Windows LAPS od podstaw
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  lapsMicrosoft
5.00/5
(10)

Windows LAPS od podstaw

Celem Windows LAPS jest przechowywanie i zarządzanie hasłem do lokalnego konta administratora na urządzeniu. Kliknij po więcej informacji!

Wraz z dynamicznym rozwojem technologii oraz zależności wobec niej, bezpieczeństwo IT nabywa ogromnego znaczenia. Dane, urządzenia, szczegóły dotyczące tożsamości należy chronić za wszelką cenę szczególnie przed atakami cybernetycznymi. W poprzednim artykule na temat Windows LAPS wstępnie poruszyliśmy, do czego do narzędzie służy i dlaczego docenią je administratorzy korzystający z lokalnych kont w systemach operacyjnych Windows – zarówno serwerowych jak i klienckich. Ten artykuł oraz następne przybliżą nieco szerzej specyfikację LAPS, jego znaczenie, konfigurację oraz wpływ na wzrost poziomu bezpieczeństwa.

Do czego służy Windows LAPS

Automatyzacja zarządzania hasłem do konta lokalnego administratora to główny cel tego narzędzia. LAPS generuje silne, losowe hasła i przechowuje je lokalnie na urządzeniach. To specjalne konto dla danego lokalnego urządzenia wykorzystywane chociażby w przypadku konieczności przywrócenia utraconej relacji zaufania z domeną. Narzędzie regularnie rotuje hasło i przechowuje je w usłudze katalogowej Active Directory czy Microsoft Entra ID (dawniej) Azure Active Directory. 

Dlaczego jest przydatne? Przede wszystkim da nam pewność, że lokalne konta mają różne i bardzo bezpieczne hasła. Konta lokalne to częste cele hakerów. Co więcej, LAPS będzie użyteczny w obszarze pomocy technicznej, gdy jeden z pracowników ma problem ze swoim urządzeniem. W takiej sytuacji, jeśli administrator nie chce lub nie może logować się na to urządzenie za pomocą konta firmowego, może pobrać hasło do konta z katalogu LAPS i zalogować się z tego poziomu. 

Windows LAPS będzie też przydatny, gdy konieczne jest okazjonalne odzyskiwanie urządzenia. Przykładowo jeśli urządzenie pobiera złą aktualizację sterownika sieciowego i jest ono zablokowane poza siecią lub nie może dostać się do sieci oraz logowanie na firmowe urządzenie jest niemożliwe, administrator może zalogować się do urządzenia fizycznego z poziomu swojej konsoli.

Wzrost zagrożenia atakami a skuteczność LAPS-a

Hakerzy nadal doskonalą się w metodach omijania zabezpieczeń kont organizacji, stosując przy tym szereg technik. Należy do nich pass-the-hash (PtH), w której atakujący podszywa się pod innego użytkownika i uzyskuje dostęp do jego zasobów. Wykorzystuje przy tym skrót hasła (ang. hash), czyli ciąg znaków o stałej długości, generowany na podstawie hasła użytkownika, uniemożliwiający jego odgadnięcie. 

Jak Windows LAPS może pomóc? Jeśli każde urządzenie ma to samo hasło do lokalnego konta administratora i atakujący je pozna, uzyska dostęp do całej infrastruktury sprzętowej. W takim wypadku sprawdzą się kluczowe funkcje Windows LAPS: losowa rotacja haseł, ich szyfrowanie i chronienie przed nieautoryzowanym dostępem. LAPS może też zmieniać hasła automatycznie domyślnie co 30 dni, natomiast jest też opcja, że hasło wygaśnie nawet po jedynym dniu. 

Inną metodą stosowaną przez hakerów jest Golden Ticket. To specyficzny typ cyberataku mający na celu przejęcie kontroli nad systemem dostępu w środowisku Microsoft Windows, szczególnie za pomocą usługi Active Directory (AD). Cyberprzestępcy wykorzystują pewne nieprawidłowości w protokole uwierzytelniania Kerberos, który stosuje Microsoft. 

