Windows LAPS: le Novità di Windows Server 2025!

Con l’ultima versione di Windows LAPS, introdotta su Windows Server 2025 e Windows 11 24H2, Microsoft ha fatto un salto di qualità, fornendo strumenti avanzati per una gestione più efficace e sicura dell’account “Local Administrator”.

Se in passato alcune operazioni richiedevano interventi manuali, questa nuova versione rivoluziona il panorama, migliorando l’automazione e rafforzando la sicurezza.

L’obiettivo?

Rendere il lavoro quotidiano degli amministratori IT più semplice, automatizzato e protetto.

Le principali novità includono:

1. Creazione automatica dell’account “Local Administrator”, gestito direttamente da LAPS.
2. Possibilità di mantenere disabilitato l’account “Local Administrator”, aumentando la sicurezza.
3. Generazione di un “Suffisso Random” al nome dell’account, per una maggiore protezione.
4. Miglioramento della complessità delle password, con l’introduzione delle PassPhrases.
5. Rilevamento del Rollback della VM, per identificare tentativi di ripristino fraudolenti.
6. Nuova funzionalità di Post-Authentication Action, approfondita in questo articolo dedicato.

Grazie a queste innovazioni, Windows LAPS si conferma uno strumento fondamentale per migliorare l’efficienza e la sicurezza delle infrastrutture IT.

🚀💡 Sei pronto a sfruttare tutto il potenziale di queste innovazioni?

Esploriamo in dettaglio ogni singola funzionalità...

🔧 CONFIGURE AUTOMATIC ACCOUNT MANAGEMENT ⚙️

Uno dei principali limiti delle versioni precedenti di LAPS era la necessità che l’account da gestire fosse già presente sul computer da gestire tramite il LAPS. Questo rappresentava un problema, soprattutto quando si preferiva non utilizzare l’account predefinito "Administrator".

In questi casi, l’amministratore era costretto a creare manualmente un nuovo account (ad esempio, LAPSAdmin) su ogni computer aziendale, affinché LAPS potesse gestirne correttamente la password.

Questo processo risultava complesso e poco pratico, soprattutto in ambienti con un elevato numero di dispositivi.

Per questioni di sicurezza, Microsoft ha rimosso dalle “Preferences” la possibilità di Creare un nuovo account Locale, quindi l’unico modo per creare questo account era quello di procedere manualmente (computer per computer) o tramite Script.

La nuova versione Windows LAPS bypassa questo problema. Questo significa che, in caso di assenza dell’account amministrativo, il sistema sarà in grado di generarlo automaticamente, eliminando così la necessità di interventi manuali e riducendo il rischio di configurazioni incomplete o errate.

🔢 SUFFISSO RANDOM 🎲

Un'altra interessante novità riguarda l'aggiunta del “Suffix Random” al nome dell'account locale. Ad ogni rotazione della Password, verrà generato “in maniera random” un nuovo suffisso in aggiunta al nome dell’account.

Grazie a questa funzione, i nomi degli account diventano unici e imprevedibili, un ulteriore strumento per aumentare la sicurezza e ridurre la prevedibilità degli attacchi basati su brute force.

La nuova versione di Windows LAPS aggiunge un'impostazione che permette di scegliere come gestire l'account "Local Administrator" in modo semplice e flessibile.

Computer Configuration / Policies / Administrative Templates / System / LAPS
“Configure Automatic account management”        

Con il settaggio “Specify the target account to manage”, è possibile scegliere quale account gestire con LAPS: si può utilizzare l’account predefinito “Local Administrator” (Built-In) oppure un account personalizzato.

Se si seleziona l’opzione “Manage the Built-in admin account”, si indica a LAPS di gestire l’account di default, identificato dal well-known SID = 500.

👉 Nota Bene:

• Compilando il campo “Automatic account name” (o name prefix), l’account di default verrà rinominato con il nome specificato.
• Se si lascia il campo vuoto, l’account di default verrà automaticamente rinominato come “WLapsAdmin”.

Questa configurazione permette una gestione flessibile e personalizzata degli account amministrativi.

