Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Windows solução de senha de administrador local (Windows LAPS) permite definir as configurações de política para gerenciar senhas de administrador local de forma segura e automática. Este artigo explica cada configuração de política e como administrá-las para melhorar a segurança e a conformidade.
Raízes de política com suporte
Embora não recomendado, você pode administrar um dispositivo usando vários mecanismos de gerenciamento de políticas. Para dar suporte a esse cenário de maneira compreensível e previsível, cada mecanismo de política de LAPS Windows recebe uma chave raiz distinta do Registro:
| Nome da política | Raiz de chave do registro de política |
|---|---|
| LAPS do CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Política de Grupo da LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Configuração local da LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Microsoft LAPS Legado | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS consulta todas as raízes conhecidas de políticas de chaves do Registro, começando do topo e movendo-se para baixo. Se nenhuma configuração for encontrada em uma raiz, essa raiz será ignorada e a consulta continuará para a próxima raiz. Quando uma raiz que tem pelo menos uma configuração definida explicitamente é encontrada, essa raiz é usada como a política ativa. Se a raiz escolhida não possuir configurações, as configurações receberão os valores padrão.
As configurações de política nunca são compartilhadas ou herdadas entre as principais raízes da política.
Dica
A chave de Configuração local da LAPS está incluída na tabela anterior para obter integridade. Você pode usar essa chave se necessário, mas a chave destina-se principalmente a ser usada para teste e desenvolvimento. Nenhuma ferramenta de gerenciamento ou mecanismos de política têm essa chave como destino.
Configurações de política com suporte do BackupDirectory
Windows LAPS dá suporte a várias configurações de política que você pode administrar por meio de várias soluções de gerenciamento de políticas ou até mesmo diretamente por meio do registro. Algumas dessas configurações se aplicam somente ao fazer backup de senhas para Active Directory e algumas configurações são comuns aos cenários Active Directory e Microsoft Entra.
A seguinte tabela especifica quais configurações se aplicam a dispositivos que têm a configuração BackupDirectory especificada:
| Nome da configuração | Aplicável quando BackupDirectory=Microsoft Entra ID? | Aplicável quando BackupDirectory=AD? |
|---|---|---|
| NomeDaContaDoAdministrador | Sim | Sim |
| PasswordAgeDays | Sim | Sim |
| PasswordLength | Sim | Sim |
| PassphraseLength | Sim | Sim |
| Complexidade de Senha | Sim | Sim |
| PostAuthenticationResetDelay | Sim | Sim |
| Ações Pós-Autenticação | Sim | Sim |
| ADPasswordEncryptionEnabled | Não | Sim |
| ADPasswordEncryptionPrincipal | Não | Sim |
| ADEncryptedPasswordHistorySize | Não | Sim |
| ADBackupDSRMPassword | Não | Sim |
| PasswordExpirationProtectionEnabled | Não | Sim |
| GerenciamentoAutomáticoDeContaHabilitado | Sim | Sim |
| Meta de Gerenciamento Automático de Contas | Sim | Sim |
| AutomaticAccountManagementNameOrPrefix | Sim | Sim |
| GerenciamentoAutomáticoDeContaHabilitarConta | Sim | Sim |
| AutomaticAccountManagementRandomizeName | Sim | Sim |
Se BackupDirectory estiver definido como Desabilitado, todas as outras configurações serão ignoradas.
Você pode administrar quase todas as configurações usando qualquer mecanismo de gerenciamento de políticas. O Windows CSP (provedor de serviços de configuração do LAPS) tem duas exceções a essa regra. O CSP do Windows LAPS dá suporte a duas configurações que não estão na tabela anterior: ResetPassword e ResetPasswordStatus. Além disso, o Windows LAPS CSP não dá suporte à configuração ADBackupDSRMPassword (controladores de domínio nunca são gerenciados via CSP). Para obter mais informações, confira a documentação da LAPS do CSP.
