Acronimo di Windows Local Administrator Password Solution, Windows LAPS è una funzionalità del sistema operativo Microsoft che permette di gestire ed eseguire automaticamente il backup della password degli account amministratori locali a partire dalle credenziali usate sui dispositivi aziendali aggiunti ad Azure Active Directory o Windows Server Active Directory.
Nei giorni scorsi, Microsoft ha portato Windows LAPS su Windows 10, Windows 11 e Windows Server permettendo la gestione delle password amministrative su qualunque macchina in modo sicuro e centralizzato. In questo modo, grazie a LAPS, gli amministratori IT non perderanno mai il controllo su qualunque risorsa e potranno in ogni caso accedere ai siti dell’impresa.
Atil Gürcan, Senior Program Manager Microsoft, ha pubblicato una lunga guida in cui si spiega come configurare Intune per il supporto di Windows LAPS: questo strumento abbraccia due scenari principali per il backup delle password amministrative ovvero la memorizzazione ed archiviazione delle credenziali su Azure AD e Windows Server AD. È inoltre prevista l’interoperabilità con la soluzione LAPS legacy. Con LAPS legacy ci si riferisce alla versione del software rilasciata prima del 2015: ha diverse limitazioni rispetto alla release più recente, tra cui la mancanza di supporto per la crittografia AES, l’impossibilità di utilizzare le credenziali degli utenti Active Directory per l’accesso ai computer remoti e l’assenza di un reporting per le password scadute.
Gürcan si è quindi focalizzato sulla distribuzione cloud nativa per i sistemi Windows 10 e Windows 11 che non dispongono di un client LAPS legacy installato ricorrendo a Intune con la collaborazione di Azure AD ibrido o Azure AD puro. Nel suo post, il tecnico di Microsoft descrive la configurazione dei criteri di base e delle funzionalità principali di Windows LAPS, come l’accesso da diverse console alle password degli amministratori locali e, ad esempio, l’attivazione manuale della rotazione delle password.
Intune è la soluzione di gestione degli endpoint proposta da Microsoft e basata sul cloud che aiuta ad amministrare in modo centralizzato dispositivi Windows, Android, iOS, macOS, applicazioni e dati all’interno dell’impresa. In particolare, Intune fornisce strumenti di registrazione e gestione dei dispositivi aziendali, la distribuzione di applicazioni e aggiornamenti, la gestione delle policy di sicurezza, gestione delle identità, monitoraggio e reporting.
Ovviamente l’applicazione dei criteri di Windows LAPS tramite Intune avviene come con qualsiasi altra policy; inoltre, una volta applicato il criterio a livello di endpoint, LAPS crea una password di amministratore locale casuale conservandola come attributo accessibile tramite Azure AD o Intune stesso. Un utente amministratore/operatore che dispone dei diritti/ruoli corretti assegnati, può accedere al ripristino della password di un amministratore locale seguendo una procedura specifica.