Windows LAPS, acronimo di Local Administrator Password Solution, è una soluzione gratuita progettata per semplificare e rafforzare la gestione delle password degli account amministrativi locali nei sistemi Windows. Con l’automazione di attività come la creazione, la gestione e il backup delle password su desktop e server, Windows LAPS rappresenta un passo avanti in termini di sicurezza e operatività.
Questo articolo esplora le novità introdotte in Windows Server 2025, evidenziando come questa tecnologia si evolva per rispondere alle sfide moderne della gestione IT.
Perché Windows LAPS è così utile
La gestione delle password degli account amministrativi locali è sempre stata una sfida dal punto di vista della sicurezza. Una delle problematiche principali, ancora diffusa in molte aziende, riguarda l’uso di una password unica per tutte le utenze locali. Questo approccio comporta un rischio significativo: in caso di compromissione della password, un attaccante potrebbe eseguire movimenti laterali all’interno della rete e ottenere accesso a ulteriori risorse.
I principali vantaggi offerti da Windows LAPS includono:
- Maggiore sicurezza: garantisce che ogni account amministrativo locale utilizzi password uniche, aggiornate regolarmente.
- Conformità normativa: supporta le organizzazioni nel rispetto dei requisiti di sicurezza interni e delle normative vigenti.
- Riduzione della superficie d’attacco: limita il rischio di movimenti laterali in caso di compromissione delle credenziali.
- Gestione automatizzata: semplifica il lavoro amministrativo automatizzando il processo di cambio e archiviazione delle password.
Quali sono le novità di Windows LAPS in Windows Server 2025?
Windows LAPS introduce una serie di funzionalità avanzate in Windows Server 2025 per semplificare la gestione degli account amministrativi locali e migliorare la sicurezza. Ecco le principali novità:
1. Creazione automatica dell’account “Local Administrator”
Una delle limitazioni delle versioni precedenti di LAPS era la necessità di avere già un account amministrativo locale presente sul dispositivo. Questo rappresentava una sfida per chi non utilizzava l’account predefinito “Administrator”, costringendo gli amministratori a creare manualmente nuovi account (ad esempio, “LAPSAdm”) su ogni dispositivo.
Con Windows LAPS 2025, il problema è stato risolto: il sistema è ora in grado di generare automaticamente un account amministrativo locale se necessario, eliminando interventi manuali e riducendo il rischio di errori o configurazioni incomplete.
2. Possibilità di disabilitare l’account “Local Administrator”
Windows LAPS 2025 consente di mantenere disabilitato l’account “Local Administrator” per ridurre l’esposizione agli attacchi informatici. Questa funzione rappresenta un importante passo avanti in termini di sicurezza:
- Minore esposizione agli attacchi: un account disabilitato non può essere sfruttato, nemmeno se le credenziali vengono compromesse.
- Gestione automatica: LAPS abilita e disabilita automaticamente l’account solo quando necessario, garantendo accessi temporanei e controllati.
- Conformità normativa: questa funzionalità aiuta a rispettare le normative IT che richiedono la minimizzazione degli account amministrativi attivi.
- Riduzione dei rischi di movimenti laterali: un account disabilitato impedisce agli attaccanti di spostarsi lateralmente nella rete.
Le credenziali dell’account, anche quando disabilitato, continuano a essere gestite e aggiornate automaticamente da LAPS, pronte per un’eventuale abilitazione temporanea tramite policy o script.
Come funziona:
- Quando il sistema rileva che l’account “Local Administrator” è disabilitato, le sue credenziali continuano a essere gestite e aggiornate da Windows LAPS, assicurando che siano sempre pronte all’uso in caso di necessità.
- L’abilitazione temporanea può essere automatizzata o manuale tramite policy o script PowerShell, offrendo agli amministratori IT un controllo granulare.
Questa funzione rappresenta un approccio proattivo alla sicurezza, riducendo significativamente il rischio di accessi non autorizzati e semplificando la gestione degli account amministrativi locali.
3. Introduzione del “Suffisso Random” al nome dell’account
Un’altra novità riguarda l’aggiunta di un suffisso casuale al nome dell’account amministrativo locale. Ad ogni rotazione della password, viene generato un suffisso numerico di sei cifre, rendendo i nomi degli account unici e imprevedibili.