Política de Grupo do Windows LAPS
Windows LAPS inclui um novo Objeto de Política de Grupo que você pode usar para administrar as configurações de política em dispositivos ingressados no domínio do Active Directory. Para acessar a Política de Grupo Windows LAPS, no Editor de Gerenciamento de Política de Grupo, acesse Computer Configuration>Policies>Modelos Administrativos>System>LAPS. A seguinte figura mostra um exemplo:
O modelo desse novo objeto de Política de Grupo é instalado como parte do Windows em %windir%\PolicyDefinitions\LAPS.admx.
Repositório central do objeto Política de Grupo
Importante
Os arquivos de modelo de GPO do Windows LAPS não são copiados automaticamente para o repositório central de GPO como parte de uma atualização do Windows Update, caso você tenha implementado essa abordagem. Em vez disso, você deve copiar manualmente o LAPS.admx para o repositório central de GPO. Consulte Criar e gerenciar o Repositório Central.
CSP do Windows LAPS
Windows LAPS inclui um CSP específico que você pode usar para administrar as configurações de política nos dispositivos ingressados no Microsoft Entra. Gerencie o Windows LAPS CSP usando Microsoft Intune.
Aplicar configurações de política
As seções a seguir descrevem como usar e aplicar várias configurações de política para Windows LAPS.
BackupDirectory
Usar essa configuração para controlar em qual diretório a senha da conta gerenciada terá backup.
| Valor | Descrição de configuração |
|---|---|
| 0 | Desabilitado (a senha não terá backup) |
| 1 | Fazer backup da senha somente para Microsoft Entra |
| 2 | Fazer backup da senha somente para Windows Server Active Directory |
Se não for especificada, essa configuração usará 0 como padrão (Desabilitado).
NomeDaContaDoAdministrador
Usar essa configuração para configurar o nome da conta de administrador local gerenciada.
Se não for especificada, essa configuração usará como padrão o gerenciamento da conta de administrador local interna.
Importante
Não especifique essa configuração, exceto se desejar gerenciar uma conta diferente da conta de administrador local interna. A conta de administrador local é identificada automaticamente pelo RID (ID relativo) conhecido.
Importante
Você pode configurar a conta especificada (interna ou personalizada) como habilitada ou desabilitada. Windows LAPS gerencia a senha dessa conta em qualquer estado. No entanto, se deixado em um estado desabilitado, a conta deve ser habilitada primeiro para ser usada.
Importante
Se você configurar Windows LAPS para gerenciar uma conta de administrador local personalizada, deverá garantir que a conta seja criada. Windows LAPS não cria a conta.
Importante
Esta configuração será ignorada quando AutomaticAccountManagementEnabled for habilitado.
PasswordAgeDays
Essa configuração controla a idade máxima da senha da conta de administrador local gerenciada. Os valores com suporte são:
- Minimum: um dia (quando o diretório de backup está configurado para ser Microsoft Entra ID, o mínimo é sete dias).)
- Máximo: 365 dias
Se não for especificada, essa configuração usará 30 dias como padrão.
Importante
As alterações na configuração da política PasswordAgeDays não têm efeito sobre o tempo de expiração da senha atual. Da mesma forma, as alterações na configuração da política PasswordAgeDays não fazem com que o dispositivo gerenciado realize uma rotação de senha.
PasswordLength
Usar essa configuração para configurar o comprimento da senha da conta de administrador local gerenciada. Os valores com suporte são:
- Mínimo: 8 caracteres
- Máximo: 64 caracteres
Se não for especificada, essa configuração usará 14 caracteres como padrão.
Importante
Não configure PasswordLength para um valor incompatível com a política de senha local do dispositivo gerenciado. Como resultado, o Windows LAPS falha ao criar uma nova senha compatível. (Procure um evento 10027 no log de eventos do Windows LAP.)
A configuração PasswordLength é ignorada, a menos que PasswordComplexity esteja configurada como uma das opções de senha.
PassphraseLength
Use essa configuração para configurar o número de palavras na frase secreta da conta de administrador local gerenciada. Os valores com suporte são:
- Mínimo: 3 palavras
- Máximo: 10 palavras
Se não for especificada, essa configuração usará 6 palavras como padrão.
