Solução de palavra-passe de administrador local (LAPS)

Nossa Solução de Senha de Administrador Local (LAPS) foi criada para resolver o problema de usar contas idênticas no seu ambiente para suporte ao usuário ou elevação de privilégios. O LAPS cria senhas fortes para contas locais, que são armazenadas com segurança em sua própria Azure Key Vault. Para auditoria, você tem a opção de fornecer uma Application Insights instância ou um Log Analytics Workspace.

Pré-requisitos

Antes de começar com o LAPS, você precisa atender aos seguintes pré-requisitos:

Configurar Application Insights OU Log Analytics Workspace
Habilitar explicitamente os tipos de conta do LAPS usando configurações de grupo (ou de usuário)

Veremos ambos abaixo.

Registo

O Application Insights e o Log Analytics desempenham um papel importante ao usar o LAPS. As solicitações de senha acionadas pelo LAPS são registradas pelo RealmJoin e enviadas para a instância do Application Insights ou para o Log Analytics Workspace configurado. Dessa forma, você tem visibilidade completa de quem está recuperando as senhas.

Apenas um formato de registo precisa ser escolhido — Application Insights ou Log Analytics. O registo é opcional ao configurar o LAPS e pode ser ignorado se a sua organização não precisar dessa informação.

Mais detalhes podem ser encontrados em nossos Application Insights e Log Analytics artigos.

Configurações de grupo

O LAPS suporta as seguintes configurações globais.

Chave de configuração

Valor padrão

Descrição

LocalAdminManagement.Inactive

false

Defina como true para forçar o desligamento deste recurso. Isso irá limpar e excluir todas as contas locais.

LocalAdminManagement.CheckInterval

"01:00"

Intervalo para verificações internas de configuração (HH:mm)

Os seguintes tipos de conta são suportados.

Chave de configuração

Valor padrão

LocalAdminManagement.EmergencyAccount

undefined (inativo)

LocalAdminManagement.SupportAccount

undefined (inativo)

LocalAdminManagement.PrivilegedAccount

undefined (inativo)

Cada tipo de conta pode ser configurado independentemente usando as seguintes configurações comuns. Alguns tipos têm configurações especiais descritas na respetiva seção.

Na tabela a seguir $ representa qualquer um dos três JSON object JSON object acima.

Chave de configuração

Valor padrão

Descrição

$.NamePattern

"ADM-{HEX:8}"

Especial. Veja conta privilegiada. Precisa ter 20 caracteres ou menos.

$.DisplayName

"RealmJoin Local Administrator"

Nome de exibição

$.PasswordCharSet

"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"

Conjunto de caracteres para o gerador de senhas (exclui caracteres semelhantes)

$.PasswordLength

Comprimento da senha

$.PasswordPreset

Modelos predefinidos de senha, veja Geração de senha.

$.MaxStaleness

Especial. Veja Recriação da conta.

Modelos predefinidos de senha, veja Geração de senha.

$.OnDemand

Especial. Veja conta de suporte.

Criar conta apenas quando solicitado.

$.Expiration

Especial. Veja conta de suporte.

Data fixa de expiração da conta (formato ISO-8601)

$.PasswordRenewals

Especial. Veja conta privilegiada.

Data fixa de expiração da conta (formato ISO-8601)

Senha geração

Por padrão, senhas verdadeiramente aleatórias serão geradas com base nas configurações PasswordCharSet e PasswordLength. O conjunto de caracteres padrão foi escolhido para excluir caracteres parecidos, como I1l e O0. O gerador de números aleatórios criptográficos do Windows é usado para fornecer aleatoriedade de alta qualidade para a geração.

O RealmJoin tratará automaticamente problemas com os requisitos de complexidade do Windows ao criar contas. Como acontece com todas as senhas verdadeiramente aleatórias, às vezes as senhas geradas podem não satisfazer aos requisitos de complexidade. Se isso acontecer, o RealmJoin fará até três rodadas de geração de senhas até que uma senha viável seja gerada. Ainda existe uma pequena probabilidade estatística de que todas as novas tentativas sejam excedidas. Nesse caso, você verá uma mensagem no arquivo de registo do serviço semelhante a Todas as novas tentativas foram excedidas. O processo completo será reiniciado na próxima execução das verificações internas de configuração (veja a configuração CheckInterval).