La nuova versione di Windows LAPS aggiunge un’impostazione che permette di scegliere come gestire l’account “Local Administrator” in modo semplice e flessibile. Questa funzionalità fa parte della modalità di gestione automatica degli account, che offre agli amministratori IT un maggiore controllo sugli account amministratore locali.
Alcuni punti chiave su questa nuova funzionalità:
- Il suffisso casuale è un numero di sei cifre aggiunto al nome dell’account
- I nomi degli account locali di Windows hanno una lunghezza massima di 20 caratteri, il che limita la lunghezza del nome base quando si utilizza questa funzione
- Questa impostazione può essere configurata per determinare se l’account gestito automaticamente utilizza un suffisso numerico casuale ogni volta che la password viene cambiata
Questa nuova funzionalità aggiunge un ulteriore livello di sicurezza a Windows LAPS, che è progettato per gestire e ruotare automaticamente le password degli account amministratore locali sui dispositivi Windows. Rendendo casuali sia la password che il nome dell’account, diventa significativamente più difficile per potenziali attaccanti indovinare o prevedere le credenziali dell’amministratore locale.
Windows LAPS supporta anche cinque diverse impostazioni di complessità che possono essere utilizzate per generare password casuali, offrendo così una soluzione completa per la gestione sicura degli account amministratore locali.
4. Introduzione delle PassPhrases per una maggiore sicurezza
Windows LAPS 2025 supporta le PassPhrases, che migliorano la sicurezza delle credenziali degli account amministrativi locali grazie alla loro maggiore complessità e resistenza agli attacchi.
Caratteristiche principali delle PassPhrases:
- Lunghezza configurabile: possono essere composte da 3 a 10 parole (predefinita 6), bilanciando sicurezza e usabilità.
- Maggiore resistenza: le PassPhrases sono più difficili da indovinare rispetto alle password tradizionali ma spesso più facili da ricordare.
- Compatibilità: è possibile continuare a utilizzare password tradizionali con lunghezza configurabile (8-64 caratteri).
- Crittografia avanzata: le credenziali, inclusi PassPhrases e password, possono essere crittografate in Active Directory per ulteriore protezione.
- Gestione automatica: LAPS garantisce la rotazione regolare delle PassPhrases per mantenere elevati standard di sicurezza.
- Limitazione temporale: è possibile configurare limiti di utilizzo temporanei per le credenziali dopo l’autenticazione.
Con queste novità, Windows LAPS in Windows Server 2025 si afferma come uno strumento essenziale per migliorare la sicurezza e l’efficienza nella gestione degli account amministrativi locali.
5. Rilevamento del rollback delle VM: una nuova difesa contro i ripristini fraudolenti
Windows LAPS introduce una funzionalità essenziale per mitigare i rischi legati al rollback delle immagini del sistema operativo, fenomeno che può verificarsi quando una macchina virtuale (VM) viene ripristinata a uno stato precedente. Di seguito i dettagli principali:
- Rilevamento automatico:
Windows LAPS è ora in grado di identificare automaticamente un rollback dell’immagine del sistema operativo, indipendentemente dal metodo utilizzato, come il ripristino di Windows o il ripristino di uno snapshot della VM. - Obiettivo di sicurezza:
Questa funzione è progettata per prevenire vulnerabilità derivanti dall’utilizzo di password obsolete o potenzialmente compromesse dopo un rollback. - Attributo di rilevamento:
LAPS utilizza un attributo dedicato per individuare condizioni di “stato incoerente” create da scenari di rollback delle immagini. - Funzionamento continuo:
Anche in assenza dell’attributo di rilevamento, i principali scenari di LAPS continuano a funzionare normalmente. Tuttavia, la sua presenza incrementa sensibilmente la sicurezza del sistema. - Azioni correttive:
Se viene rilevato un rollback, LAPS può eseguire azioni correttive immediate, come la rotazione della password, per garantire che le credenziali siano protette. - Applicazioni negli ambienti virtuali:
Questa funzionalità è particolarmente utile negli ambienti che utilizzano frequentemente snapshot o checkpoint delle VM, dove il rischio di rollback accidentale o malevolo è elevato. - Gestione del backup:
Gli amministratori devono considerare che il ripristino di un backup può attivare questa rilevazione. È quindi fondamentale pianificare procedure per aggiornare le password dopo il ripristino.
6. Nuove funzionalità nella sezione “Post-Authentication Action”
Windows LAPS introduce un’innovativa gestione delle azioni post-autenticazione, pensata per aumentare la sicurezza limitando il periodo di utilizzo delle password dopo l’accesso.