A configuração PassphraseLength é ignorada, a menos que PasswordComplexity esteja configurada como uma das opções de frase secreta.
Importante
PassphraseLength só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
Complexidade de Senha
Use essa configuração para configurar a complexidade necessária da senha da conta de administrador local gerenciada ou para especificar que uma frase secreta é criada.
| Valor | Descrição de configuração |
|---|---|
| 1 | Letras maiúsculas |
| 2 | Letras maiúsculas + letras minúsculas |
| 3 | Letras maiúsculas + letras minúsculas + números |
| 4 | Letras maiúsculas + letras minúsculas + números + caracteres especiais |
| 5 | Letras maiúsculas + letras minúsculas + números + caracteres especiais (maior legibilidade) |
| 6 | Frase secreta (palavras longas) |
| 7 | Frase secreta (palavras curtas) |
| oito | Frase secreta (palavras curtas com prefixos exclusivos) |
Se não for especificada, essa configuração usará 4 como padrão.
Importante
Windows dá suporte às configurações de complexidade de senha mais baixa (1, 2 e 3) apenas para compatibilidade retroativa com o Microsoft LAPS. Recomendamos que você sempre defina essa configuração como 4 (ou um valor mais alto, se houver suporte).
Importante
Não configure PasswordComplexity para uma configuração incompatível com a política de senha local do dispositivo gerenciado. Isso resulta em Windows LAPS não criar uma nova senha compatível. (Procure um evento 10027 no log de eventos do Windows LAPS.)
Importante
PasswordComplexity valores de 5 a 8 têm suporte apenas no Windows 11 24H2, Windows Server 2025 e versões posteriores.
PasswordExpirationProtectionEnabled
Usar essa configuração para definir a imposição da idade máxima da senha para a conta de administrador local gerenciada.
Os valores com suporte são 1 (verdadeiro) ou 0 (falso).
Se não for especificada, essa configuração usará 1 (verdadeiro) como padrão.
Dica
No modo Microsoft LAPS herdado, essa configuração tem como padrão False para compatibilidade retroativa.
ADPasswordEncryptionEnabled
Use essa configuração para habilitar a criptografia de senhas no Active Directory.
Os valores com suporte são 1 (verdadeiro) ou 0 (falso).
Importante
Habilitar essa configuração requer que seu domínio Active Directory esteja em execução no Nível Funcional do Domínio 2016 ou posterior.
ADPasswordEncryptionPrincipal
Use essa configuração para configurar o SID (nome ou identificador de segurança) de um usuário ou grupo que pode descriptografar a senha armazenada em Active Directory.
Essa configuração será ignorada se a senha estiver armazenada no momento em Azure.
Se essa configuração não for especificada, somente os membros do grupo Administradores de Domínio no domínio do dispositivo poderão descriptografar a senha.
Se essa configuração for especificada, o usuário ou grupo especificado poderá descriptografar a senha armazenada no Active Directory.
Importante
A cadeia de caracteres armazenada nessa configuração é um SID no formato de cadeia de caracteres ou o nome totalmente qualificado de um usuário ou grupo. Confira exemplos válidos:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
A entidade de segurança identificada (por SID ou pelo nome de usuário ou grupo) deve existir e ser resolvível pelo dispositivo.
Os dados especificados nesta configuração são inseridos como estão; por exemplo, não adicione aspas ou parênteses para delimitar.
Essa configuração será ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como verdadeiro e todos os outros pré-requisitos sejam atendidos.
Essa configuração é ignorada quando as senhas de conta do DSRM (Modo de Reparo de Serviços de Diretório) são armazenadas em backup em um controlador de domínio. Nesse cenário, essa configuração sempre usa como padrão o grupo de administradores do domínio do domínio do controlador de domínio.
ADEncryptedPasswordHistorySize
Use essa configuração para configurar quantas senhas criptografadas anteriores são lembradas em Active Directory. Os valores com suporte são:
- Mínimo : 0 senha
- Máximo: 12 senhas
Se não for especificada, essa configuração usará 0 senhas como padrão (Desabilitado).