Vediamo in pratica cosa accade con questo settaggio:

Se imposto come “Automatic Account name” il nome “LAPSCarmeloAdmin”, il risultato sarà che l’account Built-In Administrator locale (identificato dal RID 500) verrà rinominato in “LAPSCarmeloAdmin”.

Get-LapsADPassword -Identity hero-w2025-svr1 -AsPlainText        

Ecco cosa accade abilitando l'opzione "Randomize the name of the managed account":

Quando questa impostazione è attiva, Windows LAPS aggiunge un suffisso numerico casuale di 6 cifre al nome dell’account gestito, ad esempio “LAPSCarmeloAdmin” potrebbe diventare “LAPSCarmeloAdmin123456”. Ogni volta che la password dell’account viene aggiornata, viene generato anche un nuovo suffisso, garantendo un ulteriore livello di sicurezza.

👉 Nota Bene:

• Se il nome dell’account scelto supera i 14 caratteri, verrà troncato a 14, per mantenere la compatibilità con la lunghezza massima degli account locali di Windows (20 caratteri).
• Questa impostazione non si applica all’account DSRM dei Domain Controller, che rimarrà invariato.

# riapplico la GPO 
gpupdate /force        

# Invoco il processo del LAPS
Invoke-LapsPolicyProcessing        

IMPORTANTE A differenza del Legacy LAPS, il nuovo Windows LAPS non è un Client-Side Extension (CSE) delle GPO.

Questo significa che:

• La frequenza del ciclo di polling di Windows LAPS non dipende dall’intervallo di refresh delle GPO (es. gpupdate), ma è preimpostata (hard-coded) in Windows per avvenire ogni 1 ora.
• Eseguire un semplice gpupdate non avvia il ciclo di polling di Windows LAPS.

Per avviare immediatamente il processo, è necessario utilizzare il comando Invoke-LapsPolicyProcessing, oppure attendere l’intervallo di 1 ora.

Questa differenza è fondamentale da tenere a mente per una gestione efficace di Windows LAPS.

🚫 DISABLE ACCOUNT 🔒

L’opzione “Enable the managed account” ci permette di stabilire se l’account “Local Admin” gestito dal LAPS debba essere ABILITATO o DISABILITATO.

Di default, se NON abilitiamo questa impostazione l’account è LAPS verrà DISABILITATO.

Get-LocalUser        

NB: Windows LAPS manterrà e cambierà regolarmente la Password dell’account, indipendentemente dal fatto che l’account sia abilitato o disabilitato.

Impostando il target account su “Manage a custom admin account”, si indica a Windows LAPS di gestire un account personalizzato.

Se l’account specificato non è già presente sul computer target, Windows LAPS si occuperà di crearlo automaticamente.

Ad esempio, nel mio caso:

• Windows LAPS ha ripristinato l’account Administrator Built-In (se precedentemente modificato).
• Inoltre, ha creato un nuovo account, membro del gruppo "Administrators", chiamato “LAPSAdminNew”.

Questa funzionalità semplifica la gestione degli account personalizzati, automatizzando il processo e garantendo che l’account richiesto sia sempre configurato correttamente.

🔑 PASSWORD SETTINGS ⚙️

La nuova versione di Windows LAPS introduce miglioramenti nei Password Settings:

1. 4 nuovi livelli di Password Complexity, per una protezione più avanzata.
2. Passphrase Length (words), un nuovo parametro per definire la lunghezza delle passphrase, combinando sicurezza e facilità d'uso.

Computer Configuration / Policies / Administrative Templates / System / LAPS
“Password Settings”        

Per quanto riguarda l’impostazione 🔐📊“Password Complexity” sono state aggiunte le seguenti impostazioni:

1.      Large letters + small letters + numbers + specials (improved readability)

2.      Passphrase (long words)

3.      Passphrase (short words)

4.      Passphrase (short words with unique prefixes)

Large letters + small letters + numbers + specials (improved readability)

Uno dei limiti delle versioni precedenti di LAPS (Windows o Legacy) era la scarsa leggibilità delle password generate, spesso a causa della presenza di caratteri visivamente simili che creavano confusione.