Jak się ochronić? Golden Ticket działa tylko na konta z uprawnieniami administratora. Właściwa implementacja LAPS ogranicza liczbę kont z tymi uprawnieniami, co zmniejsza potencjalny wpływ ataku. LAPS sprawia też, że hasła, które potencjalnie mogą zostać wykradzione przez hackerów, mają krótki termin przydatności. Po upływie określonego czasu hasło automatycznie wygaśnie i atakujący straci dostęp do konta. Windows LAPS utrudnia też eskalację uprawnień. Atak poprzez Golden Ticket zazwyczaj rozpoczyna się od konta o niskich uprawnieniach, a następnie wykorzystuje je do zdobycia dostępu do kont z coraz wyższymi uprawnieniami.

Zastosowanie w codziennej pracy

Oprócz skutecznej ochrony przed atakami hackerskimi, LAPS oferuje szereg innych użytecznych funkcji. 

Jedną z zalet jest możliwość odzyskiwania historii haseł. Gdy administratorzy musieli przywrócić obraz z maszyny z kopii zapasowej sprzętu, np. sprzed szczęściu miesięcy i nie mogli się do niej dostać za pomocą żadnego konta firmowego, potrzebowali konta lokalnego. Jednakże wcześniej, tzw. Legacy LAPS przechowywał tylko najnowsze i najlepsze hasło. W przypadku nowszej odsłony system– Windows LAPS przechowuje do 12 poprzednich haseł w aktywnym katalogu. Wszystkie są dostępne dla administratora, który może bez przeszkód uzyskać do nich dostęp i przywrócić kopie zapasowe obrazów systemu. 

Innym ciekawym gadżetem jest zarządzanie urządzeniami z poziomu subskrypcji Intune. Jeśli administrator potrzebował wymusić na urządzeniu, aby zmieniło hasło, to w starszej wersji LAPS dokonywało się to poprzez modyfikację stanu, tj. znacznika wygaśnięcia hasła w katalogu. Następnie hasło aktualizowało się długo szczególnie, gdy urządzenie nie ma łączności z kontrolerami domeny Active Directory, aby pobrać lub sprawdzić najnowszy stan. W przypadku urządzenia zarządzanego przez usługę Intune, można użyć możliwości kanału Intune do zarządzania tym urządzeniem, aby nakazać mu natychmiastową rotację hasła. Trzeba tylko kliknąć odpowiedni przycisk i gotowe.

Obawy przed wdrożeniem Windows LAPS

Niektórzy administratorzy boją się jednak wdrożyć Windows LAPS. Obawiają się, że każdy będzie miał dostęp lub będzie wiedział, jak uzyskać dostęp do lokalnych haseł. Jeśli mówimy o jakimkolwiek innym rozwiązaniu opartym na Active Directory, może być ono kontrolowane przez ACL (ang. Active Directory Access Control List). Poprzez AD administratorzy ustawiają uprawnienia, decydują, kto ma dostęp, aby móc odszyfrować lokalne hasła w poszczególnych Jednostkach Organizacyjnych (OU). Natomiast w usłudze Azure AD mamy do dyspozycji RBAC (ang. Role-Based Access Control, kontrola dostępu oparta na rolach). 

Ogólnie rzecz biorąc, jeśli ktoś rozważa wdrożenie Windows LAPS, powinien zdecydowanie przeczytać dokumentację i dobrze zrozumieć główną funkcję tego narzędzia. W scenariuszu on-premise przy użyciu list ACL hasła w Windows LAPS i AD mogą zostać zabezpieczone w podobny sposób do możliwości starszych funkcji. W takim wypadku dostępne jest dwuskładnikowe uwierzytelnianie. Aby uzyskać dostęp do hasła w postaci tekstowej, gdy jest ono zaszyfrowane, trzeba pokonać oba poziomy. Pierwszą warstwą są więc listy ACL AD. Konieczne są uprawnienia w Active Directory, aby wysłać zapytanie LDAP (ang. Lightweight Directory Access Protocol, lekki protokół dostępu do katalogu), aby przywrócić te atrybuty do urządzenia klienckiego. To więc pierwsza warstwa. 

Drugą jest kwestia uprawnień, czyli czy administrator jest upoważniony do odszyfrowania hasła po tym jak zostało ono zwrócone w postaci zaszyfrowanego blobu z katalogu (ang. Binary Large Object, duży obiekt binarny).

