Modalità di gestione degli account Windows LAPS
Informazioni sulle diverse modalità di gestione degli account supportate dalla Soluzione password amministratore locale Windows (Windows LAPS).
Importante
La funzionalità di gestione automatica degli account Windows LAPS è supportata solo in Windows 11 24H2, Windows Server 2025 e versioni successive.
Lo scopo principale di Windows LAPS è ruotare regolarmente la password di un account di Windows locale. Questo account può essere l'account Amministratore predefinito o un nuovo account personalizzato. L'amministratore IT ha due modalità diverse tra cui scegliere per la configurazione e la gestione dell'account di destinazione: manuale e automatico. Entrambe le modalità presentano vantaggi e svantaggi.
Sono disponibili due modalità diverse di gestione dell'account di destinazione.
La modalità manuale di gestione dell'account è la modalità predefinita. In modalità manuale, l'amministratore IT è responsabile della configurazione di tutti gli aspetti dell'account gestito, ad eccezione della password, che Windows LAPS gestisce e controlla.
La modalità di gestione automatica degli account è una modalità facoltativa. In modalità automatica, Windows LAPS è responsabile della configurazione di tutti gli aspetti dell'account gestito, inclusa la creazione e l'eliminazione di account di base in base alle esigenze, oltre alla password dell'account.
La modalità manuale è la modalità predefinita. L'amministratore IT ha la possibilità di scegliere se impostare come destinazione l'account Amministratore predefinito o un nuovo account personalizzato. Questa scelta viene configurata tramite l'impostazione dei criteri AdministratorAccountName. Se l'impostazione AdministratorAccountName è vuota, l'account Amministratore predefinito viene gestito; in caso contrario, AdministratorAccountName specifica il nome di un account locale personalizzato.
Quando si specifica un account locale personalizzato, l'amministratore IT è responsabile della creazione di tale account prima di abilitare Windows LAPS - Windows LAPS non crea l'account in questa modalità. Esistono diversi modi per creare un account locale:
- Configurazione del provider di servizi di configurazione account
- Distribuzione di script di gestione personalizzati basati su criteri
- Aggiunta dell'account di destinazione a un'immagine del sistema operativo di base.
Questi meccanismi aggiungono complessità aggiuntiva che è possibile evitare usando la modalità di gestione automatica degli account.
In questa modalità, la password dell'account di destinazione è protetta da manomissioni accidentali. Sono consentite tutte le altre modifiche alla configurazione dell'account.
La modalità automatica è una modalità disattivata per impostazione predefinita. Dopo aver abilitato l'Amministratore IT, è possibile scegliere tra i dettagli di configurazione seguenti:
- Indica se impostare come destinazione l'account Amministratore predefinito o un nuovo account personalizzato
- Nome dell'account
- Parametro che indica se abilitare o disabilitare l'account
- Indica se eseguire in modo casuale il nome dell'account
Quando la modalità automatica è abilitata, l'account gestito viene configurato come segue:
- L'account viene reso membro del gruppo locale Amministratori
- L'impostazione password-not-required viene disabilitata
- Il flag password-never-expires viene disabilitato
- La descrizione dell'account viene modificata per indicare che Windows LAPS controlla l'account
Come qualsiasi account utente, gli account locali di Windows rappresentano un potenziale vettore di vulnerabilità per gli utenti malintenzionati. Questa minaccia è presente anche per gli account gestiti da Windows LAPS, anche se mitigati in misura enorme dalle password altamente complesse generate (e ruotate regolarmente) da Windows LAPS. La gestione automatica degli account offre due miglioramenti che possono ridurre ulteriormente le minacce quando si desidera una maggiore garanzia per gli ambienti ad alta minaccia.
Prima di tutto, la gestione dell'account gestito in uno stato disabilitato elimina completamente qualsiasi possibilità che l'account possa essere la destinazione di un attacco di password spraying o simile. Mantenendo l'account gestito in uno stato disabilitato, tuttavia, si verifica un problema: l'account gestito deve essere abilitato (tramite l'oggetto Criteri di gruppo o la modifica dei criteri MDM) prima di poter usare l'account.
