Solução de Senha de Administrador Local (LAPS)

Nossa Solução de Senha de Administrador Local (LAPS) foi construída para resolver o problema de usar contas idênticas no seu ambiente para suporte ao usuário ou escalonamento de privilégios. O LAPS cria senhas fortes para contas locais que são armazenadas com segurança em seu próprio Azure Key Vault. Para auditoria, você tem a opção de fornecer uma Application Insights instância ou um Log Analytics Workspace.

Pré-requisitos

Antes de você poder começar com o LAPS, você precisa atender aos seguintes pré-requisitos:

• Configurar Application Insights OU Log Analytics Workspace

• Habilitar explicitamente tipos de conta LAPS usando configurações de grupo (ou usuário)

Vamos analisar ambos abaixo.

Registro (Logging)

Application Insights e Log Analytics desempenham um papel importante ao usar o LAPS. As solicitações de senha desencadeadas pelo LAPS são registradas pelo RealmJoin e encaminhadas para a instância configurada do Application Insights ou para o Log Analytics Workspace. Dessa forma você tem visão completa sobre quem está recuperando senhas.

Apenas uma forma de registro precisa ser escolhida - ou Application Insights ou Log Analytics. O registro é opcional ao configurar o LAPS e pode ser ignorado se sua organização não precisar dessa informação.

Mais detalhes podem ser encontrados em nossos Application Insights quanto para Log Analytics artigos.

Configurações de grupo

O LAPS suporta as seguintes configurações globais.

Os seguintes tipos de conta são suportados.

Cada tipo de conta pode ser configurado independentemente usando as seguintes configurações comuns. Alguns tipos têm configurações especiais descritas em sua respectiva seção.

Geração de senha

Por padrão senhas verdadeiramente aleatórias serão geradas com base nas configurações PasswordCharSet quanto para PasswordLength. O conjunto de caracteres padrão foi escolhido para excluir caracteres de aparência semelhante como I1l quanto para O0. O gerador de números aleatórios criptográfico do Windows é usado para fornecer alta qualidade de aleatoriedade para a geração.

Senhas verdadeiramente aleatórias podem ser difíceis de trabalhar, por isso modelos predefinidos especiais também são suportados.

• Predefinição 1 ⇒ [1 maiúscula][3 minúsculas][4 dígitos]

  • Tuci9325

  • Lnso5050

  • Khwn2174

• Predefinição 2 ⇒ Key-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]

  • A configuração PasswordLength é suportada! A configuração determina o número de blocos de dígitos.

  • Key-012993-230956-976475 (PasswordLength = 3)

  • Key-497254-679158-631224-278319 (PasswordLength = 4)

  • Key-506179-861369-706482-613244-730371-097689-404350-340073 (padrão)

• Predefinição 3 ⇒ [palavra]-[palavra]-[palavra]-[palavra]-[palavra]-[palavra] gerado a partir de Eff Long List​

  • A configuração PasswordLength é suportada! A configuração determina o número de palavras.

  • Exciting-Unearth-Cried-87 (PasswordLength = 3)

  • Neurology-Astute-Debate-Marshy-15 (PasswordLength = 4)

  • Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26 (padrão)

Recriação de conta

Depois que uma conta é usada, o RealmJoin pode ser configurado para excluir e recriar a conta usando a MaxStaleness configuração. Dessa forma as contas estarão sempre limpas. Se não configuradas, as contas nunca serão recriadas e permanecerão indefinidamente.

Evitando conflitos

Mesmo que o RealmJoin faça o possível para evitar conflitos de nomes ao gerenciar as contas em um dispositivo, sempre existe a possibilidade de que contas já existam no dispositivo causando conflitos. É por isso que a NamePattern configuração suporta esses tokens com significado especial para o RealmJoin. Os tokens serão transformados pela função especificada e seu parâmetro de comprimento após os dois pontos.

• {HEX:8} ⇒ F4D027EF, B3C4F74E, ... (caracteres hexadecimais aleatórios)

• {DEC:6} ⇒ 506453, 066946, ... (caracteres decimais aleatórios)

• {COUNT:2} ⇒ 01, 02, ... (contador, permanecerá 01 se nenhum conflito existir)

Conta de emergência

Este tipo de conta é seu acesso de backup ao dispositivo caso ele falhe de forma catastrófica. Será criada proativamente. Dessa forma você sempre terá acesso para recuperação. Recomendamos configurá-la para recriação de conta.

Exemplo

Chave LocalAdminManagement.EmergencyAccount (para configurações comuns veja configurações de grupo)

Conta de suporte

Este tipo de conta pode ser configurado para criação sob demanda. É projetado para uso em uma janela de tempo limitada de 12 horas no modo sob demanda.

Requisitos para o fluxo de trabalho sob demanda:

• O modo é ativado definindo "OnDemand": true.

• Um usuário está conectado

• O agente RealmJoin está em execução

• O dispositivo está conectado à internet

• O dispositivo pode alcançar o backend do RealmJoin

Quando não estiver no modo sob demanda, ele será criado proativamente.

Exemplo

Chave LocalAdminManagement.SupportAccount (para configurações comuns veja configurações de grupo)

Conta privilegiada

Este tipo de conta é projetado para ser usado por usuários avançados que precisam de privilégios de administrador regulares, mas controlados, em seus próprios dispositivos. Uma data fixa de expiração da conta pode ser especificada (Expiração).

Rotações forçadas de senha são suportadas:

1. 2021-11-20T12:34:56+01:00: Qualquer carimbo de data/hora explícito em ISO-8601. Vários carimbos de data/hora podem ser especificados.

2. DayAfterCreate: Após a criação da conta a senha da conta será alterada. Isso é útil quando os usuários devem configurar o Windows Hello para opções adicionais de entrada.

3. Anual, Mensal negação Semanal: O intervalo mais curto tem preferência (Semanal > Mensal > Anual). Se nenhuma condição adicional for especificada, os padrões são "1º dia do mês" para Mensal ou "segunda-feira" para Semanal. Além disso, Anual padrões para a data da última definição de senha + 365 dias. Todos os sete dias da semana podem ser especificados. Então, se quarta-feira quanto para Semanal forem especificados, a senha será alterada todas as quartas-feiras. Se quarta-feira quanto para Mensal forem especificados, a senha será alterada na primeira quarta-feira de cada mês. Combinar Anual com dias da semana definirá o prazo para o dia da semana especificado mais próximo antes de se completarem 365 dias.

Exemplo

Chave LocalAdminManagement.PrivilegedAccount (para configurações comuns veja configurações de grupo)

Acessando senhas

Use o Portal RealmJoin para acessar as senhas.

Habilitar autoatendimento

Os usuários podem acessar contas criadas em seus próprios dispositivos (eles são "PrimaryUser") quando habilitado usando o Portal RealmJoin a partir da versão 2022.5.1. Para habilitar, defina uma configuração usando a chave Allow.SelfLAPS. Esta configuração pode ser definida em grupos e usuários. Como com todas as configurações prefixadas com Allow.* elas são combinadas com AND entre o usuário e todos os seus grupos.

O valor também pode ser um booleano puro false/enabled:true. Isso pode ser usado como curinga e abrange todos os tipos de conta atuais e futuros. Observe que isso é recomendado apenas para desabilitar o acesso (enabled:true).

Uma configuração de exemplo pode ser assim: