Modelo do MSRC ppDocument

Comunicado de Segurança da Microsoft 3062591

A Solução de senha de administrador local (LAPS) agora está disponível

Publicado em: 1º de maio de 2015

Versão: 1.0

Sinopse

A Microsoft está oferecendo a Solução de senha de administrador local (LAPS) que fornece uma solução para o problema de usar uma conta local comum com uma senha idêntica em todos computadores em um domínio. A LAPS resolve este problema ao configurar uma senha aleatória diferente para a conta de administrador local comum em todos os computadores no domínio. Os administradores do domínio que usam esta solução podem determinar quais usuários, como os administradores da assistência técnica, são autorizados a ler senhas.

As credenciais de conta local idênticas comprometidas podem permitir a elevação de privilégio se um invasor usá-las para elevar a partir de um administrador/usuário local para um administrador de empresa/domínio. São necessárias credenciais de administrador local para ocasiões quando o logon é necessário sem acesso ao domínio. Em ambientes grandes, o gerenciamento de senha pode se tornar complexo, levando a práticas de segurança precárias, e tais ambientes aumentam consideravelmente o risco de uma ataque de reprodução de credencial de PtH.

A LAPS simplifica o gerenciamento de senha ao ajudar os clientes a implementar defesas recomendadas contra ataques cibernéticos. Em particular, a solução reduz o risco de escalonamento lateral que resulta quando os clientes usam a mesma combinação de senha e conta administrativa local em seus computadores.

Recomendação. Instale a LAPS para gerenciar automaticamente as senhas de conta de administrador local em computadores associados ao domínio para que as senhas sejam exclusivas em cada computador gerenciado, geradas aleatoriamente e armazenadas de forma centralizada na infraestrutura do Active Directory.

A LAPS armazena a senha para cada conta de administrador local do computador no Active Directory, em um atributo confidencial no objeto do Active Directory correspondente do computador. O computador tem permissão para atualizar seus próprios dados de senha no Active Directory, e os administradores de domínio podem conceder acesso de leitura aos grupos ou usuários autorizados, como administradores de assistência técnica da estação de trabalho.

A solução é desenvolvida na infraestrutura do Active Directory e não necessita de outras tecnologias de suporte. A LAPS usa uma extensão do lado do cliente da Política de Grupo (CSE) que você instala em computadores gerenciados para executar todas as tarefas de gerenciamento. As ferramentas de gerenciamento da solução fornecem fácil configuração e administração.

Para obter mais informações, consulte

Perguntas frequentes do comunicado

Qual é o escopo do comunicado?
Para computadores associados a um domínio do Active Directory. Cada administrador de domínio da organização determina quais usuário, como administradores de assistência técnica, são autorizados a ler e redefinir senhas.

Por que usar a LAPS em vez de outros gerenciadores de senha?
Outros gerenciadores de senha geralmente necessitam de hardware adicional, confiança em um produto de terceiros ou o uso de outras práticas não seguras, como o gerenciamento de planilhas de senhas do Excel.

A LAPS pode gerenciar uma conta de administrador local não denominada "administrador"?
Sim.

Quais são as vantagens de usar a LAPS para armazenar e gerenciar senhas?
A LAPS fornece uma abordagem simplificada para:

  • Randomizar periodicamente as senhas de administrador local para garantir que as atualizações de senha para o Active Directory tenham sucesso antes de modificar senhas e segredos locais.
  • Armazena de forma centralizada a infraestrutura existente do Active Directory.
  • Controla o acesso por meio das permissões da lista de controle de acesso (ACL) do Active Directory.
  • Transmite senhas criptografadas de computadores para o Active Directory por meio de criptografia AES (Advanced Encryption Standard) por padrão.

O atendimento ao cliente da LAPS está disponível por meio dos Serviços de Suporte Microsoft Premier.

