Nowy Windows LAPS jest teraz wbudowaną funkcją, dostępną za pośrednictwem najnowszej aktualizacji Patch Tuesday

Firma Microsoft rozpoczęła wczoraj udostępnianie aktualizacji Patch Tuesday dla systemów Windows 10 i Windows 11 . Jednym z elementów wymienionych w dzienniku zmian systemu Windows 11 było nowe rozwiązanie hasła lokalnego administratora systemu Windows (LAPS). Chociaż Microsoft, co zrozumiałe, nie zagłębiał się w szczegóły dotyczące tej funkcji w swoim dzienniku zmian, opublikował dedykowany wpis na blogu opisujący szczegółowo zmianę.

Dla nieświadomych, do dzisiaj LAP były dostępne tylko jako pakiet MSI, który można było ręcznie pobrać z Microsoft Download Center. Był używany głównie przez administratorów IT do zabezpieczania kont administratorów lokalnych na wdrożonych urządzeniach z systemem Windows, odzyskiwania urządzeń przez logowanie się przy użyciu konta administratora lokalnego oraz zarządzania tożsamościami na komputerach przyłączonych do usługi Azure Active Directory, a także do wielu innych rzeczy.

Jednak po wczorajszym wprowadzeniu najnowszej aktualizacji Patch Tuesday ten wariant LAPS będzie teraz określany jako „Legacy LAPS”, ponieważ Microsoft natywnie zintegrował produkt bezpośrednio z systemem Windows. Gigant technologiczny z Redmond twierdzi, że zostało to zrobione ze względu na „popularne zapotrzebowanie” i że rozwiązanie skrzynki odbiorczej jest teraz dostępne w następujących systemach Windows WeU:

• Windows 11 Pro, EDU i Enterprise
• Windows 10 Pro, EDU i Enterprise
• Windows Server 2022 i Windows Server Core 2022
• Windows Serwer 2019

Dostępnych jest również kilka nowych funkcji dla Windows LAPS, są one wymienione poniżej:

• LAPS obsługuje Azure Active Directory (obecnie w prywatnej wersji zapoznawczej, publiczna wersja zapoznawcza wkrótce)

  • Pobiera zapisane hasła za pośrednictwem Microsoft Graph.

  • Tworzy dwa nowe uprawnienia Microsoft Graph do pobierania tylko „metadanych” hasła (tj. dla aplikacji do monitorowania bezpieczeństwa) lub samego poufnego hasła w postaci zwykłego tekstu.

  • Zapewnia zasady kontroli dostępu opartej na rolach (Azure RBAC) na platformie Azure do tworzenia zasad autoryzacji na potrzeby pobierania hasła.

  • Obejmuje obsługę portalu zarządzania platformy Azure w zakresie pobierania i rotacji haseł.

  • Pomaga zarządzać funkcją za pośrednictwem usługi Intune!

  • Automatycznie zmienia hasło po użyciu konta.

• Nowe możliwości dla lokalnych scenariuszy usługi Active Directory

  • Szyfrowanie hasła: Znacznie poprawia bezpieczeństwo tych wrażliwych tajemnic!

  • Historia haseł: daje możliwość ponownego zalogowania się do przywróconych obrazów kopii zapasowych.

  • Kopie zapasowe haseł w trybie przywracania usług katalogowych (DSRM): pomagają chronić kontrolery domeny, regularnie rotując te krytyczne hasła odzyskiwania!

  • Tryb emulacji: Przydatny, jeśli chcesz nadal korzystać ze starszych ustawień zasad i narzędzi LAPS, przygotowując się do migracji do nowych funkcji!

  • Automatyczna rotacja: Automatyczna rotacja hasła po użyciu konta.

• Nowe funkcje dla scenariuszy usługi Azure AD i lokalnej usługi AD

  • Bogate zarządzanie zasadami jest teraz dostępne zarówno za pośrednictwem zasad grupy, jak i dostawcy usług konfiguracji (CSP)

  • Obracanie hasła konta Windows LAPS na żądanie z portalu Intune jest bardzo przydatne, na przykład podczas obsługi potencjalnego problemu z naruszeniem bezpieczeństwa.

  • Dedykowany dziennik zdarzeń znajduje się w obszarze Aplikacje i usługi. Zobacz Dzienniki > Microsoft > Windows > LAPS > Operacyjne, aby uzyskać ulepszoną diagnostykę.

  • Nowy moduł PowerShell zawiera ulepszone możliwości zarządzania. Na przykład możesz teraz obracać hasło na żądanie za pomocą nowego polecenia cmdlet Reset-LapsPassword!

  • Urządzenia połączone hybrydowo są w pełni obsługiwane.

Dobrą rzeczą dla administratorów IT jest to, że obie wersje LAPS mogą obecnie współistnieć, ale firma Microsoft zaleca, aby nie używać obu do konfigurowania tego samego konta, ponieważ może to powodować konflikty zasad. Możesz zacząć korzystać z nowego LAPS w kwalifikujących się wdrożeniach, w których zainstalowano aktualizacje z kwietniowego wtorku aktualizacji.