conclusão do fluxo de trabalho de implantação do sistema operacional é que a conta do dispositivo é movida para a UO de destino final. A Microsoft recomenda o uso de uma UO de preparo limpa como uma prática recomendada genérica.

Uma segunda técnica é configurar a política da LAPS do Windows para ser direcionada a uma conta diferente da usada pelo fluxo de trabalho de implantação do sistema operacional. Como prática recomendada, todas as contas locais desnecessárias no final do fluxo de trabalho de implantação do sistema operacional devem ser excluídas.

Cenário de nova instalação do sistema operacional com uma política da LAPS herdada

Esse cenário tem as mesmas questões básicas que o cenário de nova instalação do sistema operacional com uma política da LAPS do Windows, mas tem alguns problemas especiais relacionados ao suporte da LAPS do Windows para o modo de emulação herdado da LAPS.

Novamente, o principal fator a saber é que a LAPS do Windows está sempre "ativada". Supondo que todos os critérios do modo de emulação herdado da LAPS sejam atendidos, assim que uma política da LAPS herdada é aplicada ao dispositivo, a LAPS do Windows começa imediatamente a impor a política. Esse comportamento poderá causar interrupções se, em algum momento, o fluxo de trabalho de implantação do sistema operacional envolver o ingresso de um dispositivo no domínio em uma UO com uma política da LAPS herdada habilitada. Se a política da LAPS herdada for direcionada à mesma conta local de logon do fluxo de trabalho de implantação, a modificação imediata resultante da senha da conta local provavelmente interromperá o fluxo de trabalho (por exemplo, após uma reinicialização durante a entrada automática).

A primeira técnica para atenuar esse problema é usar uma UO (unidade organizacional) "de preparo" limpa. Uma UO de preparo é considerada uma base temporária para a conta do dispositivo que aplica um conjunto mínimo de políticas necessárias e não deve aplicar uma política da LAPS herdada. Somente na conclusão do fluxo de trabalho de implantação do sistema operacional é que a conta do dispositivo é movida para a UO de destino final. A Microsoft recomenda o uso de uma UO de preparo limpa como uma prática recomendada genérica.

Uma segunda técnica é configurar a política da LAPS herdada para ser direcionada a conta diferente da usada pelo fluxo de trabalho de implantação do sistema operacional. Como prática recomendada, todas as contas locais desnecessárias no final do fluxo de trabalho de implantação do sistema operacional devem ser excluídas.

Uma terceira técnica é Desabilitar o modo de emulação da LAPS herdada no início do fluxo de trabalho de implantação do sistema operacional e habilitá-lo (se necessário) no final do fluxo de trabalho de implantação do sistema operacional.

Cenário de coexistência (lado a lado) com a LAPS herdada

É possível usar a LAPS do Windows e a LAPS herdado em um cenário lado a lado. Para que o cenário lado a lado seja bem-sucedido, as duas políticas precisam ter como destino contas locais diferentes. No entanto, como meta de longo prazo, você deve migrar a LAPS herdada para a LAPS do Windows.

Cenários de migração da LAPS herdada para a LAPS do Windows em dispositivos existentes

A Microsoft recomenda migrar da LAPS herdada para a LAPS do Windows. Esta seção descreve os procedimentos para realizar essa migração em dispositivos existentes.

Há duas abordagens básicas que podem ser usadas. A primeira abordagem é uma transição imediata, enquanto a segunda abordagem usa um período de coexistência lado a lado seguido de uma transição final.

Abordagem de transição imediata

Você pode migrar imediatamente a LAPS herdado para a LAPS do Windows em dispositivos existentes com as seguintes etapas:

  1. Desabilitar\remover a política da LAPS herdada
  2. Criar e aplicar uma política da LAPS do Windows
  3. Monitorar o dispositivo gerenciado para confirmar uma transição bem-sucedida
  4. Remover o software da LAPS herdada

As duas primeiras etapas devem ser executadas simultaneamente (ou quase).

A abordagem mais fácil para configurar a política da LAPS do Windows é direcioná-la à mesma conta de destino da política da LAPS herdada. Se você optar por direcioná-la a uma conta diferente, será sua responsabilidade criar a conta antes de aplicar a política da LAPS do Windows. A primeira conta deverá ser removida se não for mais necessária.

A política da LAPS do Windows também pode ser configurada com recursos (backup no Microsoft Entra ID ou habilitando a criptografia de senhas do AD) que não estavam disponíveis no software da LAPS herdada.

Quando uma política da LAPS do Windows é aplicada pela primeira vez, o dispositivo gerenciado executa uma rotação imediata da senha da conta local. Você deve monitorar o dispositivo gerenciado para garantir que a transição seja concluída com êxito.

Depois que a transição for concluída, a etapa final será remover o software da LAPS herdada do dispositivo gerenciado.

Abordagem transitória de coexistência lado a lado

Talvez você queira implementar um procedimento de migração mais gradual da LAPS herdado para a LAPS do Windows. As etapas básicas para executar essa transição em dispositivos existentes são as seguintes:

  1. Configurar o dispositivo gerenciado com uma segunda conta local
  2. Criar e aplicar uma política da LAPS do Windows
  3. Monitorar o dispositivo gerenciado para confirmar a aplicação bem-sucedida da política da LAPS do Windows
  4. Desabilitar\remover a política da LAPS herdada
  5. Remover o software da LAPS herdada
  6. Remover a conta extra

Com essa abordagem, é necessário criar uma segunda conta local, pois não há suporte para ter uma política da LAPS do Windows e uma política da LAPS herdada direcionadas à mesma conta.

Depois de confirmar que a LAPS do Windows está funcionando corretamente, você pode deixar o dispositivo gerenciado nesse estado pelo tempo necessário antes de executar o restante das etapas de migração.

Monitorar uma transição bem-sucedida

Há várias abordagens para monitorar um resultado bem-sucedido depois que você faz a transição de um dispositivo gerenciado para uma política da LAPS do Windows:

  • Você pode monitorar o canal de log de eventos da LAPS do Windows do dispositivo gerenciado para eventos de atualização de senha bem-sucedidos (do Microsoft Entra ID ou do AD). Uma solução centralizada de coleta de logs de eventos pode ajudar aqui.
  • Ao armazenar senhas no Active Directory, você pode procurar a aparência de um atributo msLAPS-PasswordExpirationTime novo ou atualizado no objeto de computador do AD do dispositivo gerenciado. O cmdlet Get-LapsADPassword do PowerShell pode ser usado para automatizar essa análise.
  • Ao armazenar senhas no Microsoft Entra ID, você pode verificar os portais de gerenciamento do Microsoft Entra ID ou do Intune para ver se o dispositivo atualizou a senha. O cmdlet Get-LapsAADPassword do PowerShell pode ser usado para automatizar essa análise.

Remover o software da LAPS herdada de um dispositivo gerenciado

As etapas específicas necessárias para remover o software da LAPS herdada do dispositivo gerenciado dependem de como esse software foi instalado inicialmente.

Se você instalou a LAPS herdada usando o pacote do instalador MSI

Nessa situação, você pode desinstalar manualmente o software da LAPS herdada usando o painel de controle para cenários de gerenciamento ad hoc.

Como alternativa, você também pode automatizar esse processo com um comando de desinstalação silenciosa do MSI executado no dispositivo gerenciado:

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Se você instalou a LAPS herdada copiando e registrando manualmente a dll CSE da LAPS herdada

Nessa situação, você precisa cancelar o registro manualmente e, em seguida, excluir a dll CSE da LAPS herdada:

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

Se necessário, o local em que o binário CSE da LAPS herdada foi copiado pode ser consultado no Registro, por exemplo:

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

Veja também

Próximas etapas