2 tygodnie temu aktualizacje spod szyldu Patch Tuesday zaimplementowały nowe rozwiązanie Windows Local Administrator Password Solution (LAPS) jako preinstalowaną funkcję na Windows 10 i Windows 11. Wkrótce potem Microsoft potwierdził problemy z interoperacyjnością ze starszą wersją LAPS oraz zaproponował tymczasowe rozwiązanie.
Co to jest Windows LAPS?
Local Administrator Password Solution (LAPS) to produkt chroniący, dostępny od lat w Microsoft Download Center. Jest wykorzystywany do zarządzania hasłem określonego konta administratora lokalnego poprzez regularne rotacje hasła i tworzenie jego kopii zapasowej w Active Directory (AD). LAPS okazał się niezbędnym i solidnym elementem składowym bezpieczeństwa przedsiębiorstwa AD w środowisku lokalnym. Starszą wersję produktu Microsoft określa jako "Legacy LAPS".
Scenariusz użycia LAPS w Azure AD, teraz jako część Microsoft Entra, w tym kwartale przejdzie z prywatnej do publicznej wersji zapoznawczej. Windows LAPS to ogromne ulepszenie w praktycznie każdym obszarze w porównaniu do Legacy LAPS — twierdzi Microsoft. Jako nowa funkcjonalność LAPS jest gotowy do użycia po wyjęciu z pudełka i nie wymaga instalowania pakietu MSI. Wszystkie poprawki i aktualizacje funkcji będą dostarczane poprzez normalny proces łatania Windows.
Na czym polegają problemy z Legacy LAPS?
Od wydania nowego Windows Laps rejestrowane są problemy z interoperacyjnością z Legacy LAPS. Kiedy ta starsza wersja jest instalowana (poprzez pakiet MSI) na maszynach z zainstalowanym ostatnim Patch Tuesday, zarówno starsze, jak i nowe Windows LAPS ulegają uszkodzeniu. Zwykle towarzyszy temu an event log ID 10031 lub 10032 z wiadomością, że LAPS zablokował zewnętrzne żądanie, które próbowało zmodyfikować hasło bieżącego, zarządzanego konta.
Microsoft poinformował, że problem ten można rozwiązać a) odinstalowując Legacy LAPS albo b) usuwając wszystkie wartości rejestru w HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State. Firma zapowiedziała też, że poprawki zostaną dostarczone w przyszłych wydaniach każdego z dotkniętych systemów, a więc Windows 11, Windows 10 i Windows Server.
