Avete avuto l’esigenza di proteggere gli account amministratori locali in maniera adeguata su un ampio numero di sistemi Windows? Avete mai sentito il bisogno di ripristinare rapidamente un dispositivo Windows con lo stesso account amministratore utilizzato altrove? Se avete risposto affermativamente ad almeno uno dei due quesiti e desiderate sapere come svolgere le stesse attività anche su macchine collegate con la piattaforma Azure Active Directory, la funzionalità Windows LAPS è la soluzione proposta da Microsoft.
Windows LAPS (Local Administrator Password Solution) è uno strumento che esiste già da molti anni ed è disponibile nell’area download di Microsoft: aiuta nella gestione delle password degli account amministrativi locali su dispositivi aggiunti ad Azure Active Directory o Active Directory su Windows Server, permettendo la rotazione automatica delle password ed eseguendone il backup automatico sui controller di dominio.
Con l’espressione rotazione delle password ci riferiamo al processo di cambiare le password utilizzate con regolarità: si tratta di una best practice che aiuta a proteggere le informazioni riservate e a ridurre il rischio di accessi non autorizzati.
Microsoft ha appena annunciato che Windows LAPS arriva su Windows 10, Windows 11, Windows Server 2019 e versioni più recenti del sistema operativo.
Con il rilascio degli aggiornamenti di sicurezza di aprile 2023, Microsoft ha svelato che Windows LAPS diventa pienamente integrato in tutte le versioni più recenti di Windows colloquiando sia con installazioni Active Directory locali, sia con Azure Active Directory (in questo caso si parla di un supporto in versione beta).
Secondo Microsoft, Windows LAPS permette di rafforzare la sicurezza fornendo una valida protezione contro gli attacchi pass-the-hash (ne parliamo nell’articolo sulla sicurezza delle password con Active Directory) e lateral-traversal (questi ultimi cercano di sfruttare le vulnerabilità dei protocolli di rete per eseguire un’azione non autorizzata su un sistema remoto).
Inoltre, Windows LAPS migliora la sicurezza negli scenari di help desk remoto, facilita l’accesso, la gestione e il ripristino di dispositivi Windows altrimenti non amministrabili, garantisce un modello di sicurezza granulare per proteggere le password archiviate in Active Directory, supporta il modello di controllo degli accessi in base al ruolo di Azure per proteggere le password conservate su Azure Active Directory.
L’unico problema, come conferma Microsoft, è che installando i pacchetti GPO CSE legacy di Windows LAPS su una macchina aggiornata con le patch di sicurezza di aprile 2023, il sistema di gestione delle password amministrative cesserà improvvisamente di funzionare.
Gli acronimi GPO CSE stanno per Group Policy Object Client Side Extension e fanno riferimento a un componente che gestisce l’applicazione delle impostazioni di sicurezza, configurazione e gestione su client Windows. Le GPO sono un insieme di impostazioni di configurazione di sistema che possono essere utilizzate per definire le politiche di sicurezza e configurazione per tutti i client Windows di un’organizzazione: abbiamo visto come usare i criteri GPO con Active Directory per bloccare l’installazione di software inutili. Le CSE vengono utilizzate per applicare le impostazioni e le dirette contenute a livello di GPO sulle macchine client.
Per risolvere il problema, Microsoft suggerisce di eliminare il pacchetto GPO CSE legacy oppure di cancellare tutti i valori contenuti nella chiave HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State
a livello di registro di sistema.