Con la nuova versione di Windows LAPS, Microsoft ha introdotto questa impostazione per migliorare la leggibilità e ridurre gli errori.

Quando impostiamo il livello di “Password Complexity”, stiamo dicendo al LAPS di NON usare più il set completo di caratteri usato nella precedente impostazione (impostazione 4), ma di usare un set RISTRETTO e MODIFICATO per migliorare la LEGGIBILITA’ della password.

Le  differenze sono le seguenti:

• Sono state rimosse le lettere 'I', 'O', 'Q', 'l' e 'o'
• Sono stati rimossi i numeri '0' e '1'
• Sono stati rimossi i simboli ',', '.', '&', '{', '}', '[', ']', '(', ')' e ';'
• Sono stati aggiunti i simboli ':', '=', '?' e '*'

IMPORTANTE

Le nuove impostazioni introdotte nella versione aggiornata di Windows LAPS sono compatibili solo con computer che supportano questa versione, ovvero Windows 11 24H2 e Windows Server 2025 (o versioni successive).

Cosa succede con dispositivi non compatibili?

Se si imposta un livello di Password Complexity non supportato dal computer:

• Windows LAPS non sarà in grado di generare la nuova password.
• Sul computer interessato, si troverà un messaggio di errore nel Event Viewer, sezione LAPS, con EventID=10027.

⚠️ È quindi fondamentale verificare la compatibilità dei dispositivi prima di applicare le nuove impostazioni, per evitare problemi nella gestione delle password.

Windows LAPS utilizza 3 diverse impostazioni per generare una “PassPhrase”...

Ma cos'è una 💬 PassPhrase 🔑???

Fondamentalmente non è altro che una PASSWORD, composta da una sequenza di PAROLE casuali.

A differenza di una classica password, che spesso è composta da una singola parola con l’aggiunta di numeri e caratteri speciali, quindi una password non molto lunga, una passphrase è composta da più parole, quindi parliamo di password molto più lunghe.

Pertanto, tramite l’impostazione “Password Complixity”, non stiamo facendo altro che selezionare il dizionario da dove estrapolare le parole usate per generare la nostra password complessa.

I dizionari usati dal LAPS si possono scaricare direttamente da qui: https://www.microsoft.com/en-us/download/details.aspx?id=105762

Il numero di parole da usare per generare la nuova password è settabile dall’impostazione “Passphrase Length”.

Di default è settata a 6 (min. 3 e max. 10)

Andiamo a toccare con mano i risultati di questi settaggi:

Con questa impostazione la Password sarà composta da 6 Parole prese da dizionario “Long Words”

NB: Per una migliore leggibilità, ogni singola parola inizia con la lettera MAIUSCOLA.

# Riapplico la GPO 
gpupdate /force        

# Forzo un Reset della password altrimenti non prenderebbe il nuovo criterio 
Reset-LapsPassword         

# Leggo la Password 
Get-LapsADPassword -Identity hero-w2025-svr1 -AsPlainText        

Con questa impostazione la Password sarà composta da 6 Parole prese da dizionario “Long Words”

⏪ ROLLBACK DELLA VM 💻

Un altro problema che avevamo con le versioni precedenti le LAPS, riguardava il “Revert” della VM o il “restore“ della VM da un backup precedente.

Il risultato era che la Password archiviata in Active Directory (oggetto Computer) NON corrispondeva alla password archiviata localmente sul computer. Quando si verifica questo problema, l’amministratore NON è in grado di accedere al dispositivo usando la Password dell’account LAPS.

La nuova versione di Windows LAPS, riduce questo problema facendo uso di un’IDENTIFICATIVO univoco casuale (GUID) che viene generato ogni qualvolta viene fatta una rotazione della Password del LAPS.

Nella nuova versione del Windows LAPS è stato aggiunto un nuovo ATTRIBUTO allo schema.

msLAPS-CurrentPasswordVersion        

Ogni volta che viene ruotata la password del LAPS, viene generato un nuovo GUID univoco e casuale.Questo GUID verrà salvato sia in Active Directory nell’oggetto computer nell’attributo “msLAPS-CurrentPasswordVersion”, sia localmente sul computer nel RegEdit all’interno delle seguente chiave:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\LAPS\State
“LastPasswordVersion”        

Durante ogni ciclo di elaborazione di Windows LAPS (Invoke-LapsProcessing), il sistema effettua un confronto tra:

• Il GUID memorizzato nell'attributo msLAPS-CurrentPasswordVersion su Active Directory.
• Il GUID salvato nella chiave di registro LastPasswordVersion sul computer locale.

