Partilhar via


Definir configurações de política para a LAPS do Windows

A LAPS do Windows dá suporte a várias configurações que você pode controlar usando a política. Saiba mais sobre as configurações e como administrá-las.

Raízes de política com suporte

Embora não recomendado, você pode administrar um dispositivo usando vários mecanismos de gerenciamento de políticas. Para dar suporte a esse cenário de maneira compreensível e previsível, cada mecanismo de política da LAPS do Windows recebe uma chave raiz do registro distinta:

Nome de política Raiz de chave do registro de política
LAPS do CSP HKLM\Software\Microsoft\Policies\LAPS
Política de Grupo da LAPS HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
Configuração local da LAPS HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
Microsoft LAPS herdado HKLM\Software\Policies\Microsoft Services\AdmPwd

A LAPS do Windows consulta todas as raízes de política de chave de registro conhecidas, começando de cima para baixo. Se nenhuma configuração for encontrada em uma raiz, essa raiz será ignorada e a consulta continuará para a próxima raiz. Quando uma raiz que tem pelo menos uma configuração definida explicitamente é encontrada, essa raiz é usada como a política ativa. Se a raiz escolhida não possuir configurações, as configurações receberão os valores padrão.

As configurações de política nunca são compartilhadas ou herdadas entre as principais raízes da política.

Dica

A chave de Configuração local da LAPS está incluída na tabela anterior para obter integridade. Você pode usar essa chave, se necessário, mas a chave destina-se principalmente a ser usada para testes e desenvolvimento. Nenhuma ferramenta de gerenciamento ou mecanismos de política têm essa chave como destino.

Configurações de política com suporte do BackupDirectory

A LAPS do Windows dá suporte a várias configurações de política que você pode administrar por meio de várias soluções de gerenciamento de políticas ou até mesmo diretamente por meio do registro. Algumas dessas configurações só se aplicam ao fazer backup de senhas no Active Directory, e algumas configurações são comuns aos cenários do AD e do Microsoft Entra.

A seguinte tabela especifica quais configurações se aplicam a dispositivos que têm a configuração BackupDirectory especificada:

Nome da configuração Aplicável quando BackupDirectory=Microsoft Entra ID? Aplicável quando BackupDirectory=AD?
AdministratorAccountName Sim Sim
PasswordAgeDays Sim Sim
PasswordLength Sim Sim
PassphraseLength Sim Sim
PasswordComplexity Sim Sim
PostAuthenticationResetDelay Sim Sim
PostAuthenticationActions Sim Sim
ADPasswordEncryptionEnabled No Sim
ADPasswordEncryptionPrincipal No Sim
ADEncryptedPasswordHistorySize No Sim
ADBackupDSRMPassword No Sim
PasswordExpirationProtectionEnabled No Sim
AutomaticAccountManagementEnabled Sim Sim
AutomaticAccountManagementTarget Sim Sim
AutomaticAccountManagementNameOrPrefix Sim Sim
AutomaticAccountManagementEnableAccount Sim Sim
AutomaticAccountManagementRandomizeName Sim Sim

Se BackupDirectory estiver definido como Desabilitado, todas as outras configurações serão ignoradas.

Você pode administrar quase todas as configurações usando qualquer mecanismo de gerenciamento de políticas. O CSP (Provedor de serviços de configuração) da LAPS do Windows tem duas exceções a essa regra. O CSP da LAPS do Windows dá suporte a duas configurações que não estão na tabela anterior: ResetPassword e ResetPasswordStatus. Além disso, o CSP da LAPS do Windows não dá suporte à configuração ADBackupDSRMPassword (os controladores de domínio nunca são gerenciados por meio do CSP). Para obter mais informações, confira a documentação da LAPS do CSP.

Política de Grupo da LAPS do Windows

A LAPS do Windows inclui um novo Objeto de Política de Grupo que você pode usar para administrar as configurações de política em dispositivos ingressados no domínio do Active Directory. Para acessar a Política de Grupo da LAPS do Windows, no Editor de Gerenciamento de Política de Grupo, acesse Configuração do Computador>Modelos Administrativos>Sistema>LAPS. A seguinte figura mostra um exemplo:

Captura de tela do Editor de Gerenciamento de Política de Grupo que mostra as configurações de política da LAPS do Windows.

O modelo para este novo objeto Política de Grupo é instalado como parte do Windows em %windir%\PolicyDefinitions\LAPS.admx.

Repositório central do objeto Política de Grupo

Importante

Os arquivos de modelo de GPO do Windows LAPS NÃO são copiados automaticamente para o repositório central de GPO como parte de uma operação de aplicação de patch de Windows Update, supondo que você tenha escolhido implementar essa abordagem. Em vez disso, você deve copiar manualmente o LAPS.admx para o local do repositório central de GPO. Confira Criar e gerenciar o Repositório Central.

