Poradniki 8 min czytania

Windows LAPS w firmie – bezpieczne hasła administratorów

Jedno wspólne hasło administratora lokalnego na wszystkich komputerach w firmie to jedno z najczęstszych i najgroźniejszych zaniedbań bezpieczeństwa IT w MŚP. Hakerzy doskonale o tym wiedzą – i regularnie to wykorzystują do poruszania się po całej sieci po przejęciu jednej maszyny. Windows LAPS (Local Administrator Password Solution) eliminuje ten problem automatycznie, generując unikalne hasło dla każdego urządzenia i przechowując je bezpiecznie w Active Directory lub Microsoft Entra ID.

Problem, którego często nie widać – hasła lokalnych administratorów

W wielu firmach MŚP wszystkie komputery Windows mają to samo hasło lokalnego konta Administrator. Ustawiono je raz, podczas konfiguracji pierwszego sprzętu, i tak pozostało – na dziesiątkach, a niekiedy setkach maszyn. To klasyczny przykład ryzyka, które jest niewidoczne, dopóki nie dojdzie do incydentu.

Atakujący, którzy przejmą kontrolę nad jedną stacją roboczą, niemal natychmiast próbują techniki zwanej lateral movement – przemieszczania się po sieci. Najczęściej używają do tego metody Pass-the-Hash lub po prostu ponownie wykorzystują przechwycone hasło administratora na kolejnych maszynach. Jeśli wszędzie jest identyczne – cała sieć jest ich.

  • Atak ransomware: jedno przejęte konto = zaszyfrowanie całej infrastruktury w godzinach
  • Wyciek danych: cichy dostęp do każdego komputera bez śladu w logach domenowych
  • Trwałość ataku: backdoor instalowany równolegle na dziesiątkach urządzeń

Rozwiązaniem jest Windows LAPS – mechanizm wbudowany w system Windows od 2023 roku, który automatyzuje zarządzanie hasłami lokalnych administratorów i sprawia, że każda maszyna ma inne, rotowane hasło.

Czym jest Windows LAPS i jak działa

Windows LAPS (Local Administrator Password Solution) to mechanizm wbudowany w Windows 10, Windows 11 i Windows Server (od wersji 2019), który automatycznie wykonuje cztery zadania:

  1. Generuje losowe, złożone hasło dla lokalnego konta Administrator na każdym urządzeniu
  2. Przechowuje je zaszyfrowane w Active Directory lub Microsoft Entra ID
  3. Rotuje hasło po upływie skonfigurowanego okresu (zalecane: 14–30 dni)
  4. Umożliwia autoryzowanym administratorom odczytanie hasła wtedy i tylko wtedy, gdy jest potrzebne

Windows LAPS zastępuje starszą, oddzielną aplikację Legacy LAPS, która wymagała instalacji oddzielnego pakietu MSI i ręcznej modyfikacji schematu AD inną metodą. Od kwietnia 2023 roku Windows LAPS jest częścią systemu operacyjnego – wystarczy go skonfigurować.

Kluczowa zaleta: każdy komputer ma inne hasło administratora. Przejęcie jednego urządzenia nie daje atakującemu dostępu do pozostałych. To drastycznie utrudnia lateral movement i ogranicza zasięg ewentualnego ataku do pojedynczej maszyny zamiast całej firmy.

Wymagania i przygotowanie środowiska

Przed wdrożeniem LAPS sprawdź, czy Twoje środowisko spełnia poniższe wymagania:

  • Systemy operacyjne: Windows 10 21H2 lub nowszy (z aktualizacją zbiorczą z kwietnia 2023), Windows 11 (wszystkie wersje), Windows Server 2019, 2022 lub 2025
  • Dla ścieżki Active Directory: co najmniej jeden kontroler domeny z Windows Server 2019; uprawnienia Schema Admin do jednorazowej aktualizacji schematu
  • Dla ścieżki Entra ID (chmura): licencja Microsoft Intune (plan P1 lub Microsoft 365 Business Premium); urządzenia zarejestrowane w Entra ID lub dołączone do domeny hybrydowej
  • PowerShell: moduł LAPS jest wbudowany w system od Windows 10 22H2 – nie trzeba nic instalować oddzielnie

