Post-Authentication Action (LAPS)

Spesso, durante i miei corsi, mi viene chiesto:

🔸 Come si dovrebbe gestire la situazione quando un tecnico esterno, ad esempio il tecnico della software house del gestionale aziendale, richiede l'accesso come "Amministratore Locale" al server aziendale per configurare un'applicazione? 🔸

È importante considerare che spesso, dopo aver fornito la password, ci si dimentica di modificarla una volta che il lavoro è completato.

Vediamo quale approccio adottare in questi casi.

Un problema comune e delicato nelle aziende è la necessità di concedere l'accesso all'account "Amministratore Locale" ai tecnici esterni per la manutenzione di applicativi.

Senza controlli adeguati, questo può esporre l'azienda a rischi significativi ☢, come abuso dei privilegi, accesso non autorizzato a dati sensibili e possibili attacchi.

Una gestione sicura e temporanea di questi poteri è essenziale per prevenire accessi futuri non autorizzati e proteggere l'integrità dell'azienda.

Da circa un anno, Microsoft ha introdotto una soluzione a questo problema chiamata "Post-Authentication Action", parte del Windows #LAPS (Local Administrator Password Solution).

✅ Questa funzionalità permette di concedere temporaneamente i privilegi dell'account Local Administrator ai tecnici esterni, limitando la durata dell'accesso e riducendo i rischi associati.

Grazie al "Post-Authentication Action", è possibile garantire l'accesso temporaneo all'account Local Administrator per il tempo necessario, da 1 a 24 ore.

Al termine, Windows cambierà automaticamente la password e disconnetterà tutte le sessioni interattive e SMB o riavvierà il computer ✅

📌 LAB

Andiamo a toccare con mano questa funzionalità.

NB: Naturalmente, partiamo dal presupposto che nel vostro ambiente sia già attiva la funzionalità LAPS. Pertanto, il server HERO-SVR1 dovrebbe già avere l'account del Local Administrator gestito tramite LAPS.

Questo è il settaggio della mia GPO LAPS per quanto riguarda il server in questione.

Il server HERO-SVR1 è sotto la seguente LAPS Policy:

Il Tab riguardante il settaggio del LAPS sul HERO-SVR1 è il seguente:

Supponiamo che sul server “HERO-SVR1” debba intervenire un tecnico esterno all’azienda per una paio di ore per configurare il gestionale aziendale e al quale bisogna comunicare la password del Local Administrator .

Per prima cosa, procedo creando una GPO dove andrò ad abilitare la funzionalità “Post-Authentication Action” che abiliterà l’uso temporaneo all’account Local Administrator al primo accesso con quell’account.

Tale GPO la linkerò alla OU che contiene l’oggetto computer.

La funzionalità "Post-Authentication Actions" si abilita sotto la sezione:

Computer Configuration\Policies\Administrative Templates\System\LAPS
“Post-Authentication Actions”        

Imposto come Grace Period “4h” e come azione da intraprendere alla scadenza “Reset the Password and logoff the managed account”

PS: Affinché la policy venga applicata al solo server “HERO-SVR1” nel Security Filtering della GPO, sostituisco “Authenticated Users” con “HERO-SVR1$”

Dopodiché controllare se la GPO del “Post-Authentication Action” abbia una priorità più alta rispetto alla GPO del LAPS.

Una volta creata e linkata la GPO alla OU di riferimento, possiamo forzare il Server affinché venga applicata la nuova GPO, tramite il comando “Gpupdate”

# Forzare l’applicazione delle nuove GPO 
Gpupdate 

# Per verificare se la GPO è stata applicata 
Gpresult /r        

Per leggere la Password del Local Administrator tramite Powershell la cmdlet è la seguente:

Get-LapsADPassword HERO-SVR1 -AsPlainText        

Una volta che ci siamo assicurati che la GPO è stata applicata, possiamo effettuare l’accesso con l’account Local Administrator sul HERO-SVR1.

Per verificare l’attivazione della funzionalità “Post-Authentication Action”, possiamo vedere nel registro eventi del HERO-SVR1 sotto la sezione “Applications and Services Logs\Microsoft\Windows\LAPS” se vi è la presenza dell’EventID = 10041.

Tale evento indica che è stato creato il Job per intraprendere l’azione stabilita una volta che il Grace Period scadrà.

Ora il tecnico esterno può usare l’account Local Administrator per la durata delle 4h.