Cosa accade:

• Se i due GUID sono diversi, Windows LAPS ruota immediatamente la password dell’account gestito.
• Se i GUID corrispondono, non viene effettuata alcuna modifica alla password.

⚠️ Nota Bene:

• Questa funzionalità è disponibile solo per Active Directory.
• Non è supportata da Azure Active Directory (Entra ID).

IMPORTANTE:

Vanno fatte delle importanti considerazioni sulla funzionalità di Rollback in Windows LAPS:

1.      La funzionalità di Rollback funziona SOLO e a patto che il COMPUTER sia ancora in grado di eseguire l’autenticazione in Active Directory (Secure Channel funzionate).

Se l’operazione di Revert o Restore della VM, crea una rottura al processo di autenticazione del computer verso un DC, tale funzionalità NON avrà effetto.

In tal caso, l’unica soluzione è avere abilitato prima la funzionalità di History delle password.

2.      Affinchè la funzionalità di Rollback funzioni, bisogna eseguire la cmdlet “Update-LapsADSchema” più recente.

Questo perché la funzionalità ha, per funzionare, bisogno nel nuovo attributo “msLAPS-CurrentPasswordVersion”.

Quindi in scenari con il Windows LAPS precedentemente attivato, bisogna rieseguire la cmdlet.

📘🔍 Esempio pratico:

Funzionalità di Rollback in azione

Ho verificato lo stato iniziale eseguendo un Get-LapsADPassword, con i due GUID (nell’attributo msLAPS-CurrentPasswordVersion e nella chiave di registro LastPasswordVersion) allineati:

• Password iniziale: AtomGamekeeperAcutenessRevolverIcingUnveiledGlove

Successivamente, ho modificato manualmente il GUID nel Regedit del computer locale, creando intenzionalmente una discrepanza tra i due valori.

Dopo aver eseguito il comando Invoke-LapsProcessing, Windows LAPS ha rilevato che i due GUID erano diversi. In risposta, il sistema ha attivato la funzionalità di Rollback, ruotando immediatamente la password.

• Nuova password generata: FlashlightGrillPythonSandwormFridgeJohnDubiously

Questo esempio dimostra come il Rollback sia efficace nel garantire una gestione sicura delle password, reagendo automaticamente a cambiamenti o incoerenze nel sistema.

CONCLUSIONI

Come abbiamo visto in questo articolo, la nuova versione di Windows LAPS rappresenta un significativo passo avanti nella gestione delle password degli account amministrativi locali, introducendo funzionalità che migliorano l’automazione, la sicurezza e la flessibilità degli ambienti IT.

Questa nuova versione semplifica la gestione quotidiana con la creazione automatica degli account e una gestione personalizzata, riducendo interventi manuali. Migliora la sicurezza grazie a funzioni come il suffisso casuale, la complessità delle password e il rollback delle VM. Queste innovazioni, disponibili solo su Windows 11 24H2 e Windows Server 2025, richiedono infrastrutture aggiornate per essere pienamente sfruttate, garantendo protezione avanzata e gestione affidabile delle password.

In definitiva, Windows LAPS si conferma uno strumento indispensabile per rafforzare la sicurezza, semplificare la gestione e garantire affidabilità negli ambienti IT moderni.

Sei pronto a implementare queste nuove funzionalità per migliorare la sicurezza e l’efficienza della tua infrastruttura?

Ora è il momento di iniziare!

Questo importante aggiornamento verrà trattato anche durante il prossimo corso in partenza il 13 Gennaio. "Active Directory: Da Zero a Hero".

Per maggiori dettagli, consulta la pagina: promo.heroadmin.it/activedirectory-da-zero-a-hero

#heroadmin #activedirectory #laps #windowsserver2025