Importante
Essa configuração será ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como verdadeiro e todos os outros pré-requisitos sejam atendidos.
Essa configuração também entra em vigor em controladores de domínio que fazem backup das próprias senhas do DSRM.
ADBackupDSRMPassword
Use essa configuração para habilitar o backup da senha da conta DSRM em controladores de domínio Windows Server Active Directory.
Os valores com suporte são 1 (verdadeiro) ou 0 (falso).
Essa configuração usa 0 (falso) como padrão.
Importante
Essa configuração será ignorada, a menos que ADPasswordEncryptionEnabled esteja configurado como verdadeiro e todos os outros pré-requisitos sejam atendidos.
PostAuthenticationResetDelay
Use essa configuração para especificar a quantidade de tempo (em horas) para aguardar após uma autenticação antes de executar as ações de pós-autenticação especificadas (consulte PostAuthenticationActions). Os valores com suporte são:
- Mínimo : 0 hora (definir esse valor como 0 desabilita todas as ações pós-autenticação)
- Máximo: 24 horas
Se não for especificada, essa configuração usará 24 horas como padrão.
Ações Pós-Autenticação
Usar essa configuração para especificar as ações a serem executadas após a expiração do período de carência configurado (consulte PostAuthenticationResetDelay).
Essa configuração pode ter um dos seguintes valores:
| Valor | Nome | Ações executadas quando o período de carência expira | Comentários |
|---|---|---|---|
| 1 | Redefinir senha | A senha da conta gerenciada é redefinida. | |
| 3 | Redefinir senha e sair do serviço | A senha da conta gerenciada é redefinida, as sessões de entrada interativas que usam a conta gerenciada são encerradas e as sessões SMB que usam a conta gerenciada são excluídas. | As sessões de entrada interativas recebem um aviso de dois minutos não configurável para salvar o trabalho e sair. |
| 5 | Redefinir senha e reinicializar | A senha da conta gerenciada é redefinida e o dispositivo gerenciado é reiniciado. | O dispositivo gerenciado é reiniciado após um atraso de um minuto não configurável. |
| 11 | Redefinir senha e sair do serviço | A senha da conta gerenciada é redefinida, as sessões de entrada interativas que usam a conta gerenciada são encerradas, as sessões SMB que usam a conta gerenciada são excluídas e quaisquer processos em execução restantes sob a identidade da conta gerenciada são terminados. | As sessões de entrada interativas recebem um aviso de dois minutos não configurável para salvar o trabalho e sair. |
Se não for especificada, essa configuração usará 3 como padrão.
Importante
As ações de pós-autenticação permitidas destinam-se a ajudar a limitar a quantidade de tempo que uma senha do Windows LAPS pode ser usada antes de ser redefinida. Sair da conta gerenciada ou reiniciar o dispositivo são opções que ajudam a garantir que o tempo seja limitado. Encerrar abruptamente sessões de entrada ou reiniciar o dispositivo pode resultar em perda de dados.
Do ponto de vista de segurança, um usuário mal-intencionado que adquire privilégios administrativos em um dispositivo usando uma senha válida Windows LAPS tem a capacidade final de impedir ou contornar esses mecanismos.
Importante
PostAuthenticationActions valor 11 só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
GerenciamentoAutomáticoDeContaHabilitado
Use essa configuração para habilitar o gerenciamento automático de contas.
Os valores com suporte são 1 (verdadeiro) ou 0 (falso).
Essa configuração usa 0 (falso) como padrão.
Importante
AutomaticAccountManagementEnabled só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
Meta de Gerenciamento Automático de Contas
Use essa configuração para especificar se a conta de Administrador interna ou uma nova conta personalizada é gerenciada automaticamente.
| Valor | Descrição de configuração |
|---|---|
| 0 | Gerenciar automaticamente a conta de administrador interna |
| 1 | Gerenciar automaticamente uma nova conta personalizada |
Essa configuração usa 1 como padrão.
Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.
Importante
AutomaticAccountManagementTarget só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementNameOrPrefix
Use essa configuração para especificar o nome ou o prefixo do nome da conta gerenciada automaticamente.