In secondo luogo, la gestione di un nome account gestito univoco per ogni dispositivo (tramite randomizzazione del nome account) rende più difficile il processo di un utente malintenzionato. Invece di sapere in anticipo quale account attaccare su tutti i dispositivi, l'utente malintenzionato deve in qualche modo scoprire il nome dell'account in un determinato dispositivo di destinazione. C'è più attrito anche perché il personale IT deve essere addestrato a non basarsi sulla conoscenza di un nome di account gestito comune a livello di organizzazione.
Gli amministratori IT che distribuiscono Windows LAPS nell'ambiente critico per la sicurezza devono prendere in considerazione queste funzionalità. Se l'attrito introdotto tramite l'adozione di queste funzionalità è accettabile dipende dalla frequenza con cui gli account gestiti da Windows LAPS devono essere usati, oltre ai requisiti di sicurezza di un determinato ambiente IT.
Windows supporta più criteri per la gestione dell'appartenenza ai gruppi locali di Windows:
- CSP criteri RestrictedGroups
- CSP criteri LocalUsersAndGroups
- Utenti e gruppi locali (Criteri di gruppo)
- Gruppi con restrizioni (Criteri di gruppo)
Ciascuno dei criteri precedenti supporta una modalità di configurazione che può essere usata per forzare la rimozione di tutti i membri di un gruppo locale specificato. I criteri precedenti ignorano ora qualsiasi tentativo di rimuovere Windows LAPS gestito automaticamente dal gruppo locale Amministratori.
La protezione antimanomissione dell'account viene espansa in modalità automatica. Windows LAPS controlla tutti gli aspetti di configurazione di un account gestito automaticamente. I tentativi esterni di modificare l'account gestito vengono bloccati. Gli amministratori IT non devono creare criteri o script che tentano di modificare l'account gestito.
Windows LAPS rifiuta i tentativi imprevisti di modificare l'account con un errore STATUS_POLICY_CONTROLLED_ACCOUNT
(0xC000A08B) o ERROR_POLICY_CONTROLLED_ACCOUNT
(0x21CE\8654). Ogni rifiuto ha un evento associato nel canale del registro eventi di Windows LAPS. Gli eventi 10101-10104 vengono registrati in base al tipo di richiesta di modifica (modifica di base, modifica del descrittore di sicurezza, eliminazione o rimozione dal gruppo locale Amministratori).
La modalità manuale è la scelta migliore per le situazioni che richiedono una configurazione univoca e/o dettagliata dell'account di destinazione.
La modalità automatica è la scelta migliore per le situazioni con requisiti meno dettagliati, ad esempio, è necessario che l'account gestito sia disponibile e pronto per l'uso in una configurazione di base con privilegi Amministratore. La modalità automatica supporta anche la creazione di un nuovo account personalizzato.
Funzionalità | Modalità manuale | Modalità automatica |
---|---|---|
Password controllata da Windows LAPS | Sì | Sì |
L'amministratore IT può personalizzare l'account | Sì | No |
Supporta la creazione automatica dell'account | No | Sì |
Supporta la denominazione automatica degli account | No | Sì |
Supporta l'abilitazione automatica dell'account/disabilitazione | No | Sì |
Supporta la randomizzazione automatica del nome dell'account | No | Sì |
Supporta l'integrazione con i criteri dell'account locale | No | Sì |
Importante
Microsoft consiglia ai clienti di preferire sempre la modalità di gestione automatica degli account, ad eccezione di quelle (rare) situazioni che richiedono una configurazione univoca dell'account di gestione di destinazione. È inoltre consigliabile configurare la modalità di gestione automatica degli account per creare un account personalizzato e che l'account amministratore predefinito venga lasciato inutilizzato e mantenuto in uno stato disabilitato.
Windows LAPS supporta la gestione della password dell'account DSRM (Directory Services Repair Mode) nei controller di dominio. Le modalità manuale e automatica di gestione degli account descritte in questo articolo non si applicano all'account DSRM.
- Concetti chiave nella Soluzione password dell'amministratore locale di Windows
- Password e passphrase Windows LAPS
Ora che si conoscono le diverse modalità di gestione degli account, consultare le sezioni che seguono.