Il 1 maggio 2015 però è stato messa a disposizione da Microsoft una nuova soluzione per automatizzare la gestione gestione della password dell’account amministratore locale ovvero Local Administrator Password Solution (LAPS).

LAPS consente di gestire una password randomica per amministratore locale differente su ogni computer gestita localmente senza necessità di un generatore centralizzato di password.

Tramite LAPS è possibile gestire tramite una GPO client-side extension (CSE) il nome del local administrator account, il periodo di rinnovo e la lunghezza e complessità della password, inoltre rende disponibile una serie di cmdlet PowerShell per una gestione automatizzata.

La soluzione  è disponibile al seguente link Local Administrator Password Solution (LAPS) del Microsoft Download Center e rende disponibile un setup unico per i cliente che installa l’AdmPwd GPO Extension o gli strumenti di gestione.

LAPS ha i seguenti requisiti:

• Active Directory: Windows Server 2003 SP1 o succ.
• Sistemi operativi Gestiti: Windows Server 2003 o succ, Windows Vista o succ.
• Microsoft .NET Framework 4.0
• PowerShell 2.0 o succ

L’installazione di LAPS prevede una modifica allo schema di AD perché la Password e l’Expiration Timestamp vengono memorizzati in attributi Active Directory dell’account computer (ms-Mcs-AdmPwd e ms-Mcs-AdmPwdExpirationTime).

Il funzionamento di LAPD prevede che il computer imposti una password randomica in autonomia anche in assenza di connessine AD e la trametta poi ad AD cifrata tramite Kerberos.

Dal momento che gli attributi aggiunti da LAPS sono protetti da AD ACL la password è memorizzata in chiaro, inoltre come spiegato dal team di sviluppo nelle Technical Specification di LAPS la criptografia della password in AD avrebbe comportato una serie di difficoltà implementative senza però garantire un  un aumento significativo della sicurezza:

Un ulteriore approfondimento sulla scelta progettuale di memorizzare in chiaro la password in AD è stato dato nel post LAPS and password storage in clear text in AD.

Una volta memorizzata in AD la password dell’account amministratore locale per poterla visualizzare non sarà necessario ricorrere alla lettura diretta dell’attributo ms-Mcs-AdmPwd dell’account computer, ma potrà essere utilizzata l’applicazione WinForm %ProgramFiles%\LAPS\AdmPwd.UI.exe.

In alternativa sarà anche possibile utilizzare il cmdlet Get-AdmPwdPassword:

LAPS è stato aggiornato alla versione 6.0.1 il 17 giugno 2015 che contiene alcune correzioni e alcune migliorie come indicato nel post LAPS updated to 6.0.1.

Come annunciato nel post LAPS and Nano Server, il team di sviluppo sta lavorando alla realizzazione di una versione di LAPS per Nano Server anche se questa edizione di Windows Server 2016 non supporta le Group Policy. La versione di LAPS per Nano Server utilizzerà un Windows Service anziché le GPO Client Side Extension (CSE)  e le configurazioni risiederanno nel registro di configurazione e saranno gestite tramite PowerShell Desired State Configuration (DSC) invece che tramite le Group Policy.

Per ulteriori informazioni su LAPS si vedano i documenti LAPS_Datasheet.docx, LAPS_OperationsGuide.docx e LAPS_TechnicalSpecification.docx disponibili al seguente link Local Administrator Password Solution (LAPS) insieme ai setup msi 32 e 64 bit di LAPS.

Inoltre si vedano anche i seguenti:

• Microsoft Security Advisory 3062591 – Local Administrator Password Solution (LAPS) Now Available
• KB3062591 – Microsoft security advisory: Local Administrator Password Solution (LAPS) now available: May 1, 2015
• Local Administrator Password Solution

Per avere informazioni sulle novità, i tips e l’evoluzione della soluzione LAPS tenete anche d’occhio il blog dedicato del team di sviluppo e disponibile al seguente http://blogs.msdn.com/b/laps/.