Na de release van Windows Patch Tuesday LAPS waarschuwt Microsoft voor grote legacy-problemen

Een paar dagen geleden kondigde Microsoft de beschikbaarheid aan van Windows LAPS (Local Administrator Password Solution) via de Patch Tuesday van de maand. De functie is beschikbaar op Windows 10 , Windows 11 en ook op servers.

Sinds de release heeft Microsoft echter interoperabiliteitsproblemen met legacy LAPS-problemen bevestigd. Wanneer legacy LAPS (MSI-pakket) wordt geïnstalleerd op machines waarop de nieuwste Patch Tuesday-updates zijn geïnstalleerd, worden zowel legacy als de nieuwe Windows LAP’s onderbroken. Doorgaans wordt een gebeurtenislogboek-ID 10031 of 10032 geproduceerd met het bericht “LAPS heeft een extern verzoek geblokkeerd dat probeerde het wachtwoord van het huidige beheerde account te wijzigen.”

Microsoft heeft ook een oplossing voor de bug uitgegeven :

We hebben een gemelde verouderde LAPS-interoperabiliteitsfout geverifieerd in de bovenstaande update van 11 april 2023. Als u de verouderde LAPS GPO CSE installeert op een computer die is gepatcht met de beveiligingsupdate van 11 april 2023 en een toegepast verouderd LAPS-beleid, werken zowel Windows LAPS als verouderde LAPS niet meer. Symptomen zijn onder meer Windows LAPS-gebeurtenislogboek-ID’s 10031 en 10032, evenals verouderd LAPS-gebeurtenis-ID 6. Microsoft werkt aan een oplossing voor dit probleem. U kunt dit probleem omzeilen door: a) verouderde LAPS te verwijderen, of b) alle registerwaarden onder de registersleutel HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State te verwijderen.

Op de LAPS-overzichtspagina heeft Microsoft ook een meer gedetailleerde beschrijving gegeven van de twee problemen die worden gedocumenteerd:

Probleem #1 : Als u de verouderde LAPS CSE installeert op een apparaat dat is gepatcht met de beveiligingsupdate van 11 april 2023 en een toegepast verouderd LAPS-beleid, zullen zowel Windows LAPS als verouderde LAPS een verbroken status krijgen waarbij geen van beide functies het wachtwoord voor de beheerde rekening. Symptomen zijn onder meer Windows LAPS-gebeurtenislogboek-ID’s 10031 en 10033, evenals verouderd LAPS-gebeurtenis-ID 6. Microsoft werkt aan een oplossing voor dit probleem.

Er zijn twee primaire oplossingen voor het bovenstaande probleem:

A. De oude LAPS CSE verwijderen (resultaat: Windows LAPS neemt het beheer van het beheerde account over)

B. Schakel legacy LAPS-emulatiemodus uit (resultaat: legacy LAPS neemt het beheer van het beheerde account over)

Probleem #2 : Als u een verouderd LAPS-beleid toepast op een apparaat dat is gepatcht met de update van 11 april 2023, zal Windows LAPS onmiddellijk het verouderde LAPS-beleid afdwingen, wat storend kan zijn (bijvoorbeeld als dit wordt gedaan tijdens de OS-implementatieworkflow). Het uitschakelen van de verouderde LAPS-emulatiemodus kan ook worden gebruikt om deze problemen te voorkomen.

Meer details over LAPS en de problemen vindt u op de website van Microsoft .