Senhas verdadeiramente aleatórias podem ser difíceis de usar, por isso também são suportados modelos predefinidos especiais.

Predefinição 1 ⇒ [1 maiúscula][3 minúsculas][4 dígitos]
- Tuci9325
- Lnso5050
- Khwn2174
Predefinição 2 ⇒ Key-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]
- A configuração PasswordLength é suportada! A configuração determina o número de blocos de dígitos.
- Key-012993-230956-976475 (PasswordLength = 3)
- Key-497254-679158-631224-278319 (PasswordLength = 4)
- Key-506179-861369-706482-613244-730371-097689-404350-340073 (padrão)
Predefinição 3 ⇒ [word]-[word]-[word]-[word]-[word]-[word] gerado a partir de Eff Long List
- A configuração PasswordLength é suportada! A configuração determina o número de palavras.
- Exciting-Unearth-Cried-87 (PasswordLength = 3)
- Neurology-Astute-Debate-Marshy-15 (PasswordLength = 4)
- Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26 (padrão)

Recriação da conta

Depois que uma conta é usada, o RealmJoin pode ser configurado para excluir e recriar a conta usando a configuração MaxStaleness . Dessa forma, as contas estarão sempre limpas. Se não for configurado, as contas nunca serão recriadas e permanecerão indefinidamente.

O RealmJoin excluirá a conta e o seu perfil. Todos os arquivos serão excluídos permanentemente.

Se uma conta ainda estiver em uso — ainda com sessão iniciada, sessão aberta, aplicativo iniciado com ela como ADM e ainda em execução — a conta ainda atingirá o tempo limite, mas não poderá ser excluída. Não é possível criar uma nova conta enquanto a conta antiga não for excluída.

Evitar conflitos

Embora o RealmJoin faça o possível para evitar conflitos de nome ao gerir as contas em um dispositivo, sempre existe a possibilidade de as contas já existirem em um dispositivo, causando conflitos. É por isso que a configuração NamePattern suporta estes tokens com significado especial para o RealmJoin. Os tokens serão transformados pela função especificada e pelo seu parâmetro de comprimento após os dois pontos.

{HEX:8} ⇒ F4D027EF, B3C4F74E, ... (caracteres hexadecimais aleatórios)
{DEC:6} ⇒ 506453, 066946, ... (caracteres decimais aleatórios)
{COUNT:2} ⇒ 01, 02, ... (contador, permanecerá 01 se não existirem conflitos)

Conta de emergência

Esse tipo de conta é o seu acesso de reserva ao dispositivo, caso ele falhe catastroficamente. Ela será criada proativamente. Dessa forma, você sempre terá acesso para recuperação. Recomendamos configurá-la para recriação da conta.

Exemplo

Chave LocalAdminManagement.EmergencyAccount (para configurações comuns, veja definições de grupo)

{
  "NamePattern": "ADM-Emergency-{HEX:4}",
  "DisplayName": "Emergency Access",
  "MaxStaleness": "04:00",
  "PasswordPreset": 2
}

conta de suporte

Esse tipo de conta pode ser configurado para criação sob demanda. Ele foi projetado para uso em uma janela de tempo limitada de 12 horas no modo sob demanda.

As contas de suporte e os seus perfis serão excluídos 12 horas após a solicitação da conta, independentemente do uso (depois que o usuário de suporte tiver encerrado a sessão). Todos os arquivos serão excluídos permanentemente.

Ao usar a recriação de conta no modo sob demanda (MaxStaleness) não deve ser usado. Pode interferir no seu fluxo de trabalho de suporte.

Requisitos para o fluxo de trabalho sob demanda:

O modo é ativado definindo "OnDemand": true.
Um usuário está autenticado
O agente RealmJoin está em execução
O dispositivo está conectado à internet
O dispositivo pode alcançar o backend do RealmJoin

Pode levar até 30 minutos para o agente RealmJoin perceber a solicitação. O usuário autenticado pode acelerar esse processo escolhendo "Sincronizar este dispositivo" no menu da bandeja do RealmJoin.

Quando não está no modo sob demanda, ele será criado proativamente.