Essa configuração usa WLapsAdmin como padrão.
Essa configuração é considerada um nome se AutomaticAccountManagementRandomizeName for 0 (Falso).
Essa configuração é tratada como um prefixo de nome se AutomaticAccountManagementRandomizeName for 1 (Verdadeiro).
Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.
Importante
AutomaticAccountManagementNameOrPrefix só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
GerenciamentoAutomáticoDeContaHabilitarConta
Use essa configuração para habilitar ou desabilitar a conta gerenciada automaticamente.
| Valor | Descrição de configuração |
|---|---|
| 0 | Desabilitar a conta gerenciada automaticamente |
| 1 | Habilitar a conta gerenciada automaticamente |
Essa configuração usa 0 como padrão.
Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.
Importante
AutomaticAccountManagementEnableAccount só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
AutomaticAccountManagementRandomizeName
Use essa configuração para habilitar a geração aleatória do nome da conta gerenciada automaticamente.
Quando essa configuração está habilitada, o nome da conta gerenciada (determinado pela configuração AutomaticAccountManagementNameOrPrefix) recebe um sufixo aleatório de seis dígitos toda vez que a senha é girada.
Os nomes das contas locais no Windows podem ter no máximo 20 caracteres, ou seja, o componente do nome deve ter no máximo 14 caracteres para ter espaço suficiente para o sufixo aleatório. Os nomes de conta especificados por AutomaticAccountManagementNameOrPrefix com mais de 14 caracteres são truncados.
| Valor | Descrição de configuração |
|---|---|
| 0 | Não gerar aleatoriamente o nome da conta gerenciada automaticamente |
| 1 | Gerar aleatoriamente o nome da conta gerenciada automaticamente |
Essa configuração usa 0 como padrão.
Esta configuração será ignorada a menos que AutomaticAccountManagementEnabled seja habilitado.
Importante
AutomaticAccountManagementRandomizeName só tem suporte em Windows 11 24H2, Windows Server 2025 e versões posteriores.
Valores padrão de política do Windows LAPS
Todas as configurações de política de LAPS Windows têm um valor padrão. O valor padrão é aplicado sempre que um administrador não define uma configuração específica. O valor padrão também é aplicado sempre que um administrador configura uma definição específica com um valor não suportado.
| Nome da configuração | Valor padrão |
|---|---|
| BackupDirectory | Desabilitado |
| NomeDaContaDoAdministrador | Nulo\vazio |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| Complexidade de Senha | 4 |
| PostAuthenticationResetDelay | 24 |
| Ações Pós-Autenticação | 3 (Redefinir a senha e sair do sistema) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | Administradores do domínio |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | Falso |
| PasswordExpirationProtectionEnabled | True |
| GerenciamentoAutomáticoDeContaHabilitado | Falso |
| Meta de Gerenciamento Automático de Contas | Sim |
| AutomaticAccountManagementNameOrPrefix | Sim |
| GerenciamentoAutomáticoDeContaHabilitarConta | Falso |
| AutomaticAccountManagementRandomizeName | Falso |
Importante
O ADPasswordEncryptionPrincipal é uma exceção à regra de configuração incorreta. Essa configuração usa como padrão 'Administradores de Domínio' somente quando a configuração não está configurada. Quando um nome de usuário ou grupo inválido é especificado, ocorre uma falha de processamento de política e a senha da conta gerenciada não é armazenada em backup.
Tenha esses padrões em mente ao configurar novas funcionalidades do Windows LAPS, por exemplo, suporte a senha. Se você configurar uma política com um valor PasswordComplexity de 6 (senhas de palavra longa) e aplicar essa política a um sistema operacional mais antigo que não dê suporte a esse valor, o sistema operacional de destino usará o valor padrão de 4. Para evitar esse resultado, crie duas políticas diferentes: uma para o sistema operacional mais antigo e outra para o mais recente.
Conteúdo relacionado
- Use logs de eventos para Windows LAPS
- Use o cmdlet LAPS do PowerShell do Windows
- referência de extensões de esquema Windows LAPS