CSP da LAPS do Windows

O Windows LAPS inclui um CSP específico que você pode usar para administrar as configurações de política em dispositivos ingressados no Microsoft Entra. Gerencie o CSP da LAPS do Windows usando o Microsoft Intune.

Aplicar configurações de política

As seções a seguir descrevem como usar e aplicar várias configurações de política na LAPS do Windows.

BackupDirectory

Usar essa configuração para controlar em qual diretório a senha da conta gerenciada terá backup.

Valor Descrição de configuração
0 Desabilitado (a senha não terá backup)
1 Fazer backup da senha apenas para o Microsoft Entra
2 Fazer backup da senha somente no Windows Server Active Directory

Se não for especificada, essa configuração usará 0 como padrão (Desabilitado).

AdministratorAccountName

Usar essa configuração para configurar o nome da conta de administrador local gerenciada.

Se não for especificada, essa configuração usará como padrão o gerenciamento da conta de administrador local interna.

Importante

Não especifique essa configuração, exceto se desejar gerenciar uma conta diferente da conta de administrador local interna. A conta de administrador local é identificada automaticamente pelo RID (ID relativo) conhecido.

Importante

Você pode configurar a conta especificada (interna ou personalizada) como habilitada ou desabilitada. O Windows LAPS gerenciará a senha dessa conta em qualquer estado. No entanto, se for deixada em um estado desabilitado, obviamente, primeiro a conta deverá ser habilitada para ser realmente usada.

Importante

Caso configure a LAPS do Windows para gerenciar uma conta de administrador local personalizada, deverá garantir que a conta seja criada. A LAPS do Windows não cria a conta.

Importante

Esta configuração será ignorada quando AutomaticAccountManagementEnabled for habilitado.

PasswordAgeDays

Essa configuração controla a idade máxima da senha da conta de administrador local gerenciada. Os valores com suporte são:

  • Mínimo: 1 dia (quando o diretório de backup é configurado para ser o Microsoft Entra ID, o mínimo são 7 dias).
  • Máximo: 365 dias

Se não for especificada, essa configuração usará 30 dias como padrão.

Importante

As alterações na configuração da política PasswordAgeDays não têm efeito sobre o tempo de expiração da senha atual. Da mesma forma, as alterações na configuração da política PasswordAgeDays não farão com que o dispositivo gerenciado inicie uma rotação de senha.

PasswordLength

Usar essa configuração para configurar o comprimento da senha da conta de administrador local gerenciada. Os valores com suporte são:

  • Mínimo: 8 caracteres
  • Máximo: 64 caracteres

Se não for especificada, essa configuração usará 14 caracteres como padrão.

Importante

Não configure PasswordLength com um valor incompatível com a política de senha local do dispositivo gerenciado. Isso fará com que a LAPS do Windows falhe ao criar uma nova senha compatível (procure um evento 10027 no log de eventos da LAPS do Windows).

A configuração PasswordLength é ignorada, a menos que PasswordComplexity esteja configurada como uma das opções de senha.

PassphraseLength

Use essa configuração para configurar o número de palavras na frase secreta da conta de administrador local gerenciada. Os valores com suporte são:

  • Mínimo: 3 palavras
  • Máximo: 10 palavras

Se não for especificada, essa configuração usará 6 palavras como padrão.

A configuração PassphraseLength é ignorada, a menos que PasswordComplexity esteja configurada como uma das opções de frase secreta.

PasswordComplexity

Use essa configuração para configurar a complexidade necessária da senha da conta de administrador local gerenciada ou para especificar que uma frase secreta é criada.

Valor Descrição de configuração
1 Letras maiúsculas
2 Letras maiúsculas + letras minúsculas
3 Letras maiúsculas + letras minúsculas + números
4 Letras maiúsculas + letras minúsculas + números + caracteres especiais
5 Letras maiúsculas + letras minúsculas + números + caracteres especiais (maior legibilidade)
6 Frase secreta (palavras longas)
7 Frase secreta (palavras curtas)
8 Frase secreta (palavras curtas com prefixos exclusivos)

Se não for especificada, essa configuração usará 4 como padrão.

Importante

O Windows dá suporte às configurações de complexidade inferiores de senha (1, 2 e 3) somente na compatibilidade com versões anteriores do Microsoft LAPS herdado. É recomendável sempre defina essa configuração como 4.

Importante

Não configure PasswordComplexity com uma definição incompatível com a política de senha local do dispositivo gerenciado. Isso fará com que a LAPS do Windows falhe ao criar uma nova senha compatível (procure um evento 10027 no log de eventos da LAPS do Windows).

