Lo strumento LAPS, ovvero Local Administrator Password Solutions (Soluzione di Gestione Password per Amministratori Locali), è uno dei più famosi e richiesti dalla community, in quanto consentiva (nella vecchia versione) di cambiare a rotazione la password dell’account amministratore locale salvandone un backup in Active Directory (AD).
Ora è stata rilasciata una versione aggiornata dello strumento che consente l’interazione con ambienti in cloud e on-premise.
Nativamente integrato in Windows con supporto Azure AD
Lo strumento sarà integrato direttamente nel sistema operativo quindi non servirà, come in passato, installarlo manualmente dall’area download di Microsoft.
Quali saranno le nuove caratteristiche di LAPS rispetto alla precedente?
– Creazione di due nuove autorizzazioni Microsoft Graph per recuperare solo i “metadati” della password (ad esempio, per le app di monitoraggio della sicurezza) o la password non crittografata.
– Fornire criteri di controllo degli accessi in base al ruolo di Azure per la creazione di criteri di autorizzazione per il recupero delle password.
– Includere il supporto del portale di gestione di Azure per il recupero e la rotazione delle password.
– Consentire di gestire la funzionalità tramite Intune!
– Ruotare automaticamente la password dopo l’utilizzo dell’account.
Quali saranno le nuove caratteristiche on-premise di LAPS?
– Cronologia password: consente di accedere nuovamente alle immagini di backup ripristinate.
– Backup delle password DSRM (Directory Services Restore Mode): consente di proteggere i controller di dominio ruotando regolarmente queste password di ripristino considerate critiche.
– Modalità di emulazione: utile se si desidera continuare a utilizzare le impostazioni e gli strumenti dei criteri LAPS precedenti mentre ci si prepara a migrare alle nuove funzionalità.
– Rotazione automatica: ruota automaticamente la password dopo l’utilizzo dell’account.
Nuove policy, log e cmdlets powershell
Oltre allo strumento sono state implementate nuove policy di gruppo con numerose impostazioni disponibili tra cui l’abilitazione delle password crittografate, la configurazione della directory di backup e relative settings e molto altro.
Inoltre è stata inserita una voce dedicata in visualizzatore eventi nel percorso Windows > LAPS correlata ai log operativi dello strumento, utile per eseguire debug in caso di problemi.
In powershell invece sono state introdotte nuovi cmdlets, si potrà così impostare la rotazione automatica delle password per un determinato account administrator con il comando Reset-LapsPassword.
Attualmente lo strumento è in anteprima privata ma presto verrà rilasciato in forma definitiva e pubblica. E’ possibile nel mentre fare pratica con la versione legacy dello strumento scaricabile da qui.