Como funciona a LAPS?
A essência da solução LAPS é a extensão do lado do cliente (CSE) do Objeto de Política de Grupo que executa as tarefas a seguir e podem reforçar as seguintes ações durante a atualização do Objeto de Política de Grupo:

  1. Verifica se a senha da conta administrador local expirou.
  2. Gera uma nova senha quando a senha antiga expirou ou é obrigada a ser alterada antes da expiração.
  3. Valida a nova senha em relação à política de senha.
  4. Informa a senha ao Active Directory, armazenando-a com um atributo confidencial com a conta do computador no Active Directory.
  5. Informa o próximo horário de expiração para a senha ao Active Directory, armazenando-a com um atributo confidencial com a conta do computador no Active Directory.
  6. Altera a senha da conta de administrador.

A senha então pode ser lida do Active Directory por usuários que têm permissão para fazê-lo. Os usuários qualificados podem solicitar uma alteração de senha para um computador.

Quais são os recursos da LAPS?
A LAPS inclui os seguintes recursos.

Segurança que fornece a habilidade de:

  • Gerar aleatoriamente senhas que são alteradas automaticamente em computadores gerenciados.
  • Reduz efetivamente os ataques de PtH que dependem das senhas de conta locais idênticas.
  • Reforçar a proteção de senha durante o transporte por meio de criptografia usando o protocolo Kerberos versão 5.
  • Usar as listas de controle de acesso (ACLs) para proteger senhas no Active Directory e implementar um modelo de segurança detalhado facilmente.

Capacidade de gerenciamento que fornece a habilidade de:

  • Configurar parâmetros de senha, incluindo a idade, a complexidade e o comprimento.
  • Forçar a redefinição de senha por máquina.
  • Usar um modelo de segurança integrado com as ACLs no Active Directory.
  • Usar qualquer ferramenta de gerenciamento do Active Directory de escolha; ferramentas personalizadas, como o Windows PowerShell, são fornecidas.
  • Proteger contra exclusão de contas de computador.
  • Implementar facilmente a solução com um espaço mínimo.

Quais são os requisitos da solução?
A LAPS inclui os seguintes requisitos.

Active Directory:

  • Windows Server 2003 Service Pack 1 (SP1) ou superior.

Computadores gerenciados:

  • Windows Server 2003 SP2 ou superior ou Windows Server 2003 x64 Edition SP2 ou superior.

    Observação Não há suporte para os computadores baseados em Itanium.

Ferramentas de gerenciamento:

  • .NET Framework 4.0
  • Windows PowerShell 2.0 ou superior

Outras informações

Microsoft Active Protections Program (MAPP)

Para melhorar as proteções de segurança para os clientes, a Microsoft fornece informações sobre vulnerabilidades aos principais fornecedores de software de segurança antes do lançamento de cada atualização de segurança mensal. Assim, os fornecedores de software de segurança podem usar essas informações sobre vulnerabilidades para fornecer proteções atualizadas aos clientes por meio de seus softwares ou dispositivos de segurança, como antivírus, sistemas de detecção de invasões baseados em rede ou sistemas de prevenção de invasões baseados em host. Para determinar se os fornecedores de software de segurança estão disponibilizando proteções ativas, visite os sites de proteções ativas fornecidos pelos parceiros do programa, listados em Parceiros do Microsoft Active Protections Program (MAPP).

Comentários

Suporte

Aviso de isenção de responsabilidade

As informações oferecidas neste documento são fornecidas "como estão" sem garantia de nenhum tipo. A Microsoft se isenta de todas as garantias, expressas ou implícitas, inclusive as garantias de comercialização e adequação a um propósito específico. Em hipótese alguma a Microsoft Corporation ou seus fornecedores serão responsáveis por quaisquer danos, inclusive danos diretos, indiretos, incidentais, consequenciais, danos por lucros cessantes ou danos especiais, mesmo que a Microsoft Corporation ou seus fornecedores tenham sido alertados da possibilidade dos referidos danos. Como alguns estados não permitem a exclusão ou limitação de responsabilidade por danos consequenciais ou indiretos, a limitação acima pode não ser aplicável a você.

Revisões

  • V1.0 (1º de maio de 2015): Comunicado publicado.

Página gerada em 01.05.15 11:07Z-07:00.