Nieuwe Windows LAPS is nu een ingebouwde functie, beschikbaar via de laatste Patch Tuesday
Microsoft is gisteren begonnen met het uitrollen van de Patch Tuesday-updates voor Windows 10 en Windows 11 . Een van de items die in de changelog van Windows 11 werden genoemd, was een nieuwe Windows Local Administrator Password Solution (LAPS). Hoewel Microsoft begrijpelijkerwijs niet in detail is ingegaan op deze mogelijkheid in zijn changelog, heeft het een speciale blogpost gepubliceerd waarin de wijziging in detail wordt beschreven.
Voor degenen die het niet wisten: tot vandaag was LAPs alleen beschikbaar als een MSI-pakket dat handmatig kon worden gedownload van het Microsoft Downloadcentrum. Het werd voornamelijk gebruikt door IT-beheerders om onder andere lokale beheerdersaccounts te beveiligen op geïmplementeerde Windows-apparaten, apparaten te herstellen door in te loggen met een lokaal beheerdersaccount en identiteiten te beheren op machines die lid zijn van Azure Active Directory.
Echter, met de nieuwste Patch Tuesday-update die gisteren is uitgerold, wordt deze variant van LAPS nu “Legacy LAPS” genoemd, aangezien Microsoft het product rechtstreeks in Windows heeft geïntegreerd. De technologiegigant uit Redmond zegt dat dit is gedaan vanwege de “populaire vraag” en dat de inbox-oplossing nu beschikbaar is in de volgende Windows WeU’s:
- Windows 11 Pro, EDU en Enterprise
- Windows 10 Pro, EDU en Enterprise
- Windows Server 2022 en Windows Server Core 2022
- Windows Server 2019
Er zijn ook verschillende nieuwe functies voor Windows LAPS, deze staan hieronder vermeld:
- LAPS ondersteunt Azure Active Directory (momenteel in privépreview, binnenkort openbare preview)
Haalt opgeslagen wachtwoorden op via Microsoft Graph.
Creëert twee nieuwe Microsoft Graph-machtigingen voor het ophalen van alleen het wachtwoord “metadata” (dwz voor apps voor beveiligingsbewaking) of het gevoelige leesbare wachtwoord zelf.
Biedt Azure op rollen gebaseerd toegangsbeheer (Azure RBAC)-beleid voor het schrijven van autorisatiebeleid voor het ophalen van wachtwoorden.
Bevat ondersteuning voor de Azure-beheerportal voor het ophalen en roteren van wachtwoorden.
Helpt u de functie te beheren via Intune!
Draait automatisch het wachtwoord nadat het account is gebruikt.
- Nieuwe mogelijkheden voor on-premises Active Directory-scenario’s
Wachtwoordcodering: verbetert de beveiliging van deze gevoelige geheimen aanzienlijk!
Wachtwoordgeschiedenis: geeft u de mogelijkheid om u opnieuw aan te melden bij herstelde back-upafbeeldingen.
Directory Services Restore Mode (DSRM) wachtwoordback-ups: Helpt uw domeincontrollers veilig te houden door deze kritieke herstelwachtwoorden regelmatig te wisselen!
Emulatiemodus: handig als u de oudere LAPS-beleidsinstellingen en -tools wilt blijven gebruiken terwijl u zich voorbereidt op de migratie naar de nieuwe functies!
Automatische rotatie: het wachtwoord automatisch roteren nadat het account is gebruikt.
- Nieuwe functies voor zowel Azure AD als on-premises AD-scenario’s
Uitgebreid beleidsbeheer is nu beschikbaar via zowel Group Policy als Configuration Service Provider (CSP)
Het roteren van het wachtwoord van het Windows LAPS-account op verzoek vanuit de Intune-portal is erg handig wanneer u bijvoorbeeld een mogelijk lekprobleem afhandelt.
Het speciale gebeurtenislogboek bevindt zich onder Toepassingen en services. Zie Logboeken > Microsoft > Windows > LAPS > Operationeel voor verbeterde diagnose.
De nieuwe PowerShell-module bevat verbeterde beheermogelijkheden. U kunt nu bijvoorbeeld het wachtwoord op aanvraag roteren met behulp van de nieuwe cmdlet Reset-LapsPassword!
Hybride gekoppelde apparaten worden volledig ondersteund.
Het goede voor IT-beheerders is dat beide versies van LAPS momenteel naast elkaar kunnen bestaan, maar Microsoft heeft aanbevolen om niet beide te gebruiken om hetzelfde account te configureren, omdat dit beleidsconflicten kan veroorzaken. U kunt de nieuwe LAPS gaan gebruiken op in aanmerking komende implementaties die nu de April Patch Tuesday-updates hebben geïnstalleerd.
Geef een reactie