O Microsoft Local Administrator Password Solution (LAPS) é uma ferramenta de gerenciamento de senhas desenvolvida pela Microsoft para melhorar a segurança no ambiente de redes corporativas. Lançado inicialmente em abril de 2015, o LAPS foi projetado para abordar os riscos associados ao uso de senhas estáticas e padronizadas para contas locais de administradores em computadores do domÃnio. Ele gerencia de forma automática e segura as senhas de administradores locais, armazenando-as no Active Directory (AD) para facilitar o acesso seguro quando necessário.
O principal objetivo do LAPS é mitigar as ameaças associadas à elevação de privilégios, ataques de pass-the-hash e movimentação lateral em redes corporativas. Para isso, ele gera senhas exclusivas e aleatórias para cada máquina do domÃnio e garante que essas senhas sejam alteradas regularmente. Além disso, o LAPS armazena essas informações criptografadas diretamente nos atributos do objeto da máquina no Active Directory, permitindo que administradores autorizados recuperem as senhas quando necessário, sem a necessidade de soluções de gerenciamento de senhas separadas.
Com sua integração nativa ao Active Directory, o LAPS é uma solução de baixo custo e fácil implementação para empresas que buscam fortalecer sua postura de segurança. Em abril de 2023, a Microsoft lançou uma versão atualizada do LAPS, integrada diretamente ao Windows 11 e ao Windows Server 2022. Essa nova versão incluia suporte para o Azure Active Directory, oferecendo ainda mais flexibilidade para organizações que operam em ambientes hÃbridos ou em nuvem.
Quando falamos de Windows Server 2025, identificamos que o LPS já vem embarcado de forma nativa, ou seja, não é mais necessário instalar componentes externos para que funcione dentro de nosso ambiente. Sim, ele já vem integrado no Windows Server 2025.
Este artigo demonstra passo a passo como configurar o Microsoft LAPS de forma fácil e rápida utilizando um domÃnio com o Windows Server 2025 e estações de trabalho com Windows 11.
O processo não exige reboot de servidores, contudo, antes de aplicar as configurações em produção, recomendo um estudo prévio e uma GMUD registrada e revisada. É importante compreender que ao habilitar o LAPS em ambientes legado, é possÃvel quebrar o funcionamento de aplicações não mapeadas que utilizem contas administrativas locais.
Novidades:
As atualizações do Microsoft LAPS (Local Administrator Password Solution) foram anunciadas originalmente em 26 de janeiro de 2024, com o lançamento do Windows 11 Insider Preview Build 26040 (Canary Channel). Agora, essas novidades estão amplamente disponÃveis para todos os usuários no Windows Server 2025 e no Windows 11 Versão 24H2.
Uma das mudanças mais significativas diz respeito à descontinuação do suporte ao Microsoft LAPS herdado (Legacy). A partir do Windows 11 Versão 23H2 e posteriores, o suporte ao LAPS herdado foi removido. Isso significa que o pacote MSI do LAPS herdado da Microsoft não pode mais ser instalado em sistemas que utilizem essas versões mais recentes do Windows. Além disso, a Microsoft anunciou que não realizará mais atualizações de código ou melhorias para o LAPS herdado, marcando o fim de sua evolução como produto.
Essas mudanças reforçam o compromisso da Microsoft em concentrar esforços na nova implementação do LAPS integrada ao Active Directory e ao Azure AD, garantindo maior segurança e gerenciamento centralizado de senhas de administradores locais.
A segunda novidade do Microsoft LAPS, e talvez a mais impactante, é o recurso de detecção e mitigação de reversão de imagem do sistema operacional, que traz uma solução robusta para um problema recorrente em ambientes corporativos.
Contexto do Problema
Quando uma imagem de sistema operacional é revertida — seja por meio de ferramentas como snapshots do Hyper-V, reimplantação de imagens via soluções corporativas, ou outros métodos — ocorre frequentemente um "estado inconsistente". Nessa situação, a senha armazenada no Active Directory deixa de coincidir com o hash local da senha no dispositivo. Isso impede que administradores de TI utilizem a senha gerenciada pelo LAPS para acessar o dispositivo, deixando-o inacessÃvel até que a senha seja alterada. No modelo anterior, essa alteração só ocorria de acordo com o ciclo padrão de rotação de senha, o que poderia levar dias ou até semanas para corrigir o problema.