Kluczowa decyzja przed startem: wybór ścieżki wdrożenia:

  • On-prem Active Directory – dla firm z własną domeną i kontrolerami domeny w siedzibie
  • Microsoft Entra ID – dla firm działających w pełni w chmurze lub zarządzających urządzeniami przez Intune
  • Hybrydowo – dla środowisk łączących lokalne AD z Entra ID i Intune

W każdym przypadku zacznij od środowiska testowego – wdrożenie na kilku maszynach pilotażowych przed produkcją to dobra praktyka, która pozwoli wychwycić ewentualne konflikty z istniejącymi politykami GPO.

Konfiguracja Windows LAPS krok po kroku

Ścieżka 1: Active Directory (on-prem)

  1. Zaktualizuj schemat AD – uruchom PowerShell jako Schema Admin i wykonaj polecenie:
    Update-LapsADSchema
    Ta operacja jest jednorazowa i nieodwracalna – dodaje nowe atrybuty do schematu AD.
  2. Nadaj uprawnienia komputerom – każdy komputer musi mieć prawo zapisu własnego hasła LAPS do swojego obiektu w AD. Dla wybranej jednostki organizacyjnej (OU) uruchom:
    Set-LapsADComputerSelfPermission -Identity 'OU=Komputery,DC=firma,DC=local'
  3. Utwórz obiekt GPO – w konsoli Group Policy Management utwórz nową politykę dla OU z komputerami. Przejdź do ścieżki:
    Konfiguracja komputera > Szablony administracyjne > System > LAPS
    Włącz ustawienie Konfiguruj katalog kopii zapasowych i wybierz opcję Active Directory.
  4. Skonfiguruj parametry hasła – ustaw wymagania złożoności (duże i małe litery, cyfry, znaki specjalne) oraz maksymalny wiek hasła (zalecane: 14–30 dni).
  5. Zastosuj GPO – przypisz politykę do właściwej OU. Zmiany zostaną zastosowane przy kolejnym odświeżeniu GPO lub po ręcznym wymuszeniu: gpupdate /force.
  6. Zweryfikuj działanie – po kilku minutach sprawdź, czy hasło zostało ustawione:
    Get-LapsADPassword -Identity NAZWA-KOMPUTERA -AsPlainText

Ścieżka 2: Microsoft Entra ID przez Intune

  1. W centrum administracyjnym Intune przejdź do Zabezpieczenia punktów końcowych > Ochrona konta.
  2. Utwórz nową politykę: platforma Windows 10 i nowsze, profil Lokalne hasło administratora (Windows LAPS).
  3. Skonfiguruj: katalog kopii zapasowej = Azure Active Directory, wymaganą złożoność hasła i czas rotacji.
  4. Przypisz politykę do grupy urządzeń i zapisz. Ustawienia trafią na urządzenia przy kolejnym synchronizacji Intune (zazwyczaj do 8 godzin lub po ręcznym wymuszeniu z portalu).

Pobieranie hasła i zarządzanie uprawnieniami dostępu

Wdrożony LAPS jest bezużyteczny, jeśli administrator nie wie, jak bezpiecznie pobrać hasło w razie potrzeby – np. gdy pracownik jest niedostępny, a trzeba zalogować się lokalnie do jego maszyny lub gdy konto domenowe jest zablokowane.

Dla Active Directory – sposoby odczytu hasła:

  • PowerShell: Get-LapsADPassword -Identity NAZWA-KOMPUTERA -AsPlainText
  • LAPS UI – narzędzie graficzne dostępne w konsoli systemu Windows (wbudowane od Windows Server 2022)
  • Centrum administracyjne Active Directory (ADAC) – zakładka LAPS przy obiekcie komputera w AD

Dla Entra ID – sposoby odczytu hasła:

  • Portal Microsoft Entra > Urządzenia > wybierz urządzenie > zakładka Lokalne hasło administratora
  • Microsoft Graph API – do automatyzacji i integracji z systemami helpdesk

