Windows LAPS: protezione avanzata delle password amministratore locali attraverso Microsoft Intune

Davide SalsiEnterprise Mobility, Microsoft Intune

Come il suo predecessore Microsoft LAPS, Windows LAPS è una soluzione di gestione delle password che consente di controllare le password degli account amministratore locale per i dispositivi Windows. Le password sono generate dinamicamente e anche costantemente aggiornate in base alle policy adottate. A differenza del suo predecessore, la nuova versione di LAPS consente di salvare le password, non solo all’interno dell’infrastruttura Active Directory, ma anche su Azure Active Directory.

Un’altra differenza sostanziale è legata al fatto che tale soluzione risulta essere pienamente integrata nel sistema operativo; pertanto, non risulta più necessario procedere con la distribuzione dell’apposito client.

In questo articolo, approfondiremo la soluzione di protezione avanzata delle password amministratore locali sfruttando lo strumento di gestione Microsoft Intune.

Panoramica e requisiti

Windows LAPS permette di migliorare la Security Posture dell’azienda riducendo la superficie di attacco; in particolare, la soluzione mitiga il rischio di lateral movement quando tutti i sistemi utilizzano la stessa password per l’account amministratore locale.

Infatti, le password degli amministratori locali rappresentano un obiettivo primario per gli attaccanti che cercano di ottenere l’accesso ai sistemi Windows. Una volta che gli attaccanti hanno accesso alle credenziali dell’amministratore locale, possono facilmente compromettere il sistema, accedere a risorse sensibili e spostarsi sui vari sistemi Windows presenti in azienda.

Come in parte anticipato in precedenza, LAPS funziona generando una password casuale e univoca per ogni account amministratore locale, assegnandola e gestendola in modo sicuro utilizzando Active Directory o Azure Active Directory; la password viene quindi crittografata e potrà essere recuperata solo dagli utenti autorizzati.

Inoltre, LAPS garantisce la rotazione automatica delle password, consentendo di cambiare regolarmente le password degli account amministratori locali e riducendo al tempo stesso il rischio di attacchi che durano per molto tempo.

Riassumendo, i vantaggi nell’utilizzo di questa soluzione sono molteplici:

  • Migliora la sicurezza informatica: la soluzione Windows LAPS aiuta a proteggere gli account amministrativi locali da attacchi informatici mirati; ciò aiuta a prevenire violazioni minimizzando il rischio di perdita di dati o danni reputazionali.
  • Riduzione dei costi: L’utilizzo di Windows LAPS garantisce la piena gestione delle password degli amministratori locali senza costi aggiuntivi; questa soluzione risulta essere pienamente integrata nei sistemi operativi Windows 10 e Windows 11.
  • Gestione centralizzata: LAPS consente di gestire le password in modo centralizzato utilizzando la soluzione Microsoft Intune per veicolare le configurazioni e Active Directory/Azure Active Directory come repository delle password.

Per poter procedere con l’attivazione di Windows LAPS, è necessario disporre dei seguenti prerequisiti:

  • Windows 11 versione 21H2 (o successive) con CU Aprile 2023
  • Windows 10 versione 21H2 (o successive) con CU Aprile 2023
  • Windows Server 2022 con CU Aprile 2023
  • Windows Server 2019 con CU Aprile 2023
  • Eventuale licenza Microsoft Intune per gestione policy di configurazione attraverso lo strumento di gestione
  • Se si vuole eseguire il backup su Azure Active Directory, i dispositivi devono essere in Hybrid join oppure direttamente in join ad Azure AD
    • Se il device risulta essere in join alla sola infrastruttura Active Directory, sarà possibile salvare la password solamente all’interno della propria infrastruttura AD on-premise.

Nei prossimi paragrafi, andremo ad approfondire gli step necessari per utilizzare questa soluzione nello scenario Azure Active Directory join con Microsoft Intune come strumento di gestione.

Attivazione soluzione

Il primo passo per poter iniziare ad utilizzare la soluzione consiste nell’abilitare la gestione delle password dalla console di Microsoft Entra; la procedura consiste nell’esecuzione di pochi e semplici step:

  • Accedere alla console Microsoft Entra admin center con credenziali amministrative;
  • Selezionare Devices – All Devices – Device settings;
  • Spostare lo slider su Yes per l’opzione Enable Azure AD Local Administrator Password Solution (LAPS);
Figura 1 – Attivazione Windows LAPS da portale Microsoft Entra
  • Confermare la modifica attraverso il pulsante Save;

A questo punto, una volta completata tale procedura, sarà possibile creare il profilo di configurazione necessario per istruire il sistema operativo Windows 10/ Windows 11 su come gestire la password del proprio amministratore locale.

Creazione policy

Con il rilascio della Service Release 2304 di Microsoft Intune, è possibile creare le opportune policy di configurazione della funzionalità Windows LAPS direttamente da interfaccia grafica (in precedenza era necessario predisporre dei Custom Profile); tali policy di configurazioni sono disponibili all’interno della sezione Endpoint Security.

Riportiamo qui sotto gli step necessari per creare una nuova Endpoint Security policy:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Endpoint Security – Account Protection;
  • Premere sul pulsante Create Policy;
  • Dal menù a tendina Platform selezionare la voce Windows 10 and later;
  • Dal menù a tendina Profile, selezionare la voce Local admin password solution (Windows LAPS);
Figura 2 – Creazione policy Windows LAPS
  • Premere sul pulsante Create;
  • Assegnare un nome, un’eventuale descrizione del profilo di configurazione e premere sul pulsante Next;
  • Dal menù a tendina Backup Directory, selezionare l’opzione Backup the password to Azure AD only;
Figura 3 – Modalità di salvataggio della password
  • Impostare i restanti settings sulla base delle proprie esigenze:
    • Password age days: questa opzione permette di indicare il tempo massimo (in giorni) di durata della password prima di essere rigenerata.
    • Administrator account name: questa opzione permette di definire il nome dell’account locale che deve essere gestito da Windows LAPS; nel caso in cui non venga specificato nulla, di default, viene gestito l’account administrator locale.
    • Password Complexity: attraverso questa opzione è possibile definire la complessità della password che viene generata da Windows LAPS; è possibile definire i seguenti livelli di complessità:
      • Lettere maiuscole
      • Lettere maiuscole + lettere minuscole
      • Lettere maiuscole + lettere minuscole + numeri
      • Lettere maiuscole + lettere minuscole + numeri + caratteri speciali
    • Password Lenght: è possibile impostare la lunghezza della password generata partendo da un minimo di 8 caratteri fino a un massimo di 64 caratteri; di default, la password generata sarà di 14 caratteri.
    • Post Authentication Actions: questa opzione permette di specificare le azioni da intraprendere alla scadenza del periodo configurato nel setting Post Authentication Reset Delay; le azioni disponibili sono:
      • Reset password: La password dell’account gestito viene resettata.
      • Reset password and sign out: Oltre al reset della password, ogni sessione interattiva dell’account gestito viene terminata.
      • Reset password and reboot: La password dell’account gestito viene resettata e il dispositivo gestito viene riavviato.
Figura 4 – Azioni disponibili a fronte dell’autenticazione con account amministrativo gestito
    • Post Authentication Reset Delay: utilizzando questa impostazione è possibile specificare il tempo di attesa (in ore) dopo che è stata eseguita l’autenticazione prima di effettuare l’azione indicata nella proprietà sopra citata.
  • Confermare le modifiche attraverso il pulsante Next;
  • Premere nuovamente sul pulsante Next;
  • Premere sulla voce Add groups e selezionare un gruppo Azure AD contenente i device interessati oppure selezionare la voce Add all devices;
  • Premere sul pulsante Create per completare il processo di creazione della policy;

N.B.: Nello scenario Azure AD, è necessario prevedere inoltre l’attivazione dell’account administrator locale, disattivato di default, attraverso l’apposita opzione Accounts Enable Administrator Account Status (Local Policies Security Options) disponibile via Settings Catalog.

Una volta applicate correttamente le policy sui sistemi Windows 10 e Windows 11, la soluzione Windows LAPS avvierà il processo di gestione della password dell’amministratore locale.

Recupero password

Sfruttando la piena integrazione tra i servizi Microsoft 365, il recupero della password generata da Windows LAPS risulta essere molto semplice; infatti, per poter recuperare la password dell’amministratore locale sono disponibili due opzioni: attraverso la console Microsoft Intune oppure dal portale Microsoft Entra.

Nel primo caso, è necessario:

  • Accedere alla console Microsoft Intune admin center con credenziali amministrative;
  • Selezionare Devices – All devices;
  • Premere sul nome del device interessato;
  • Accedere alla sezione Local admin password;
  • Se il device ha correttamente applicato le policy definite, sarà possibile identificare una entry attraverso la quale visualizzare la password;

    Figura 5 – Visualizzazione registrazione password su portale Microsoft Intune
  • Premendo sulla voce Show local administrator password, verrà visualizzata una nuova sezione dove sarà possibile visualizzare o copiare la password generata e verificare eventuali informazioni legate alla scadenza;
Figura 6 – Visualizzazione dettagli password amministratore locale

La seconda opzione disponibile per il recupero della password è attraverso il portale Microsoft Entra; anche in questo caso, la procedura consiste nell’esecuzione di pochi e semplici step:

  • Accedere alla console Microsoft Entra admin center con credenziali amministrative;
  • Selezionare Devices – All Devices – Local administrator password recovery (Preview);
  • Cercare o identificare il nome del device interessato e premere sulla voce Show local administrator password;
Figura 7 – Visualizzazione password attraverso portale Microsoft Entra

Riferimenti

Si riportano alcuni utili riferimenti alle documentazioni ufficiali:

Conclusioni

In questo articolo, sono stati riportati i vari step necessari per attivare la soluzione Windows LAPS sfruttando l’integrazione con lo strumento di gestione Microsoft Intune.

In sintesi, l’utilizzo di Local Administrator Password Solution (LAPS) offre numerosi vantaggi in ottica di business, tra cui una maggiore sicurezza riducendo gli attacchi basati su lateral movement, una gestione centralizzata delle password e un risparmio di tempo e risorse. LAPS è quindi una soluzione consigliata per le aziende che vogliono proteggere i propri dati e migliorare la propria security posture.