Dopodiché la password verrà automaticamente Resettata e dopo 2min verrà effettuato il Logoff della sessione Interattiva dell’utente.

Windows nel Registro eventi registrerà l’EventID = 10044

La disconnessione della sessione, verrà notificata all’utente tramite il seguente popup.

⚠ NB: Una cosa importante da fare ⚠

Una volta che il grace Period è scaduto ed il tecnico ha terminato il lavoro, bisogna RIMUOVERE o DISABILITARE la GPO del “Post-Authentication Action”, altrimenti ad ogni accesso dopo la scadenza del “Grace Period” il sistema schedulerà di nuovo il Action dopo 4h.

🔎 Alcuni eventi interessanti per il monitoraggio delle attività del Post-Authentication Action sono:

Event 10020 – Questo evento viene generato quando la nuova Local Administrator password è stata aggiornata localmente

Event 10021 – Questo evento viene generato quando viene letta la configurazione del LAPS e quindi vi fa il DUMP di tutti i settaggi

Event 10018 - Questo evento viene generato quando la nuova Local Administrator password è stata aggiornata in Active Directory

Event 10051 – Questo evento viene generato quando il sistema sta intraprendendo un updating della password del Local Administrator in risposta all’evento Post-Authentication Action

Event 10048 – Questo è il primo evento generato dalla funzionalità Post-Authentication. Questo evento viene generato quando il Grace Period del Post-Authentication è scaduto e il sistema inizierà ad intraprendere l’action configurata

Event 10044 – Questo è l’ultimo evento generato dalla funzionalità Post-Authentication. Questo evento viene generato quando tutte le Action configurata sono state eseguite correttamente.

NEWS in Windows Server 2025

Una delle novità che troverete in Windows Server 2025 riguarda proprio la funzionalità “Post-Authentication Actions”.

La versione attuale ha un piccolo problema. Se anziché effettuare l’accesso con l’account “Local Administrator” tramite la modalità Interattiva (il logon diretto al server), usassimo il RunAs e aprissimo una istanza del cmd.exe o powershell.exe, alla scadenza del “Grace Period”, il sistema farebbe il Reset della Password, ma NON sarebbe in grado di disconnettere tutte le sessioni o eventuali processi aperti da tale istanze.

Pertanto rimarrebbero in esecuzione processi con un “Access Token” di un account la cui password è cambiata, ma che ancora funzionanti con i privilegi di Local Administrator.

Con la nuova versione 2025 di Windows Server, hanno aggiunto alla funzionalità Post-Authentication Action una nuova action chiamata “Reset the Password, logoff the managed account and terminate any remaining processes. 🔑

Questa nuova Action non fa altro che fare il Reset della password, la disconnessione da qualsiasi sessione interattiva e sessioni SMB ed infine la CHIUSURA di tutti processi rimanenti.

Questo ci dà la garanzia che non ci saranno sessioni e processi in esecuzione con il vecchio Access Token.

In generale hanno migliorato gli eventi della funzionalità Post-Authentication.

Hanno aggiunto eventi che specificano i processi che vengono chiudi dall’azione “Post-Authentication” ed tutte le session SMB e Interactive che vengono chiuse.

Event 10077 - Interactive Logon session using the managed account

Event 10084 - File share session using the managed account

Event 10087 - Processes using the managed account

Event 10088 - Terminated Process

Event 10074 - Completed processo di Post-Authentication Action

CONCLUSIONI

In sintesi, l'implementazione della funzionalità di Post Authentication Action di LAPS rappresenta un passo fondamentale per migliorare la sicurezza nella gestione degli account amministrativi locali.

In questo articolo abbiamo visto come questa funzionalità possa aggiungere un ulteriore livello di protezione, garantendo che ogni azione post-autenticazione sia eseguita in maniera sicura e controllata. Questo non solo rafforza la sicurezza del vostro ambiente IT, ma migliora anche l'efficienza operativa nella gestione delle credenziali.

Ecco perché raccomando di valutare l'adozione di questa funzionalità e di seguire le best practices descritte per mantenere un monitoraggio continuo ed individuare eventuali nuove minacce.

In conclusione, adottare LAPS e la sua Post Authentication Action non è solo una scelta strategica per la sicurezza, ma anche un ulteriore step verso una gestione più sicura e robusta delle credenziali amministrative.