Solução de Senha de Administrador Local já está disponível (Local Administrator Password Solution – LAPS)

Microsoft Security Advisory 3062591

  

Solução de Senha de Administrador Local já está disponível (Local Administrator Password Solution – LAPS)

 

Sumário executivo



A Microsoft tem uma nova oferta de Administrador Local de Senha (Local Administrator Password Solution – LAPS) que fornece uma solução para a questão do uso de uma conta local comum com uma senha idêntica em todos os computadores em um domínio. LAPS resolve esse problema definindo uma senha diferente, aleatória para a conta de administrador local comum em cada computador no domínio. Administradores de domínio usando a solução podem determinar quais usuários, tais como os administradores de helpdesk, estão autorizados a ler as senhas.

 

As credenciais de conta local idênticas que poderiam estar comprometidas permitem a elevação de privilégio se um invasor as usa para elevar os direitos de um usuário/administrador local para o nível de um administrador de domínio/empresa.

Credenciais de administrador local são necessárias para ocasiões quando o logon é necessário sem acesso de domínio. Em grandes ambientes, gerenciamento de senhas pode se tornar complexo, levando à uma pobre prática de segurança, que aumentam significativamente o risco de um ataque de repetição de credencial de Pass-the-Hash (PtH). LAPS simplifica o gerenciamento de senhas ao mesmo tempo que ajuda os clientes a implementar a defesa recomendada contra ataques cibernéticos. Em particular, a solução reduz o risco de escalada lateral que resulta quando os clientes usam a combinação do mesmo administrador local e mesma senha em seus computadores.

 

Recomendação

Instalar LAPS para automaticamente gerenciar senhas de contas de administrador local nos computadores associados a um domínio, para que as senhas sejam únicas em cada computador gerenciado. A senha é gerada aleatoriamente e armazenada centralmente na Infraestrutura do Active Directory.

 

LAPS armazena a senha da conta de administrador local de cada computador no Active Directory, em um atributo confidencial no objeto do Active Directory correspondente ao computador. O computador tem permissão para atualizar seus próprios dados de senha no Active Directory, e os administradores de domínio podem conceder acesso de leitura para usuários autorizados ou grupos, como administradores de helpdesk de estação de trabalho.

A solução é construída sobre a infraestrutura do Active Directory e não requer outras tecnologias de suporte. LAPS usa uma extensão de diretiva de grupo (Group Policy client-side extension – CSE) para ser instalado em computadores gerenciados para executar todas as tarefas de manutenção. Ferramentas de gerenciamento da solução oferecem uma configuração fácil e também a administração.

Para obter mais informações, consulte:

 

FAQ – Consultas



Qual é o escopo do comunicado? 
Para computadores associados a um domínio do Active Directory. Os administradores de domínio de cada organização determinam quais usuários, tais como os administradores de helpdesk, que estão autorizados a ler e atualizar as senhas.

 

Por que usar LAPS em vez de outros gerenciadores de senha? 
Outros gerenciadores de senha normalmente exigem hardware adicional, confiando em um produto de terceiros, ou utilizando outras práticas inseguras, tais como gerenciamento de senhas através de planilhas do Excel.

 

O LAPS  pode gerenciar uma conta de administrador local que não seja nomeada "administrador"? 
Sim.

 

Quais são as vantagens do uso de LAPS para armazenar e gerenciar senhas? 
LAPS fornece uma abordagem simplificada para:

  • Randomizar periodicamente as senhas do administrador local para garantir que alterações de senha sejam bem-sucedidas no Active Directory antes de modificar as senhas e segredos locais.

  • Centralmente armazena segredos em infraestrutura existente do Active Directory.

  • Controlar acesso através de permissões de ACL (lista) de controle de acesso ao Active Directory.

  • Transmite senhas criptografadas de computadores para o Active Directory através de criptografia usando o protocolo Kerberos versão 5 e o Cypher Advanced Encryption Standard (AES).

Suporte ao cliente de LAPS está disponível através de Serviços de suporte Premier da Microsoft .