A Solução do Novo Recurso
Com o novo recurso, o Windows LAPS adiciona um atributo ao esquema do Active Directory chamado msLAPS-CurrentPasswordVersion. Esse atributo armazena um GUID aleatório que é atualizado sempre que uma nova senha é configurada no Active Directory e replicada no dispositivo local. Durante cada ciclo de operação do LAPS, o GUID local é comparado ao valor armazenado no atributo msLAPS-CurrentPasswordVersion. Caso os valores sejam diferentes — indicando uma reversão de imagem —, o LAPS executa imediatamente a rotação da senha, resolvendo a inconsistência no mesmo momento.
Como Habilitar o Recurso
Para utilizar essa funcionalidade, é necessário:
- Atualizar o esquema do Active Directory: Execute o cmdlet
Update-LapsADSchemano PowerShell com a versão mais recente. Isso adicionará o atributo msLAPS-CurrentPasswordVersion ao esquema. - Atualizar os dispositivos gerenciados: Certifique-se de que os dispositivos estejam executando a versão mais recente do Windows LAPS, que automaticamente detectará e utilizará o novo atributo quando ele estiver presente.
BenefÃcios Técnicos
- Resposta imediata: Reduz o tempo necessário para corrigir inconsistências de senha após reversões de imagem.
- Automação inteligente: O processo de detecção e rotação de senha é totalmente automatizado, sem necessidade de intervenção manual.
- Maior resiliência: Evita bloqueios administrativos em cenários de recuperação de sistemas ou manutenção.
Esse avanço no Windows LAPS é uma solução prática e eficiente para melhorar a segurança e a gestão de senhas em ambientes corporativos dinâmicos.
Caso o cmdlet Update-LapsADSchema do PowerShell não seja executado para atualizar o esquema do Active Directory, o Windows LAPS emitirá um aviso no Evento 10108 no Log de Eventos do Windows. Apesar disso, a funcionalidade geral do LAPS não será afetada e continuará a operar normalmente em todos os outros aspectos.
É importante destacar que nenhuma configuração de polÃtica é necessária para ativar ou configurar esse recurso. Assim que o novo atributo de esquema for adicionado, o recurso será automaticamente habilitado.
Observações importantes:
- Compatibilidade limitada: O recurso de detecção e mitigação de reversão de imagem é suportado apenas ao fazer backup de senhas no Active Directory. Não há suporte para o Microsoft Entra ID nesse contexto.
Terceira novidade: Gerenciamento Automático de Contas
Outra funcionalidade marcante introduzida no Windows LAPS é o gerenciamento automático de contas locais, que traz praticidade e segurança para os administradores de TI.
O que o recurso oferece:
- Criação automática de contas locais gerenciadas: O LAPS agora pode criar automaticamente uma conta local no dispositivo, eliminando a necessidade de configuração manual prévia.
- Configuração flexÃvel da conta:
- Personalização do nome da conta.
- Opção de habilitar ou desabilitar a conta conforme a necessidade.
- Randomização do nome da conta para aumentar a segurança e reduzir o risco de ataques direcionados.
- Integração com polÃticas existentes: Este recurso se integra de maneira avançada com as polÃticas de gerenciamento de contas locais já disponÃveis nos sistemas Microsoft, otimizando o gerenciamento centralizado.
BenefÃcios Técnicos:
- Redução de esforço operacional: Automatiza tarefas que anteriormente exigiam intervenção manual, economizando tempo dos administradores.
- Aumento da segurança: A randomização dos nomes de contas locais dificulta a exploração por atacantes.
- Gerenciamento centralizado aprimorado: Facilita a aplicação de polÃticas consistentes em dispositivos gerenciados.
Essas melhorias no Windows LAPS demonstram o foco da Microsoft em modernizar a administração de senhas e contas locais, oferecendo maior automação e segurança.
A quarta novidade do Windows LAPS é a introdução do dicionário de senhas ajustável, que tem como objetivo melhorar a legibilidade das senhas geradas, facilitando seu uso em cenários administrativos.
Nova Configuração: PasswordComplexity
O Windows LAPS agora permite configurar a complexidade das senhas geradas por meio da nova opção PasswordComplexity. Isso possibilita aos administradores criar senhas menos complexas e mais fáceis de usar, sem comprometer a segurança. O recurso continua oferecendo suporte à configuração de complexidade 4, que utiliza todos os quatro conjuntos de caracteres (letras maiúsculas, letras minúsculas, números e caracteres especiais). Entretanto, com a configuração de complexidade 5, o conjunto de caracteres é ajustado para eliminar elementos que possam gerar ambiguidade, como o número "1" e a letra "I".
Alterações no Conjunto de Caracteres (Complexidade 5):
Letras excluÃdas:
- Não serão usadas:
I,O,Q,l,o.
- Não serão usadas:
Números excluÃdos:
- Não serão usados:
0,1.