Zarządzanie dostępem do haseł LAPS to krytyczny element bezpieczeństwa całego rozwiązania:

  • Tylko wyznaczeni administratorzy IT powinni mieć prawo odczytu atrybutów LAPS w AD – skonfiguruj je poleceniem: Set-LapsADReadPasswordPermission
  • W Entra ID rola Cloud Device Administrator daje dostęp do haseł LAPS – przydzielaj ją z rozwagą i zawsze w połączeniu z MFA
  • Każde pobranie hasła jest logowane – regularnie przeglądaj dzienniki audytu
  • Po użyciu hasła wymuś natychmiastową rotację: Reset-LapsPassword (lokalnie na urządzeniu) lub zdalnie z portalu Intune

Monitoring, audyt i dobre praktyki wdrożeniowe

Sam LAPS to nie wszystko – jego skuteczność zależy od tego, jak monitorujesz odczyty haseł i jak integrujesz go z pozostałymi elementami polityki bezpieczeństwa firmy.

Audytowanie w Active Directory:

  • Włącz szczegółowe inspekcje w GPO: Konfiguracja komputera > Ustawienia zabezpieczeń > Zaawansowana konfiguracja inspekcji > Dostęp do usługi katalogowej
  • Zdarzenia EventID 4662 (odczyt atrybutu AD) rejestrują, kto i kiedy pobrał hasło LAPS – regularnie eksportuj je do SIEM

Audytowanie w Entra ID:

  • Portal Entra > Monitorowanie > Dzienniki inspekcji – filtruj po działaniu Get local administrator password
  • Utwórz alert w Microsoft Sentinel po każdym pobraniu hasła poza godzinami pracy

Dobre praktyki, o których często się zapomina:

  • Nie pomijaj serwerów – Windows LAPS działa też na Windows Server; lokalne konto administratora serwera to równie atrakcyjny cel dla atakujących
  • Testuj rotację kwartalnie – sprawdź na próbce urządzeń, czy hasła rzeczywiście się zmieniają i czy można je pobrać
  • Połącz z EDR – integracja z Microsoft Defender for Endpoint pozwala korelować zdarzenia odczytu haseł LAPS z aktywnymi incydentami bezpieczeństwa
  • Dokumentuj zasięg polityki – prowadź rejestr, które OU lub grupy Intune są objęte LAPS; brak dokumentacji to brak kontroli
  • Nie traktuj LAPS jako jedynego zabezpieczenia – łącz z MFA, Conditional Access, segmentacją sieci i zasadą najmniejszych uprawnień

Jeśli Twoja firma nie ma wewnętrznych zasobów IT do wdrożenia i bieżącego monitorowania LAPS, zewnętrzny dział IT NovaSys może przeprowadzić pełną konfigurację i przejąć nadzór nad systemem.

Porównanie ścieżek wdrożenia Windows LAPS
ParametrActive Directory (on-prem)Microsoft Entra ID (chmura)Hybrydowo
Wymagana infrastrukturaWindows Server 2019+ jako DCMicrosoft IntuneAD + Entra Connect + Intune
Aktualizacja schematu ADTak (Update-LapsADSchema)NieTak (po stronie AD)
Przechowywanie hasłaAtrybuty obiektu komputera w ADMicrosoft Entra ID (szyfrowane)AD i/lub Entra ID
Pobieranie hasłaPowerShell / LAPS UI / ADACPortal Entra / Graph APIOba kanały
Wdrożenie politykiGroup Policy (GPO)Microsoft IntuneGPO lub Intune
Automatyczna rotacjaTak (przez GPO)Tak (przez Intune)Tak (oba mechanizmy)
Koszt licencji LAPSBrak (wbudowany w Windows)Wymaga licencji IntuneWymaga licencji Intune

Potrzebujesz pomocy przy wdrożeniu Windows LAPS?

Konfiguracja LAPS, zarządzanie politykami GPO i Intune, audyt uprawnień lokalnych – NovaSys przeprowadzi Twoją firmę przez cały proces wdrożenia i zapewni bieżący nadzór nad bezpieczeństwem infrastruktury.

Skontaktuj się z nami Bezpłatna konsultacja