Il nuovo Windows LAPS è ora una funzionalità integrata, disponibile tramite l’ultimo Patch Tuesday

Microsoft ha iniziato ieri a distribuire gli aggiornamenti del Patch Tuesday per Windows 10 e Windows 11 . Uno degli elementi menzionati nel registro delle modifiche di Windows 11 era una nuova soluzione per la password dell’amministratore locale di Windows (LAPS). Sebbene Microsoft comprensibilmente non sia entrata nei dettagli di questa funzionalità nel suo registro delle modifiche, ha pubblicato un post sul blog dedicato che descrive in dettaglio il cambiamento.

Per chi non lo sapesse, prima di oggi, LAPs era disponibile solo come pacchetto MSI che poteva essere scaricato manualmente dall’Area download Microsoft. È stato utilizzato principalmente dagli amministratori IT per proteggere gli account di amministratore locale nei dispositivi Windows distribuiti, ripristinare i dispositivi accedendo con un account di amministratore locale e gestire le identità tra i computer aggiunti ad Azure Active Directory, tra molte altre cose.

Tuttavia, con l’ultimo aggiornamento Patch Tuesday rilasciato ieri, questa variante di LAPS verrà ora denominata “Legacy LAPS” poiché Microsoft ha integrato nativamente il prodotto direttamente in Windows. Il colosso tecnologico di Redmond afferma che ciò è stato fatto a causa della “domanda popolare” e che la soluzione di posta in arrivo è ora disponibile nei seguenti Windows WeU:

• Windows 11 Pro, EDU ed Enterprise
• Windows 10 Pro, EDU ed Enterprise
• Windows Server 2022 e Windows Server Core 2022
• Server Windows 2019

Ci sono diverse nuove funzionalità al seguito anche per Windows LAPS, sono elencate di seguito:

• LAPS supporta Azure Active Directory (attualmente in anteprima privata, anteprima pubblica in arrivo)

  • Recupera le password memorizzate tramite Microsoft Graph.

  • Crea due nuove autorizzazioni Microsoft Graph per recuperare solo i “metadati” della password (ad esempio, per le app di monitoraggio della sicurezza) o la stessa password sensibile in chiaro.

  • Fornisce criteri di controllo degli accessi in base al ruolo di Azure (RBAC di Azure) per la creazione di criteri di autorizzazione per il recupero delle password.

  • Include il supporto del portale di gestione di Azure per il recupero e la rotazione delle password.

  • Ti aiuta a gestire la funzionalità tramite Intune!

  • Ruota automaticamente la password dopo l’utilizzo dell’account.

• Nuove funzionalità per gli scenari di Active Directory locale

  • Crittografia della password: migliora notevolmente la sicurezza per questi segreti sensibili!

  • Cronologia password: offre la possibilità di accedere nuovamente alle immagini di backup ripristinate.

  • Backup delle password della modalità di ripristino dei servizi di directory (DSRM): aiuta a proteggere i controller di dominio ruotando regolarmente queste password di ripristino critiche!

  • Modalità di emulazione: utile se si desidera continuare a utilizzare le impostazioni e gli strumenti dei criteri LAPS precedenti mentre ci si prepara a migrare alle nuove funzionalità!

  • Rotazione automatica: ruota automaticamente la password dopo l’utilizzo dell’account.

• Nuove funzionalità per gli scenari Azure AD e AD locale

  • La gestione completa dei criteri è ora disponibile tramite Criteri di gruppo e provider di servizi di configurazione (CSP)

  • La rotazione della password dell’account Windows LAPS su richiesta dal portale di Intune è molto utile quando, ad esempio, si gestisce un possibile problema di violazione.

  • Il registro eventi dedicato si trova in Applicazioni e servizi. Vedere Registri > Microsoft > Windows > LAPS > Operativo per una diagnostica migliorata.

  • Il nuovo modulo di PowerShell include funzionalità di gestione migliorate. Ad esempio, ora puoi ruotare la password su richiesta utilizzando il nuovo cmdlet Reset-LapsPassword!

  • I dispositivi ibridi sono completamente supportati.

L’aspetto positivo per gli amministratori IT è che entrambe le versioni di LAPS possono attualmente coesistere, ma Microsoft ha consigliato di non utilizzarle entrambe per configurare lo stesso account in quanto potrebbero causare conflitti di policy. Puoi iniziare a utilizzare il nuovo LAPS su distribuzioni idonee che hanno installato gli aggiornamenti del Patch Tuesday di aprile in questo momento.