O Microsoft Local Administrator Password Solution (LAPS) é uma ferramenta de gerenciamento de senhas desenvolvida pela Microsoft para melhorar a segurança no ambiente de redes corporativas. Lançado inicialmente em abril de 2015, o LAPS foi projetado para abordar os riscos associados ao uso de senhas estáticas e padronizadas para contas locais de administradores em computadores do domÃnio. Ele gerencia de forma automática e segura as senhas de administradores locais, armazenando-as no Active Directory (AD) para facilitar o acesso seguro quando necessário.
O principal objetivo do LAPS é mitigar as ameaças associadas à elevação de privilégios, ataques de pass-the-hash e movimentação lateral em redes corporativas. Para isso, ele gera senhas exclusivas e aleatórias para cada máquina do domÃnio e garante que essas senhas sejam alteradas regularmente. Além disso, o LAPS armazena essas informações criptografadas diretamente nos atributos do objeto da máquina no Active Directory, permitindo que administradores autorizados recuperem as senhas quando necessário, sem a necessidade de soluções de gerenciamento de senhas separadas.
Com sua integração nativa ao Active Directory, o LAPS é uma solução de baixo custo e fácil implementação para empresas que buscam fortalecer sua postura de segurança. Em abril de 2023, a Microsoft lançou uma versão atualizada do LAPS, integrada diretamente ao Windows 11 e ao Windows Server 2022. Essa nova versão incluia suporte para o Azure Active Directory, oferecendo ainda mais flexibilidade para organizações que operam em ambientes hÃbridos ou em nuvem.
Quando falamos de Windows Server 2025, identificamos que o LPS já vem embarcado de forma nativa, ou seja, não é mais necessário instalar componentes externos para que funcione dentro de nosso ambiente. Sim, ele já vem integrado no Windows Server 2025.
Este artigo demonstra passo a passo como configurar o Microsoft LAPS de forma fácil e rápida utilizando um domÃnio com o Windows Server 2025 e estações de trabalho com Windows 11.
O processo não exige reboot de servidores, contudo, antes de aplicar as configurações em produção, recomendo um estudo prévio e uma GMUD registrada e revisada. É importante compreender que ao habilitar o LAPS em ambientes legado, é possÃvel quebrar o funcionamento de aplicações não mapeadas que utilizem contas administrativas locais.
0.0) Faça o logon em seu controlador de domÃnio e abra o terminal com permissões elevadas.
1) Faça o Update no Schema do AD para suportar o LAPS. Você pode digitar o comando Update-LapsADSchema e conformar item a item digitando S para sim ou A para sim para todos. A figura abaixo demonstra tanto o uso da opção S, indo de item a item, quanto da opção A, aceitando todos os itens de uma vez. Quando você vai de item a item, pode ver (e aprender) quais parâmetros estão sendo trabalhados pelo comando. O bom do laboratório é o aprendizado antes de implantar em produção.
3) Crie uma GPO em nÃvel de domÃnio, O caminho é Configuração do Computador -> PolÃticas -> Modelos administrativos -> Sistema -> LAPS
5) Configure o repositório de backup das senhas. Aqui vamos escolher Active Directory, mas note que é possÃvel escolher também o Microsoft Entra (aqui ainda como Azure AD).
7) Você pode configurar inclusive o que ocorre com a senha após a autenticação do usuário administrativo. Posso deixar a carência de horas em 24, por exemplo, e exigir redefinição da senhas assim que houver o logoff da conta gerenciada.
8) Após a propagação da GPO, note que é possÃvel coletar os dados da estação de trabalho diretamente pelo Active Directory. Se acessarmos as propriedades da estação de trabalho, você encontrará uma aba chamada LAPS e ali as informações de credencial. Também é possÃvel acessar os dados de senha através da Central Administrativa do Active Directory (ADAC).
9) Se as polÃticas demorarem muito para fazer efeito, aplique na estação de trabalho o comando gpupdate /force e depois o gpresult /r para identificar quais polÃticas foram atribuÃdas.