 

Como funciona o LAPS? 
O núcleo da solução de LAPS é uma extensão de cliente do GPO (CSE) que vai executar as seguintes tarefas e pode aplicar as seguintes ações durante uma atualização do GPO:

 

  1. Verificar se a senha da conta do administrador local expirou.

  2. Gerar uma nova senha, quando a senha antiga já expirou ou é necessária ser alterada antes da expiração.

  3. Validar a senha nova contra a política da senha utilizada .

  4. Informar a senha para o Active Directory, armazená-la com um atributo confidencial com a conta do computador no Active Directory.

  5. Informar o próximo tempo de expiração da senha para o Active Directory, armazená-lo como um atributo com a conta do computador no Active Directory.

  6. Alterar a senha da conta de Administrador.

A senha em seguida, pode ser lida no Active Directory pelos usuários que têm permissão para fazê-lo. Os usuários elegíveis podem solicitar uma alteração de senha para um computador.

 

Quais são as características de LAPS? 
LAPS inclui os seguintes recursos.

Segurança que fornece a capacidade de:

  • Aleatoriamente gerir senhas automaticamente alteradas em máquinas gerenciadas.

  • Efetivamente atenuar ataques de PtH.

  • Impor a proteção de senha durante o transporte através da criptografia usando o protocolo Kerberos versão 5.

  • Listas de controle de acesso de uso (ACLs) para proteger senhas no Active Directory e facilmente implementar um modelo de segurança detalhado.

Capacidade de gerenciamento que pode:

  • Configurar parâmetros de senha, incluindo idade, complexidade e duração.

  • Forçar senha redefinida por base por computador.

  • Usar um modelo de segurança integrado com ACLs no Active Directory.

  • Usar qualquer ferramenta de escolha de gerenciamento do Active Directory;

  • Ferramentas personalizadas, tais como o Windows PowerShell, são fornecidas

  • Proteger contra exclusão de conta de computador.

  • Fácil solução de ser implementada e em poucos passos.

 

Quais são os requisitos da solução? 
LAPS inclui os seguintes requisitos.

Active Directory:

  • Windows Server 2003 Service Pack 1 (SP1) ou posterior.

Máquinas gerenciadas:

  • Windows Server 2003 SP2 ou posterior, ou Windows Server 2003 x 64 Edition SP2 ou posterior.

Nota Máquinas baseadas em Itanium não são suportadas.

Ferramentas de gerenciamento:

  • .NET framework 4.0                                                                               

  • Windows PowerShell 2.0 ou posterior

Outras informações



Programa de proteções de Microsoft Active (MAPP)

Para melhorar as proteções de segurança de nossos clientes, a Microsoft fornece importantes informações de vulnerabilidade para fornecedores de software de segurança previamente a cada lançamento de atualização de segurança mensal.

Fornecedores de software de segurança podem usar essas informações de vulnerabilidade para fornecer proteções atualizadas aos clientes através do seu software de segurança ou dispositivos, tais como sistemas de deteção de intrusão de antivírus, baseado em rede ou sistemas de prevenção de intrusão baseados em hosts. Para determinar se as proteções ativas estão disponíveis dos fornecedores de software de segurança, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros Microsoft programa de proteções ativas (MAPP) .

Feedback

Suporte

Disclaimer

As informações fornecidas neste comunicado são fornecidas "como são apresentadas" sem garantia de qualquer tipo. Microsoft nega todas as garantias, expressas ou implícitas, incluindo garantias de comercialização e adequação a uma finalidade específica. Em nenhum evento a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos de qualquer tipo incluindo direta, indireta, incidental, conseqüente, perda de lucros comerciais ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido avisados da possibilidade de tais danos. Alguns Estados não permitem a exclusão ou limitação de responsabilidade por danos conseqüentes ou incidentais, portanto a limitação acima pode não se aplicar.

 

Revisões:       V 1.0 (1 de Maio de 2015: aviso publicado).

 

Original: https://technet.microsoft.com/us-en/library/Security/3062591.aspx

Blog de Segurança:

 

 

Atenciosamente,

 

Equipe de Segurança Microsoft CSS