Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosBlog
5 principais dicas para solução de senha de administrador local (LAPS)

5 principais dicas para solução de senha de administrador local (LAPS)

Dec 2, 2021

A conta de administrador local do Windows é um alvo cobiçado por hackers e malware. Há potencialmente muitas coisas ruins que podem acontecer se um hacker conseguir invadir a conta de admin local de um dos seus servidores.

Coisas terríveis geralmente ocorrem quando alguém baixa uma cepa de malware malicioso usando a conta de administrador também. A magnitude desses problemas é amplificada ainda mais se você usar a conta de administrador padrão e cada máquina similar usar a mesma senha.

Você pode ter a senha mais complexa do mundo, mas uma vez que ela seja comprometida em uma máquina, torna-se um convite aberto para todos os outros dispositivos que usam as mesmas credenciais de administrador local.

Claro, você poderia personalizar as credenciais de administrador local para cada dispositivo Windows, mas isso pode se mostrar extremamente demorado sem mencionar a tarefa de inventariar os vários conjuntos de credenciais. O processo se torna praticamente inviável quando você habilita a atualização de senhas (o que você deveria fazer, claro). É por isso que muitos administradores frequentemente apenas desabilitam isso.

Mas é compreensível ter algum tipo de conta de administrador local para “chegar e consertar a máquina” como redefinir a relação de confiança do domínio ou configurar um endereço IP manualmente, e assim por diante.

Se ter a mesma senha de administrador local em cada máquina é uma péssima ideia, o que pode ser feito a respeito?

Dica 1: Use o Microsoft Local Administrator Password Solution (LAPS)

Microsoft Local Administrator Password Solution (LAPS) is a Microsoft tool that gives AD administrators the ability to manage the local account password of domain-joined computers and store them in AD.

When implemented via Group Policy, LAPS creates a random password of a defined length and complexity that is cryptographically secure and different every time, on every machine. It then applies the newly created password to the Local Administrator account and records the password in a secure field in your Active Directory schema. They can then be retrieved when access is needed to the account. The process is done automatically whenever a Group Policy defined password refresh is due.

LAPS tem alguns requisitos para ser implementado:

  • Aplica-se apenas a dispositivos Windows
  • Os dispositivos devem estar vinculados ao domínio
  • É necessário uma extensão gratuita do lado do cliente de Group Policy
  • É necessário uma extensão de esquema (não se assuste).
  • Isso só funciona para a conta de administrador local
  • Funciona apenas para UMA conta de administrador local (caso você tenha mais de uma).

Dica 2: LAPS e Group Policy

Como mencionado, o LAPS é implantado usando o Group Policy, o que significa que requer a criação de um GPO. Primeiro você precisa baixar o LAPS, o que pode fazer aqui.
Então use o assistente para instalá-lo em sua máquina Group Policy Management. Você vai querer fazer isso manualmente, e tipicamente NÃO de alguma forma automatizada.

Image

Certifique-se de selecionar pelo menos os Modelos de Editor de GPO para acessar os arquivos ADMX necessários. O cliente robusto é uma interface gráfica do usuário que concede a um usuário com direitos aplicáveis a capacidade de consultar a senha para um dispositivo designado. Você só precisa instalar as Ferramentas de Gerenciamento, e não a “Extensão de GPO AdmPwd” em sua máquina (a que possui o GPMC).

Image

Você deve então acessar a pasta PolicyDefinitions local e copiar os arquivos AdmPwd.admx e AdmPwd.adml e colá-los na central store do AD. (Confira este video sobre esse processo).

Image

Em seguida, precisamos estender o Esquema AD para acomodar as senhas locais.

Os dois atributos necessários são:

  • ms-Mcs-AdmPwd – Armazena a senha em texto claro
  • ms-Mcs-AdmPwdExpirationTime – Armazena o tempo para redefinir a senha

Para atualizar o esquema, basta importar o módulo AdmPwd PowerShell e usar o comando update-AdmPwdADSchema conforme mostrado abaixo.

Image

O próximo passo é criar um GPO do lado do computador. Para este exemplo, vou chamá-lo de Política LAPS. As configurações do LAPS agora aparecerão em Configuração do Computador > Modelos Administrativos > LAPS onde 4 configurações estão disponíveis conforme mostrado abaixo.

Image

Você pode usar seu LAPS GPO para gerenciar a senha tanto para o administrador local padrão quanto para uma conta de administrador local personalizada. Abaixo, eu ativei a configuração “Enable local admin password management”.

Image

Se você renomeou a conta de administrador local (o que deveria fazer), pode então especificar o nome atualizado. Uma vez que a conta de administrador está selecionada, o passo final é habilitar a configuração de Group Policy que configura as definições de senha (que incluem comprimento e validade da senha).

Uma vez configurado, basta implantar o software de extensão do lado do cliente LAPS através do seu método de implantação de software desejado, como o PDQ Deploy. Você só precisa da parte “GPO Extension” se for fazer um teste inicial manualmente. Você pode ver isso aqui.

Image

Você também pode usar o PolicyPak para obter mais controle sobre o processo de implantação. Mais sobre isso em apenas um minuto.

Dica #3: Obtendo senhas quando necessário via LAPS

Então, chega o dia em que você precisa saber qual é a senha gerada atualmente para uma das suas máquinas Windows. Como você faz isso? Existem várias maneiras. Uma delas é usar o seguinte comando do PowerShell.

Get-AdmPwdPassword -Computername “nome do computador”

Image

Se você instalou o LAPS Fat Client, pode acessar o aplicativo LAPS UI no seu menu iniciar.