Caratteristiche principali:
- Scopo:
Le azioni post-autenticazione mirano a ridurre la finestra temporale durante la quale una password può essere utilizzata prima della sua reimpostazione. - Configurazione:
Le azioni possono essere impostate tramite Criteri di gruppo (GPO) o soluzioni di gestione dei dispositivi mobili (MDM), come Microsoft Intune. - Opzioni disponibili:
Gli amministratori possono configurare le seguenti azioni:- Reimpostazione della password
- Disabilitazione dell’account
- Eliminazione dell’account
- Terminazione dei processi associati all’account
- Periodo di grazia:
È possibile definire un intervallo di tempo dopo l’autenticazione prima che le azioni configurate vengano eseguite, garantendo flessibilità operativa. - Esecuzione automatica:
Un’attività in background gestisce l’esecuzione delle azioni post-autenticazione una volta scaduto il periodo di grazia. - Flessibilità amministrativa:
Gli amministratori hanno la possibilità di scegliere azioni diverse in base alle esigenze specifiche di sicurezza, adattandole ai vari scenari operativi.
Questo approccio garantisce una gestione avanzata della sicurezza negli ambienti Windows, migliorando la protezione e la flessibilità per amministratori e utenti.
Requisiti Active Directory per Windows LAPS?
Se il tuo dominio è configurato con un livello funzionale (DFL) inferiore al 2016, non è possibile abilitare la crittografia delle password di Windows LAPS. In assenza di crittografia, i client possono solo memorizzare le password in testo semplice (protetto dalle ACL di Active Directory) e i controller di dominio (DC) non possono gestire l’account DSRM locale.
Una volta che il dominio raggiunge il livello funzionale 2016, è possibile abilitare la crittografia delle password di Windows LAPS. Tuttavia, se sono ancora presenti controller di dominio con Windows Server 2016, questi non supportano Windows LAPS e non possono utilizzare la funzionalità di gestione dell’account DSRM (Directory Server Restore Mode).
Prima di utilizzare Windows LAPS, è necessario aggiornare lo schema di Active Directory di Windows Server. Questo passaggio viene eseguito utilizzando il cmdlet Update-LapsADSchema ed è un’operazione una tantum per l’intera foresta.
Il cmdlet Update-LapsADSchema può essere eseguito localmente su un controller di dominio con Windows Server 2022 o Windows Server 2019 aggiornato con Windows LAPS. In alternativa, può essere eseguito su un sistema non appartenente a un controller di dominio, a condizione che supporti il modulo PowerShell di Windows LAPS.
Il dispositivo gestito deve avere l’autorizzazione per aggiornare la propria password. Questo si ottiene impostando autorizzazioni ereditabili sull’Unità Organizzativa (OU) in cui si trova il dispositivo.
Per eseguire questa operazione, si utilizza il cmdlet Set-LapsADComputerSelfPermission. Ad esempio: Set-LapsADComputerSelfPermission -Identity “Nome_Organizational_Unit”
Settings tramite Group Policy
La configurazione per Windows LAPS è disponibile tramite Group Policy, oppure Intune. Ecco descritti alcuni tra i settings comunemente utilizzati.
Il ramo delle GPO relative al Windows LAPS è il seguente: Computer Configuration / Administrative Template/ System / LAPS
Conclusioni
Le nuove funzionalità di Windows LAPS rafforzano ulteriormente la gestione e la sicurezza delle password degli account amministrativi locali, offrendo una soluzione più completa e integrata per affrontare le sfide delle moderne infrastrutture IT. Grazie alle innovazioni descritte, Windows LAPS si posiziona come uno strumento essenziale per proteggere ambienti complessi, garantendo maggiore sicurezza e flessibilità operativa.
Attualmente, queste novità sono disponibili solo su Windows 11 24H2 e Windows Server 2025, rendendo queste piattaforme un punto di riferimento per le organizzazioni che cercano strumenti avanzati di gestione IT.
Se desideri approfondire queste tematiche, Nexsys propone percorsi formativi mirati, come il corso Active Directory Attack & Defense e il corso sulle novità di Windows Server 2025, progettati per sviluppare competenze pratiche e avanzate. Inoltre, il nostro team è a disposizione per supportarti nell’implementazione di queste soluzioni, mettendo a tua disposizione esperienza e professionalità per garantire il massimo successo.