PasswordExpirationProtectionEnabled

Usar essa configuração para definir a imposição da idade máxima da senha para a conta de administrador local gerenciada.

Os valores com suporte são 1 (verdadeiro) ou 0 (falso).

Se não for especificada, essa configuração usará 1 (verdadeiro) como padrão.

Dica

No modo herdado do Microsoft LAPS, essa configuração usa como padrão Falso para compatibilidade com versões anteriores.

ADPasswordEncryptionEnabled

Usar essa configuração para habilitar a criptografia de senhas no Active Directory.

Os valores com suporte são 1 (verdadeiro) ou 0 (falso).

Importante

Habilitar essa configuração exige que seu domínio do Active Directory esteja em execução no Nível de Função de Domínio 2016 ou posterior.

ADPasswordEncryptionPrincipal

Usar essa configuração para configurar o nome ou SID (identificador de segurança) de um usuário ou grupo que pode descriptografar a senha armazenada no Active Directory.

Essa configuração será ignorada se a senha estiver armazenada atualmente no Azure.

Se não for especificada, somente os membros do grupo Administradores de Domínio no domínio do dispositivo poderão descriptografar a senha.

Se for especificado, o usuário ou o grupo especificado poderá descriptografar a senha armazenada no Active Directory.

Importante

A sequência armazenada nessa configuração é um SID no formato de sequência ou o nome totalmente qualificado de um usuário ou grupo. Confira exemplos válidos:

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

A entidade de segurança identificada (por SID ou pelo nome de usuário ou grupo) deve existir e ser resolvível pelo dispositivo.

OBSERVAÇÃO: os dados especificados nesta configuração são inseridos como estão; por exemplo, não adicione aspas ou parênteses.

Essa configuração será ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como verdadeiro e todos os outros pré-requisitos sejam atendidos.

Essa configuração é ignorada quando as senhas de conta do DSRM (Modo de Reparo de Serviços de Diretório) são armazenadas em backup em um controlador de domínio. Nesse cenário, essa configuração sempre usa como padrão o grupo de administradores do domínio do domínio do controlador de domínio.

ADEncryptedPasswordHistorySize

Usar essa configuração para definir quantas senhas criptografadas anteriores são lembradas no Active Directory. Os valores com suporte são:

  • Mínimo : 0 senhas
  • Máximo: 12 senhas

Se não for especificada, essa configuração usará 0 senhas como padrão (Desabilitado).

Importante

Essa configuração será ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como verdadeiro e todos os outros pré-requisitos sejam atendidos.

Essa configuração também entra em vigor em controladores de domínio que fazem backup das próprias senhas do DSRM.

ADBackupDSRMPassword

Usar essa configuração para habilitar o backup da senha da conta do DSRM em controladores de domínio do Windows Server Active Directory.

Os valores com suporte são 1 (verdadeiro) ou 0 (falso).

Essa configuração usa 0 (falso) como padrão.

Importante

Essa configuração será ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como verdadeiro e todos os outros pré-requisitos sejam atendidos.

PostAuthenticationResetDelay

Usar essa configuração para especificar por quanto tempo (em horas) deve-se aguardar após uma autenticação antes de executar as ações de pós-autenticação especificadas (consulte PostAuthenticationActions). Os valores com suporte são:

  • Mínimo : 0 horas (definir esse valor como 0 desabilita todas as ações pós-autenticação)
  • Máximo: 24 horas

Se não for especificada, essa configuração usará 24 horas como padrão.

PostAuthenticationActions

Usar essa configuração para especificar as ações a serem executadas após a expiração do período de carência configurado (consulte PostAuthenticationResetDelay).

Essa configuração pode ter um dos seguintes valores:

Valor Nome Ações executadas quando o período de carência expira Comentários
1 Redefinir senha A senha da conta gerenciada é redefinida.
3 Redefinir senha e sair do serviço A senha da conta gerenciada é redefinida, as sessões de entrada interativas que usam a conta gerenciada são encerradas e as sessões SMB que usam a conta gerenciada são excluídas. As sessões de entrada interativas recebem um aviso de dois minutos não configurável para salvar o trabalho e sair.
5 Redefinir senha e reinicializar A senha da conta gerenciada é redefinida e o dispositivo gerenciado é reiniciado. O dispositivo gerenciado é reiniciado após um atraso de um minuto não configurável.
11 Redefinir senha e sair do serviço A senha da conta gerenciada é redefinida, as sessões de entrada interativas que usam a conta gerenciada são encerradas, as sessões SMB que usam a conta gerenciada são excluídas e quaisquer processos em execução restantes sob a identidade da conta gerenciada são terminados. As sessões de entrada interativas recebem um aviso de dois minutos não configurável para salvar o trabalho e sair.

Se não for especificada, essa configuração usará 3 como padrão.