Nadzieja w ustawieniach domyślnych

Połączenie tych dwóch modeli autoryzacji sprawia, że scenariusz lokalny jest bardziej bezpieczny. Domyślnie wszystkie urządzenia Windows LAPS, o ile administratorzy nie skonfigurują ich inaczej, zaszyfrują hasła tylko w taki sposób, aby bieżąca grupa administratorów domeny mogła je odszyfrować. Dlatego na start rekomendowane jest rozpoczęcie od domyślnych ustawień, czyli tylko administratorzy domeny mogą uzyskać dostęp. Dodatkowo, jeśli nie ulegnie zmianie domyślna konfiguracja RBAC, to jedyne role, które mogą pobrać hasła to administratorzy globalni, Intune i administratorzy urządzeń. To powinny być role najbardziej upoważnione w każdej firmowej infrastrukturze IT.

Solidne wsparcie

Windows LAPS wpisuje się we współczesne praktyki cyberbezpieczeństwa. Biorąc pod uwagę fakt, że podstawą zabezpieczeń są nadal hasła, to funkcje zapewniające budowanie silnych i losowych haseł oraz ich rotowanie, niewątpliwie wesprą administratorów haseł do lokalnych kont. Windows LAPS wspiera też zarządzanie upoważnieniami, co sprawia, że do haseł faktycznie ma dostęp ograniczona liczba osób. W rozmaitych kombinacjach z innymi narzędziami Windows LAPS staje się potężnym sprzymierzeńcem.


Zachęcamy do udziału w warsztatach!
WatchGuard CloudDR Nowość

WatchGuard CloudDR

WatchGuard CloudDR zapewnia ochronę danych, automatyczne backupy i szybkie odtworzenie środowiska IT po awarii lub ataku ransomware.

Wycena indywidualna
Zobacz więcej
Oceń blog:
Czas czytania: 11 min
Data: 02.04.2024

Terminarz

prev

next

Lista najbliższych webinariów

25.06.2026
10:00 [ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
[ON-DEMAND] OXARI ITSM w praktyce – Service Desk, CMDB i automatyzacja procesów IT w jednej platformie PREMIERA 17.06.2026
29.06.2026
10:00 PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
PODCAST Włam się w Temat - Scroll, hejt, uzależnienie - dlaczego dzieci potrzebują cyfrowej ochrony? Gość: Mikołaj Sołtysik PREMIERA 29.06.2026
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel Endpoint Detection and Response (EDR)

case study: Jeden panel zamiast pięciu osobnych narzędzi. Case study firmy Euro Steel

Czytaj więcej
case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline Next Generation Firewall (NGFW)

case study: Bez tego poziomu zabezpieczeń nie dostaliby kontraktu. Historia firmy Drainline

Czytaj więcej
WatchGuard MDR - co to jest i który wariant wybrać? Managed Detection and Response (MDR)

WatchGuard MDR - co to jest i który wariant wybrać?

Czytaj więcej
WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026 Endpoint Detection and Response (EDR)

WatchGuard Endpoint Security: co się zmieniło w WatchGuard 2026

Czytaj więcej
Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności Usługi i szkolenia

Uczniowie w świecie sztucznej inteligencji, czyli między genialnym wsparciem a pułapką bezmyślności

Czytaj więcej
1Security: Widoczność i kontrola Microsoft365

Microsoft 365 rozwija się każdego dnia - nowe zespoły, goście i udostępnienia pojawiają się szybciej, niż da się je kontrolować. Każdy z nich to potencjalne wejście dla nieautoryzowanego dostępu. Wrażliwe dane krążą po środowisku bez nadzoru, a Copilot może zobaczyć więcej, niż powinien. Brak pełnej widoczności to dziś nie tylko ryzyko, to prowokowanie incydentu.

141.14 PLN
Zobacz więcej
Trend Micro Cloud App Security

Trend Micro Cloud App Security

Trend Micro Cloud App Security to zaawansowana ochrona aplikacji chmurowych, takich jak Microsoft 365 i Google Workspace, zapewniająca skuteczną obronę przed phishingiem, ransomware i atakami BEC. Dzięki integracji z XDR oraz analizie zagrożeń w czasie rzeczywistym zabezpiecza udostępnianie plików i chroni dane firmowe przed cyberatakami.

Wycena indywidualna
Zobacz więcej
Warsztaty jednodniowe Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Nowość

Hardening środowiska Windows - Tiering Active Directory, Credential Guard, Jump Servers, Privileged Access Workstations Terminy ustalane są indywidualnie po osiągnięciu minimalnej liczby uczestników. Warsztaty odbywają się w formie ONLINE.

1722.00 PLN
Zobacz więcej