Windows LAPS – czym jest i dlaczego powinien zostać wdrożony?
Microsoft Local Administrator Password (Windows LAPS) wspiera zarządzanie i automatyzację haseł w lokalnych kontach administratorów.
Wyzwania lokalnych administratorów haseł
Zarządzanie hasłami lokalnych administratorów na stacjach roboczych i serwerach, nawet w małych środowiskach domenowych, od zawsze nastręczało wiele problemów. Ilość zarządzanych komputerów idzie nie raz w setki albo tysiące! Konta te rzadko używane (najczęściej przy konieczności resetu hasła po zerwaniu zaufania z domeną) posiadały albo identyczne hasło albo zgromadzone były w pliku z hasłami. Utrzymanie go w aktualnym, zgodnym z rzeczywistym stanem było sporym wyzwaniem. Skutkowało to powszechną znajomością wspólnego hasła lub z drugiej strony problemem z szybkim dostępem w przypadku sytuacji awaryjnej.
To jednak tylko wierzchołek góry lodowej.
Należy pamiętać, że algorytm hashowania haseł Windows to zaledwie 128-bitowy NTLM, którego ciągłe stosowanie nawet w najnowszych wersjach Windows Microsoft tłumaczy potrzebą kompatybilności wstecznej. Kompromitacja hasła, bądź nawet samego hasha hasła lokalnego administratora przechowywanego w rejestrze i zabezpieczonego kluczem systemowym generowanym przy instalacji Windows, skutkować będzie możliwością przejęcia kontroli nad większością infrastruktury. Hackerzy mogą wykorzystać do tego chociażby atak overpass-the-hash. Niewykluczone są ataki metodą ruchu bocznego (Lateral Movement). Należy pamiętać, że skonfigurowany Windows Defender Credential Guard nie chroni poświadczeń lokalnych użytkowników przechowywanych w bazie SAM, a jedynie zawartość pamięci procesu LSASS.
Rozwiązaniem powyższych kwestii może być Windows LAPS.
Zrzut aktualnych hashy haseł i ich historii dla konta lokalnego administratora systemu Windows 11
Jak działa Windows LAPS?
Microsoft Local Administrator Password Solution nie wymaga instalacji dodatkowego oprogramowania, jeśli spełnienia wymagania wersji systemu operacyjnego. W dalszym ciągu dostępny jest tzw. Legacy LAPS, także dla systemów nieco starszych. Konfiguracja Windows LAPS odbywa się za pomocą zasad grupy (GPO), które określają, m.in. minimalną długość i złożoność hasła oraz historię haseł. Idea polega na regularnym rotowaniu losowych haseł o wymuszonym stopniu złożoności i synchronizacji ich z kontami komputerów w usłudze katalogowej Active Directory Domain Services. Ponadto, dostęp do haseł można delegować – członkom wybranych grup zabezpieczeń i to na poziomie poszczególnych jednostek organizacyjnych. Przykładowo tych, w których znajdujące się obiekty kont komputerów należą do granularnego zakresu zarządzania członków tych grup. Nowy Windows LAPS posiada też możliwość dodatkowej warstwy ochrony haseł poprzez ich szyfrowanie. Dotychczas w dedykowanym atrybucie schematu Active Directory, choć chronione uprawnieniami, przechowywano je otwartym tekstem.
Automatyczne zarządzanie i tworzenie kopii zapasowych haseł DSRM
Ciekawą funkcją w nowym Windows LAPS jest także możliwość synchronizowania haseł DSRM na kontrolerach domeny. Każdy administrator, który zmierzył się z trybem przywracania usług katalogowych w trakcie awarii lub podczas operacji przeprowadzania autorytatywnego przywracania obiektów, zetknął się z problemem nieznajomości tego hasła. Najczęściej ustawiane ono jest raz – przy promowaniu serwera do roli kontrolera domeny i pozostaje w niezmienionej (często nieudokumentowanej) formie przez dekadę lub dłużej.
Pomimo że LAPS pozwala na zmianę hasła po każdorazowym użyciu, to dodatkowo jest możliwa automatyzacja tej czynności, gdy wykryte zostanie skorzystanie z zarządzanego LAPSem hasła. Jak wiadomo polityki stają się skuteczne, w momencie, kiedy są wymuszone. To rozwiązanie daje niejako ograniczony czasowo dostęp do hasła.
