Local Admin Password Solution (LAPS)
A nossa solução de palavra-passe para Administrador Local (LAPS) foi criada para resolver o problema de usar contas idênticas no seu ambiente para suporte ao utilizador ou escalonamento de privilégios. O LAPS cria palavras-passe fortes para contas locais que são armazenadas com segurança em o seu próprio Azure Key Vault. Para auditoria, tem a opção de fornecer uma Application Insights instância ou um Log Analytics Workspace.
Pré-requisitos
Antes de poder começar com o LAPS, tem de cumprir os seguintes pré-requisitos:
Configurar Application Insights OU Log Analytics Workspace
Ativar explicitamente os tipos de conta LAPS usando definições de grupo (ou de utilizador)
Vejamos ambos abaixo.
Registo
O Application Insights e o Log Analytics desempenham um papel importante ao usar o LAPS. Os pedidos de palavra-passe acionados pelo LAPS são registados pelo RealmJoin e enviados para a instância do Application Insights ou para o Log Analytics Workspace configurado. Desta forma, tem uma visão completa sobre quem está a obter palavras-passe.
Só precisa de escolher uma forma de registo — Application Insights ou Log Analytics. O registo é opcional ao configurar o LAPS e pode ser ignorado se a sua organização não precisar desta informação.
Mais detalhes podem ser encontrados nos nossos Application Insights e Log Analytics artigos.
Definições de grupo
O LAPS suporta as seguintes definições globais.
LocalAdminManagement.Inactive
falso
Defina como verdadeiro para forçar a desativação desta funcionalidade. Isto irá limpar e eliminar todas as contas locais.
LocalAdminManagement.CheckInterval
"01:00"
Intervalo para verificações internas de configuração (HH:mm)
Os seguintes tipos de conta são suportados.
LocalAdminManagement.EmergencyAccount
undefined (inativo)
LocalAdminManagement.SupportAccount
undefined (inativo)
LocalAdminManagement.PrivilegedAccount
undefined (inativo)
Cada tipo de conta pode ser configurado independentemente usando as seguintes definições comuns. Alguns tipos têm definições especiais descritas na respetiva secção.
Na tabela seguinte $ representa qualquer um dos três Conta objeto JSON acima.
$.DisplayName
"RealmJoin Local Administrator"
Nome de apresentação
$.PasswordCharSet
"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"
Conjunto de caracteres para o gerador de palavras-passe (exclui caracteres semelhantes)
$.PasswordLength
20
Comprimento da palavra-passe
$.MaxStaleness
Especial. Veja Recriação da conta.
Modelos predefinidos de palavra-passe, veja Geração de palavras-passe.
$.PasswordRenewals
Especial. Veja conta privilegiada.
Data de expiração fixa da conta (formato ISO-8601)
Palavra-passe geração
Por predefinição, serão geradas palavras-passe verdadeiramente aleatórias com base nas definições PasswordCharSet e PasswordLength. O conjunto de caracteres predefinido foi escolhido para excluir caracteres com aspeto semelhante, como I1l e O0. O gerador criptográfico de números aleatórios do Windows é usado para fornecer aleatoriedade de alta qualidade na geração.
O RealmJoin tratará automaticamente dos problemas com os requisitos de complexidade do Windows na criação da conta. Tal como acontece com todas as palavras-passe verdadeiramente aleatórias, por vezes as palavras-passe geradas podem não satisfazer os requisitos de complexidade. Se isso acontecer, o RealmJoin fará até três rondas de geração de palavras-passe até que seja gerada uma palavra-passe viável. Há uma probabilidade estatisticamente pequena de que todas as tentativas sejam excedidas. Nesse caso, verá uma mensagem no ficheiro de registo do serviço semelhante a Todas as tentativas excedidas. O processo completo será reiniciado na próxima execução das verificações internas de configuração (veja a definição CheckInterval).
Palavras-passe verdadeiramente aleatórias podem ser difíceis de usar, razão pela qual também são suportados modelos predefinidos especiais.
Predefinição 1 ⇒
[1 upper][3 lower][4 digit]Tuci9325Lnso5050Khwn2174
Predefinição 2 ⇒
Key-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]A definição PasswordLength é suportada! A definição determina o número de blocos de dígitos.
Key-012993-230956-976475(PasswordLength = 3)Key-497254-679158-631224-278319(PasswordLength = 4)Key-506179-861369-706482-613244-730371-097689-404350-340073(predefinição)
Predefinição 3 ⇒
[word]-[word]-[word]-[word]-[word]-[word]gerado a partir de Eff Long ListA definição PasswordLength é suportada! A definição determina o número de palavras.
Exciting-Unearth-Cried-87(PasswordLength = 3)Neurology-Astute-Debate-Marshy-15(PasswordLength = 4)Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26(predefinição)
Recriação da conta
Depois de uma conta ser utilizada, o RealmJoin pode ser configurado para eliminar e recriar a conta usando a definição MaxStaleness . Desta forma, as contas estarão sempre imaculadas. Se não for configurado, as contas nunca serão recriadas e permanecerão indefinidamente.
O RealmJoin eliminará a conta e o respetivo perfil. Todos os ficheiros serão eliminados permanentemente.
Se uma conta ainda estiver em utilização — ainda com sessão iniciada, sessão aberta, aplicação iniciada como ADM com ela e ainda em execução — a conta continuará a expirar, mas não poderá ser eliminada. Não é possível criar uma nova conta enquanto a conta antiga não for eliminada.
Evitar conflitos
Embora o RealmJoin faça o possível para evitar conflitos de nomes ao gerir as contas num dispositivo, existe sempre a possibilidade de as contas já existirem num dispositivo, causando conflitos. É por isso que a definição NamePattern suporta estes tokens com significado especial para o RealmJoin. Os tokens serão transformados pela função especificada e pelo respetivo parâmetro de comprimento a seguir aos dois pontos.