Exemplo

Chave LocalAdminManagement.SupportAccount (para configurações comuns, veja definições de grupo)

{
  "NamePattern": "ADM-Support-User-{HEX:2}",
  "DisplayName": "Support User",
  "OnDemand": true,
  "PasswordPreset": 1
}

conta privilegiada

Esse tipo de conta foi projetado para ser usado por utilizadores avançados que precisam de privilégios de administrador regulares, porém controlados, em seus próprios dispositivos. Pode ser especificada uma data fixa de expiração da conta (Expiration).

Para este tipo, a recriação da conta (MaxStaleness) não deve ser usado. O objetivo é ter uma conta persistente para os seus usuários.

Rotações forçadas de senha são suportadas:

2021-11-20T12:34:56+01:00: Qualquer marcação de data e hora explícita em ISO-8601. Várias marcações de data e hora podem ser especificadas.
DayAfterCreate: Depois que a conta for criada, a senha da conta será alterada. Isso é útil quando os usuários devem configurar o Windows Hello para opções adicionais de início de sessão.
Anual, Mensal ou Semanal: O intervalo mais curto tem preferência (Semanal > Mensal > Anual). Se nenhuma condição adicional for especificada, os padrões são "1º dia do mês" para Mensal ou "segunda-feira" para Semanal. Além disso, Anual é padronizado para a data da última definição da senha + 365 dias. Todos os sete dias da semana podem ser especificados. Portanto, se Wednesday e Semanal forem especificados, a senha será alterada todas as quartas-feiras. Se Wednesday e Mensal forem especificados, a senha será alterada na primeira quarta-feira de cada mês. Combinar Anual com dias da semana definirá o prazo para o dia útil especificado mais tardio possível, pouco antes de se completarem 365 dias.

Exemplo

Chave LocalAdminManagement.PrivilegedAccount (para configurações comuns, veja definições de grupo)

{
  "NamePattern": "Privileged-User-{COUNT:1}",
  "DisplayName": "Privileged User",
  "PasswordRenewals": ["DayAfterCreate", "Monthly", "Thursday"],
  "PasswordPreset": 3,
  "PasswordLength": 3
}

Acessar senhas

Use o RealmJoin Portal para acessar as senhas.

Ativar self-service

Os usuários podem aceder às contas criadas nos seus próprios dispositivos (eles são "PrimaryUser") quando ativado usando o RealmJoin Portal a partir da versão 2022.5.1. Para ativar, defina uma configuração usando a chave Allow.SelfLAPS. Essa configuração pode ser definida em grupos e usuários. Como acontece com todas as configurações prefixadas com Allow.* , elas são combinadas por AND entre o usuário e todos os seus grupos.

{
  "EmergencyAccount": true,
  "SupportAccount": true,
  "PrivilegedAccount": true
}

O valor também pode ser um booleano puro true/false. Isso pode ser usado como curinga e abrange todos os tipos de conta atuais e futuros. Observe que isso é recomendado apenas para desativar o acesso (false).

No passado, era recomendado definir essa configuração como true. No entanto, à medida que continuamos a expandir o RealmJoin, novos tipos de conta serão adicionados. Portanto, é fortemente recomendado migrar todos os valores true para a notação de objeto mais explícita

Uma configuração de exemplo pode ser assim:

Grupo

Comentário

Todos os trabalhadores remotos

{ "EmergencyAccount": true }

Os trabalhadores remotos podem acessar a conta de emergência dos seus próprios dispositivos.

Todos os desenvolvedores

{ "EmergencyAccount": true, "PrivilegedAccount": true }

Os desenvolvedores podem acessar sua conta de emergência e sua conta privilegiada — independentemente de serem trabalhadores remotos ou não.

Todos os estagiários

false

Os estagiários nunca devem ter acesso a nenhum dos três tipos de conta e todos os tipos futuros, mesmo que sejam trabalhadores remotos ou desenvolvedores

SelfLAPS é mais forte do que a função LAPS regular. Dito isso, se um utilizador administrador estiver administrando o LAPS com a sua conta de utilizador regular, não conseguirá administrar o seu próprio LAPS.

Mitigação: ative o SelfLAPS para essas contas de administrador ou use contas de administrador separadas.

Última atualização há 2 meses

Isto foi útil?