Nowy LAPS posiada również możliwość synchronizowania haseł z obiektami komputerów, jeśli są one przechowywane w chmurowej wersji usługi katalogowej – Microsoft Entra ID.
Windows LAPS wypada dobrze, choć nie obyło się bez wpadek
Wdrożenie LAPS zdecydowanie ułatwia zarządzanie oraz ochronę haseł lokalnych administratorów i zabezpiecza je przed atakami typu overpass-the-hash. Rozwiązanie wpisuje się w najlepsze praktyki bezpieczeństwa. Administratorzy docenią je też za automatyzację i darmowe wdrożenie. Odpowiednio zaplanowane, skonfigurowane i udokumentowane rozwiązanie zapewnia bezproblemowe działanie w przyszłości.
Jednak, w aktualizacji zabezpieczeń z 11 kwietnia 2023 r. znajdował się błąd, który spowodował problemy z LAPS. Objawiało się to tym, że uruchomienie LAPS na komputerach z zainstalowaną łatką i starszą zasadą LAPS powodowało uszkodzenie zarówno LAPS. Problemy nie ominęły starszej wersji oprogramowania LAPS CSE. Błąd można naprawić na dwa sposoby:
Poprzez odinstalowanie Legacy LAPS
Usuwając wszystkie wartości z klucza rejestru HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State.
Microsoft wydał także nową wersję LAPS, która naprawiała ten błąd. Aktualizacja pomoże uniknąć problemów.
Przykładowy widok odszyfrowanego hasła lokalnego administratora w zakładce właściwości komputera w widoku Active Directory Domain Services.
Zarządzanie LAPS możliwe jest również z poziomu powłoki PowerShell
Webinar prowadzi Jarosław Kamiński z firmy Infonet. Sesja obejmuje demonstrację live systemu.
Agenda:
Service Desk – zarządzanie incydentami, problemami i zmianą, obsługa SLA, baza wiedzy, integracja z AI
Workflow – modelowanie obiegów dokumentów i wniosków (zakupowe, urlopowe, dostępy do systemów)
Asset Management – ewidencja zasobów IT i nie-IT, zarządzanie magazynem, automatyzacja
CMDB – graficzne mapowanie zależności między zasobami i systemami
Integracje – otwarte API, konektory do VMware, Hyperview, opcjonalny moduł IT Manager
Oxari to polski system klasy ITSM rozwijany od ponad 25 lat, z certyfikacją PinkVERIFY, zgodnością z NIS2 i RODO oraz bazą ponad 1800 aktywnych klientów z sektora prywatnego i publicznego.
Przeciętny polski nastolatek spędza w sieci ponad dwadzieścia lat swojego życia. Nie metaforycznie – dosłownie, jeśli zsumować codzienne godziny przed ekranem. Do tego dochodzą treści suicydalne, na które większość młodych trafia bez szukania, dezinformacja, hejt i mechanizmy zaprojektowane tak, żeby uzależniać. O tym, czy i jak można to zmienić, rozmawiamy z Mikołajem Sołtysikiem – studentem prawa UJ i współtwórcą badań nad higieną cyfrową młodzieży.
Szkolenie przeznaczone jest dla wszystkich pracowników organizacji korzystających na co dzień z komputerów, laptopów, smartfonów, tabletów i Internetu – niezależnie od działu, poziomu zaawansowania technicznego czy zajmowanego stanowiska.
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje
Zobacz inne wpisy
Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.
Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.
Trend Micro Cloud App Security to zaawansowana ochrona aplikacji chmurowych, takich jak Microsoft 365 i Google Workspace, zapewniająca skuteczną obronę przed phishingiem, ransomware i atakami BEC. Dzięki integracji z XDR oraz analizie zagrożeń w czasie rzeczywistym zabezpiecza udostępnianie plików i chroni dane firmowe przed cyberatakami.
Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations
Terminy ustalane są indywidualnie po osiągnięciu minimalnej liczby uczestników.
Warsztaty odbywają się w formie ONLINE.
.jpg)
![[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026](https://cdn.netcomplex.pl/uploads/basic/2026/06/min/wistia_-_grafiki_kanalu_webinaria_(1).png)
(2).png)
.png)
.png)
.jpg)
.png)
.png)