- Não serão usados:
Caracteres especiais excluÃdos:
- Não serão usados:
,,.,&,{,},[,],(,),;.
- Não serão usados:
Caracteres especiais adicionados:
- Passam a ser usados:
:,=,?,*.
- Passam a ser usados:
Essa configuração torna as senhas mais legÃveis e reduz a possibilidade de confusões comuns em senhas complexas, como a distinção entre o número "0" e a letra "O", ou entre o número "1" e a letra "l".
Vantagens do Dicionário de Senhas Ajustável:
- Melhor usabilidade: Senhas mais fáceis de ler e transcrever reduzem o risco de erros administrativos.
- Flexibilidade: Os administradores podem escolher entre maior complexidade (configuração 4) ou legibilidade (configuração 5), dependendo das necessidades do ambiente.
- Segurança mantida: Mesmo com a simplificação, o uso de caracteres especiais otimizados e um dicionário ajustado garante um bom nÃvel de proteção.
Esse aprimoramento do Windows LAPS reflete a preocupação da Microsoft em equilibrar segurança e usabilidade, atendendo às demandas de ambientes corporativos sem complicar o gerenciamento de senhas.
Outra novidade importante do Windows LAPS é a melhoria no snap-in Usuários e Computadores do Active Directory (ADUC), disponÃvel por meio do Console de Gerenciamento da Microsoft (MMC).
Guia aprimorada no Windows LAPS
A interface agora conta com uma guia dedicada ao gerenciamento de senhas do Windows LAPS, que recebeu atualizações para tornar a experiência mais intuitiva e funcional. Entre os destaques:
Exibição de senha em formato legÃvel:
- As senhas do Windows LAPS são exibidas em uma nova fonte otimizada, projetada para melhorar a legibilidade quando mostradas em texto não criptografado.
- Essa mudança minimiza a confusão ao visualizar ou copiar senhas diretamente pela interface, reduzindo erros comuns, como confundir caracteres similares (por exemplo, "O" e "0").
Acesso centralizado:
- A guia aprimorada permite que administradores acessem rapidamente informações relevantes, como a senha gerenciada, sem precisar navegar por atributos individuais do objeto no Active Directory.
BenefÃcios técnicos da melhoria:
- Redução de erros administrativos: A nova fonte evita ambiguidades na leitura de senhas, especialmente em operações crÃticas.
- Agilidade no gerenciamento: A guia centraliza as funcionalidades relacionadas ao LAPS, tornando o processo de consulta e gerenciamento mais eficiente.
- Experiência moderna: A interface refinada do ADUC reflete o compromisso da Microsoft com a melhoria contÃnua das ferramentas de administração do Active Directory.
Essa atualização no snap-in fortalece ainda mais o conjunto de ferramentas do Windows LAPS, simplificando a gestão de senhas em ambientes corporativos.
VÃdeo passo a passo com a implementação:
Passo a passo completo:
0.0) Faça o logon em seu controlador de domÃnio e abra o terminal com permissões elevadas.
1) Faça o Update no Schema do AD para suportar o LAPS. Você pode digitar o comando Update-LapsADSchema e conformar item a item digitando S para sim ou A para sim para todos. A figura abaixo demonstra tanto o uso da opção S, indo de item a item, quanto da opção A, aceitando todos os itens de uma vez. Quando você vai de item a item, pode ver (e aprender) quais parâmetros estão sendo trabalhados pelo comando. O bom do laboratório é o aprendizado antes de implantar em produção.
3) Crie uma GPO em nÃvel de domÃnio, O caminho é Configuração do Computador -> PolÃticas -> Modelos administrativos -> Sistema -> LAPS
5) Configure o repositório de backup das senhas. Aqui vamos escolher Active Directory, mas note que é possÃvel escolher também o Microsoft Entra (aqui ainda como Azure AD).
7) Você pode configurar inclusive o que ocorre com a senha após a autenticação do usuário administrativo. Posso deixar a carência de horas em 24, por exemplo, e exigir redefinição da senhas assim que houver o logoff da conta gerenciada.
8) Após a propagação da GPO, note que é possÃvel coletar os dados da estação de trabalho diretamente pelo Active Directory. Se acessarmos as propriedades da estação de trabalho, você encontrará uma aba chamada LAPS e ali as informações de credencial. Também é possÃvel acessar os dados de senha através da Central Administrativa do Active Directory (ADAC).
9) Se as polÃticas demorarem muito para fazer efeito, aplique na estação de trabalho o comando gpupdate /force e depois o gpresult /r para identificar quais polÃticas foram atribuÃdas.