Importante

As ações de pós-autenticação permitidas destinam-se a ajudar a limitar por quanto tempo uma senha da LAPS do Windows pode ser usada antes de ser redefinida. Sair da conta gerenciada ou reiniciar o dispositivo são opções que ajudam a garantir que o tempo seja limitado. Encerrar abruptamente sessões de entrada ou reiniciar o dispositivo pode resultar em perda de dados.

Do ponto de vista da segurança, um usuário mal-intencionado que adquire privilégios administrativos em um dispositivo usando uma senha válida da LAPS do Windows tem a capacidade suprema de impedir ou contornar esses mecanismos.

Importante

PostAuthenticationActions o valor 11 só tem suporte no Windows 11 24H2, Windows Server 2025 e versões posteriores.

AutomaticAccountManagementEnabled

Use essa configuração para habilitar o gerenciamento automático de contas.

Os valores com suporte são 1 (verdadeiro) ou 0 (falso).

Essa configuração usa 0 (falso) como padrão.

AutomaticAccountManagementTarget

Use essa configuração para especificar se a conta interna de Administrador é uma conta gerenciada automaticamente ou uma nova conta personalizada.

Valor Descrição de configuração
0 Gerenciar automaticamente a conta de administrador interna
1 Gerenciar automaticamente uma nova conta personalizada

Essa configuração usa 1 como padrão.

Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.

AutomaticAccountManagementNameOrPrefix

Use essa configuração para especificar o nome ou o prefixo do nome da conta gerenciada automaticamente.

Essa configuração usa WLapsAdmin como padrão.

Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.

AutomaticAccountManagementEnableAccount

Use essa configuração para habilitar ou desabilitar a conta gerenciada automaticamente.

Valor Descrição de configuração
0 Desabilitar a conta gerenciada automaticamente
1 Habilitar a conta gerenciada automaticamente

Essa configuração usa 0 como padrão.

Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.

AutomaticAccountManagementRandomizeName

Use essa configuração para habilitar a geração aleatória do nome da conta gerenciada automaticamente.

Quando essa configuração está habilitada, o nome da conta gerenciada (determinado pela configuração AutomaticAccountManagementNameOrPrefix) recebe um sufixo aleatório de seis dígitos toda vez que a senha é girada.

Os nomes de contas locais do Windows têm um comprimento máximo de 20 caracteres, o que significa que o componente de nome deve ter no máximo 14 caracteres para garantir espaço suficiente para o sufixo aleatório. Os nomes de conta especificados por AutomaticAccountManagementNameOrPrefix com mais de 14 caracteres são truncados.

Valor Descrição de configuração
0 Não gerar aleatoriamente o nome da conta gerenciada automaticamente
1 Gerar aleatoriamente o nome da conta gerenciada automaticamente

Essa configuração usa 0 como padrão.

Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.

Valores de política padrão da LAPS do Windows

Todas as configurações de política da LAPS do Windows têm um valor padrão. O valor padrão é aplicado sempre que um administrador não define uma configuração específica. O valor padrão também é aplicado sempre que um administrador configura uma definição específica com um valor não suportado.

Nome da configuração Valor padrão
BackupDirectory Desabilitadas
AdministratorAccountName Nulo\vazio
PasswordAgeDays 30
PasswordLength 14
PassphraseLength 6
PasswordComplexity 4
PostAuthenticationResetDelay 24
PostAuthenticationActions 3 (Redefinir a senha e sair do sistema)
ADPasswordEncryptionEnabled Verdadeiro
ADPasswordEncryptionPrincipal Administradores do domínio
ADEncryptedPasswordHistorySize 0
ADBackupDSRMPassword Falso
PasswordExpirationProtectionEnabled Verdadeiro
AutomaticAccountManagementEnabled Falso
AutomaticAccountManagementTarget Sim
AutomaticAccountManagementNameOrPrefix Sim
AutomaticAccountManagementEnableAccount Falso
AutomaticAccountManagementRandomizeName Falso

Importante

O ADPasswordEncryptionPrincipal é uma exceção à regra de configuração incorreta. O padrão dessa configuração é definido como “Administradores de domínio” somente quando a configuração não estiver definida. Caso um nome de usuário ou grupo inválido seja especificado, isso causará uma falha no processamento da política e não será feito o backup da senha da conta gerenciada.

Lembre-se desses padrões ao configurar novos recursos da LAPS do Windows; por exemplo, suporte a senhas. Se você configurar uma política com um valor de PasswordComplexity como 6 (senhas de palavras longas) e, em seguida, aplicar essa política a um sistema operacional mais antigo que não seja compatível com esse valor, o sistema operacional de destino usará o valor padrão de 4. Para evitar esse resultado, crie duas políticas diferentes: uma para o sistema operacional mais antigo e outra para o mais recente.