Image

Dica #4: Atribua Políticas LAPS Granulares aos Usuários por meio de Direcionamento por Item

A PolicyPak oferece todas as configurações de template ADMX em seu PolicyPak Admin Templates Manager e nós as atualizamos a cada novo lançamento de ADMX. Há muitas vantagens em usar o Admin Templates Manager em vez da política de Grupo padrão.

PolicyPak utiliza o Editor de Política de Grupo conforme mostrado abaixo, mas adiciona um superpoder secreto.

Image

O principal benefício é que o PolicyPak pode utilizar o Item-level Targeting para qualquer configuração de Group Policy, incluindo LAPS.

Se você está familiarizado com as Preferências de Política de Grupo, então já sabe como o ILT oferece muito mais granularidade em relação à atribuição de políticas. Por exemplo, digamos que todas as contas de administrador local nos seus servidores se chamam ServAdm1n e você deseja criar uma política LAPS separada para esses administradores. Como essas não são contas de administrador de domínio, você não pode direcioná-las usando política de grupo, mas pode usar o ILT para direcionar essas máquinas que executam o Windows Server 2016.

Image

Agora vamos criar uma política LAPS para laptops de executivos de nível C. Naturalmente, gostaríamos de ter uma senha forte para essas contas de administrador local. Neste caso, quero impor senhas de 20 caracteres usando a maior complexidade possível. Em seguida, usarei ILT para direcionar o grupo de segurança de nível C. Como você pode ver na captura de tela abaixo, existem muitas opções de alvo, incluindo nome do computador, correspondência de OU, correspondência de Site, fator de forma do computador (Laptop vs. Desktop) e mais!

Image

Como um bônus, enquanto GPOs tradicionais criados dentro do Editor de Política de Grupo normalmente só podem ser implantados usando Política de Grupo, as configurações do PolicyPak podem ser implantadas de várias maneiras, como SCCM, KACE ou o seu serviço MDM preferido.
Você pode aprender mais sobre esse processo assistindo este vídeo que demonstra o processo de entrega de configurações de Política de Grupo, sem o próprio motor de Política de Grupo.

Dica 5: Combine LAPS com PolicyPak Least Privilege Manager

Local Administrator Password Solution é uma ótima ferramenta para reforçar o acesso administrativo às suas máquinas mais importantes. Na verdade, também faz uma excelente combinação com PolicyPak Least Privilege Manager. PolicyPak Least Privilege Manager elimina completamente a necessidade de ter direitos de administrador local, permitindo que Usuários Padrão realizem funções especiais como um administrador… mas sem direitos de administração reais.

Juntos, vocês poderiam impor o LAPS em todas as suas máquinas empresariais ... já que não precisarão mais de acesso de administrador local.

No final, tudo o que você pode fazer com o Group Policy, pode fazer melhor com o PolicyPak. Implemente LAPS e adicione PolicyPak para obter mais segurança, poder e agilidade.

Compartilhar em

Saiba Mais

Sobre o autor

Asset Not Found

Jeremy Moskowitz

Vice-Presidente de Gestão de Produtos (Endpoint Products)

Jeremy Moskowitz é um especialista reconhecido na indústria de segurança de computadores e redes. Co-fundador e CTO da PolicyPak Software (agora parte da Netwrix), ele também é um Microsoft MVP 17 vezes em Group Policy, Enterprise Mobility e MDM. Jeremy escreveu vários livros best-sellers, incluindo “Group Policy: Fundamentals, Security, and the Managed Desktop” e “MDM: Fundamentals, Security, and the Modern Desktop.” Além disso, é um palestrante requisitado em tópicos como gerenciamento de configurações de desktop, e fundador do MDMandGPanswers.com.

Saiba mais sobre este assunto

Gerenciamento de configuração para controle seguro de endpoint

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

O que é Gerenciamento de Registros Eletrônicos?

Últimos blogs

Os próximos cinco minutos de conformidade: construindo segurança de dados com foco em identidade em toda a APAC

Gerenciamento de configuração para controle seguro de endpoint

Classificação de dados e DLP: Previna a perda de dados, comprove a conformidade

Conformidade com CMMC e o papel crítico do controle de USB estilo MDM na proteção de CUI

DSPM, ASM e ITDR: Construindo uma Estratégia de Segurança Consciente da Exposição e Orientada por Dados

De ruído a ação: transformando risco de dados em resultados mensuráveis

IA no Trabalho: Velocidade, Risco e Por Que a Simplicidade Vence

Leis de Privacidade de Dados por Estado: Abordagens Diferentes para a Proteção da Privacidade

Exemplo de Análise de Risco: Como Avaliar Riscos

O Triângulo da CIA e Sua Aplicação no Mundo Real

Nossos principais artigos

Tipos Comuns de Dispositivos de Rede e Suas Funções

Como Executar um Script do PowerShell a partir do Agendador de Tarefas

Como instalar e usar o Active Directory Users and Computers (ADUC)?

Baixe e instale o PowerShell 7

Os Maiores e Mais Notórios Ataques Cibernéticos da História

Comandos Essenciais do PowerShell: Um Guia de Consulta Rápida para Iniciantes

Uma visão geral do ataque cibernético da MGM

Extração de Hashes de Senha do arquivo Ntds.dit

Guia para Montar Compartilhamentos Unix com um Cliente NFS do Windows

Como Portas Abertas Inseguras e Vulneráveis Representam Sérios Riscos de Segurança