{HEX:8}⇒F4D027EF,B3C4F74E, ... (caracteres hexadecimais aleatórios){DEC:6}⇒506453,066946, ... (caracteres decimais aleatórios){COUNT:2}⇒01,02, ... (contador, manter-se-á01se não existirem conflitos)
Conta de emergência
Este tipo de conta é o seu acesso de recurso ao dispositivo caso este falhe catastroficamente. Será criada proativamente. Desta forma, terá sempre acesso para recuperação. Recomendamos configurá-la para recriação da conta.
Exemplo
Chave LocalAdminManagement.EmergencyAccount (para definições comuns veja definições de grupo)
conta de suporte
Este tipo de conta pode ser configurado para criação sob pedido. Foi concebido para ser usado numa janela temporal limitada de 12 horas no modo sob pedido.
As contas de suporte e os respetivos perfis serão eliminados 12 horas após o pedido da conta, independentemente da utilização (depois de o utilizador de suporte terminar a sessão). Todos os ficheiros serão eliminados permanentemente.
Ao usar a recriação de conta em modo sob pedido (MaxStaleness) não deve ser usado. Pode interferir com o seu fluxo de trabalho de suporte.
Requisitos para o fluxo de trabalho sob pedido:
O modo é ativado definindo
"OnDemand": true.Um utilizador tem sessão iniciada
O agente RealmJoin está em execução
O dispositivo está ligado à Internet
O dispositivo consegue alcançar o backend do RealmJoin
Pode demorar até 30 minutos para o agente RealmJoin detetar o pedido. O utilizador com sessão iniciada pode acelerar este processo escolhendo "Sync this device" no menu da bandeja do RealmJoin.
Quando não estiver em modo sob pedido, será criado proativamente.
Exemplo
Chave LocalAdminManagement.SupportAccount (para definições comuns veja definições de grupo)
conta privilegiada
Este tipo de conta foi concebido para ser usado por utilizadores avançados que necessitam de privilégios de administrador regulares, mas controlados, nos seus próprios dispositivos. Pode ser especificada uma data fixa de expiração da conta (Expiração).
Para este tipo, a recriação da conta (MaxStaleness) não deve ser usado. O objetivo é ter uma conta persistente para os seus utilizadores.
São suportadas rotações forçadas de palavra-passe:
2021-11-20T12:34:56+01:00: Qualquer data/hora explícita em ISO-8601. Podem ser especificadas várias datas/hora.DayAfterCreate: Depois de a conta ter sido criada, a palavra-passe da conta será alterada. Isto é útil quando se espera que os utilizadores configurem o Windows Hello para opções adicionais de início de sessão.Anualmente,MensalouSemanalmente: O intervalo mais curto tem prioridade (Semanalmente>Mensal>Anualmente). Se não forem especificadas mais condições, os valores predefinidos são "1º dia do mês" paraMensalou "segunda-feira" paraSemanalmente. Além disso,Anualmentepor predefinição, é definido como a data da última definição da palavra-passe + 365 dias. Podem ser especificados todos os sete dias da semana. Assim, seQuarta-feiraeSemanalmenteforem especificados, a palavra-passe será alterada todas as quartas-feiras. SeQuarta-feiraeMensalforem especificados, a palavra-passe será alterada na primeira quarta-feira de cada mês. A combinação deAnualmentecom dias da semana definirá o prazo para o último dia da semana especificado possível imediatamente antes de decorridos 365 dias.
Exemplo
Chave LocalAdminManagement.PrivilegedAccount (para definições comuns veja definições de grupo)
Aceder às palavras-passe
Use o Portal RealmJoin para aceder às palavras-passe.
Ativar self-service
Os utilizadores podem aceder às contas criadas nos seus próprios dispositivos (são "PrimaryUser") quando ativado usando o RealmJoin Portal a partir da versão 2022.5.1. Para ativar, defina uma definição usando a chave Allow.SelfLAPS. Esta definição pode ser definida em grupos e utilizadores. Tal como acontece com todas as definições com o prefixo Allow.* , estas são combinadas por AND entre o utilizador e todos os seus grupos.
O valor também pode ser apenas booleano verdadeiro/falso. Isto pode ser usado como um wildcard e abrange todos os tipos de conta atuais e futuros. Tenha em atenção que isto só é recomendado para desativar o acesso (falso).
No passado, era recomendado definir esta definição como verdadeiro. No entanto, à medida que continuamos a expandir o RealmJoin, serão adicionados novos tipos de conta. Por conseguinte, é fortemente recomendado migrar todos os valores verdadeiro para a notação de objeto mais explícita
Uma configuração de exemplo pode ter o seguinte aspeto:
Todos os trabalhadores remotos
{ "EmergencyAccount": true }
Os trabalhadores remotos podem aceder à conta de emergência dos seus próprios dispositivos.
Todos os desenvolvedores
{ "EmergencyAccount": true, "PrivilegedAccount": true }
Os desenvolvedores podem aceder à sua conta de emergência e à sua conta privilegiada — independentemente de serem ou não trabalhadores remotos.
Todos os formandos
falso
Os formandos nunca devem ter acesso a nenhum dos três tipos de conta e a todos os tipos futuros, mesmo que sejam trabalhadores remotos ou desenvolvedores
O SelfLAPS é mais forte do que a função regular de LAPS. Dito isto, se um utilizador administrador estiver a administrar o LAPS com a sua conta de utilizador normal, não conseguirá administrar o seu próprio LAPS.
Mitigação: ative o SelfLAPS para estas contas de administrador ou use contas de administrador separadas.
Last updated
Was this helpful?