Sabemos que os dispositivos com Windows possuem uma conta de administrador local com permissões elevadas para administração do sistema. E proteger essa conta é crucial para a segurança do nosso ambiente.
Para ajudar nessa tarefa, podemos utilizar o LAPS (Local Administrator Password Solution), uma ferramenta que facilita a gestão dessas contas de forma centralizada e segura.
Com o Microsoft Intune, é possível aplicar políticas para gerenciar o LAPS em dispositivos inscritos no Intune. Isso simplifica e fortalece a proteção no gerenciamento das contas de administrador local.
Pré-requisitos para LAPS no Intune
Sistema Operacional:
- Windows 10 - versão 20H2 ou superior
- Windows 11 - versão 21H2 ou superior
Licenciamento:
- Microsoft Intune (plano 1)
- Microsoft Entra ID (Pode ser a versão Gratuita)
Informações importantes sobre o LAPS no Intune
Antes de começarmos as configurações é importante conhecer algumas características sobre o LAPS.
- O LAPS não cria novas contas no dispositivos. Ele apenas gerencia contas existentes no sistema. Porém é possível criar um perfil de configuração no Intune para provisionar uma nova conta ou renomear um conta existente.
- Caso já exista alguma configuração de LAPS, seja via GPO ou via agente Legado do LAPS, elas serão substituídas pela política do Intune, ou seja as configurações do LAPS via Intune sobrescrevem as políticas legadas existentes.
Iniciando as configurações do LAPS no Intune
Primeiro precisamos verificar no Portal do Entra ID se LAPS está habilitado para o Tenant:
Acesso o Centro de Administração Microsoft Entra (Antigo Azure AD), e acesso o caminho:
Identidade > Dispositivos > Todos os dispositivos > Configuração de Dispositivos:
Marque "Sim" na opção "Habilitar a Solução de Senha de Administrador Local (LAPS) do Microsoft Entra" (como a imagem abaixo).
Habilitar a conta do Admin local (Opcional)
Verifique no seu ambiente se a conta "Administrador" está habilita, pois por padrão o Admin local no Windows é desabilitado.
Caso você esteja usando uma conta de Administrador local renomeada, que por sinal é uma boa pratica de segurança, você poderá configurar essa conta nas políticas do LAPS.
Para habilitar a conta "Administrador", vamos criar um Perfil de configuração do Intune acessando o caminho:
1. Acesse o Centro de Administração do Microsoft Intune.
2. Acesse Dispositivos > Em "Gerenciar dispositivos" clique em Configurações > + Criar > Nova Política.
3. Em "Plataforma" selecione Windows 10 and later > Em "Tipo de perfil" Catálogo de configurações > Clique em "Criar".
Na tela seguinte adicione o Nome e a descrição que desejar. Clique em + Adicionar configurações
Pesquise pela categoria "Opções de Segurança de Políticas Locais" > Selecione a opção "Contas Habilitar Status de Conta Administrador" > Depois deixe o status da configuração como Habilitar.
Atribua ao grupo de dispositivos que desejar. Nesse nosso exemplo eu escolhi o grupo "All devices". E por ultimo clique em Create.
Obs.: Após a replicação do Intune nos dispositivos, que pode demorar alguns minutos, as maquinas receberão a nova configuração.
Criando a Política do LAPS
1. Acesse o Centro de Administração do Microsoft Intune.
2. Acesse Segurança do ponto de extremidade > Em "Gerenciar" clique em Proteção de contas > + Criar Política.
3. Em "Plataforma" selecione Windows > Em "Perfil" selecione Local admin password solution (Windows LAPS) > Clique em "Criar".
Na tela seguinte adicione o Nome e a descrição que desejar.
Agora finalmente em "Definições de configurações", vamos definir como será configurado o LAPS dos dispositivos.
Diretório de Backup
Vamos selecionar onde as maquinas devem armazenar o backup das senhas, em nosso ambiente vamos selecionar:
Fazer backup da senha somente no Azure AD (Entra ID)
Apos selecionar a opção do Diretório de Backup, é necessário definirmos o ciclo de "rotação" das senhas. É basicamente a idade máxima da senha do administrador local em dias, e após cada ciclo a senha será atualizada automaticamente.
Nome da Conta de Administrador
Nesta opção podemos especificar a nome da conta de Administrador local. Se uma conta não for especificada, a conta de administrador local interna padrão será localizada pelo SID padrão (mesmo que seja renomeado).
Observação: se um nome de conta de administrador local personalizado for especificado nesta configuração, essa conta deverá ser criada por outros meios. O preenchimento de um nome nesta configuração não fará com que a conta seja criada.
Complexidade da Senha
Esta configuração permite controlar complexidade de senha da conta de administrador local. Em nosso cenário vamos selecionar a opção:
Letras grandes + letras pequenas + números + caracteres especiais.
Comprimento da Senha
Esta configuração permite definir o comprimento da senha do administrador local. Caso não seja especificada, esta configuração usará como padrão 14 caracteres.
Ações Pós-Autenticação
Use esta configuração para especificar as ações a serem tomadas após a expiração do período de carência. Se não for especificada, esta configuração usará como padrão a opção 3 (redefinindo a senha após o logoff da conta).
Atraso de Pós-redefinição de Autenticação
Use esta configuração para especificar o tempo (em horas) de espera após uma autenticação antes de executar as ações de pós-autenticação especificadas. Se não for especificada, esta configuração usará como padrão 24 horas. Esta configuração tem um valor mínimo permitido de 0 horas (isso desabilita todas as ações pós-autenticação). Esta configuração tem um valor máximo permitido de 24 horas.
Resumo das configurações usada na política do LAPS
Apos clicar em Avançar, seguimos até a aba "Atribuição", onde será necessário selecionar os grupos de dispositivos que desejarmos. Nesse nosso exemplo eu escolhi o grupo "Todos os dispositivos".
E por ultimo na aba revisar, clicamos em Salvar.