Windows LAPS: защита локального админа на ПК — АйТи Фреш
· 14 мин чтения

Windows LAPS: автоматические пароли локальных администраторов в домене

Windows LAPS: автоматические пароли локальных администраторов в домене

Привет! Я, Семёнов Евгений Сергеевич, директор АйТи Фреш. Представьте: за свои 15 с лишним лет работы с доменными сетями, я, наверное, сотни раз видел одну и ту же картину. Приходишь в компанию, а там на всех 50, а то и 200 рабочих станциях, стоит один и тот же пароль локального администратора. Чаще всего это что-то «гениальное» типа «Admin2020!», которое болтается ещё со времён прошлого подрядчика. Понимаете, насколько это опасно? Это же просто гигантская дыра! Любой, даже новичок-пентестер, за час разнесёт всю вашу сеть. А вот Windows LAPS — он эту дыру закроет. Раз и навсегда. Конечно, если его правильно внедрить.

Что такое LAPS и почему он обязателен

Итак, что такое Local Administrator Password Solution, или LAPS? Это, по сути, классный механизм от Microsoft. Его задача проста: для каждого компьютера в домене он генерирует уникальный, случайный пароль локального администратора. И где же он хранится? Прямо в Active Directory. Да, на каждой машине пароль свой, неповторимый. А ещё он автоматически меняется — обычно раз в 30 дней. Конечно, доступ к этим паролям есть только у наших, ну и ваших, доверенных администраторов.

Почему это так важно, спросите? А вот почему: представьте себе атаку типа pass-the-hash. Злоумышленник, к примеру, через какой-то вирус, вытащил NTLM-хеш локального админа с одного-единственного заражённого ноутбука. И что дальше? Если на всех ваших машинах этот пароль один и тот же, то ему не составит труда зайти на каждую рабочую станцию! Оттуда уже можно получить доступ к пользовательским сессиям, собрать хеши привилегированных доменных учёток – это прямой путь к полному контролю над вашей инфраструктурой. А LAPS? Он эту цепочку ломает на самом первом шаге. Хеш, полученный с одной машины, просто нигде больше не сработает. И всё, конец атаке.

Legacy LAPS vs новый Windows LAPS

Кстати говоря, с апреля 2023 года Microsoft нас порадовала. Они выпустили совершенно новый, полностью переработанный и, что важно, уже встроенный Windows LAPS. Теперь он поставляется прямо «из коробки» с Windows 10 22H2, Windows 11 и, конечно, Server 2019 и выше – достаточно лишь установить нужные патчи. А вот старый, так называемый Legacy LAPS, со всеми его заморочками — установкой MSI-клиента, ручным расширением схемы через атрибут ms-Mcs-AdmPwd, — честно скажу, морально и технически устарел.

ПараметрLegacy LAPSWindows LAPS
УстановкаMSI-клиент на каждый ПКВстроен в ОС
Шифрование пароля в ADНет, открытым текстомДа, DPAPI-NG
Хранение в Azure ADНетДа
Post-auth ротацияНетЕсть
PowerShell-модульAdmPwd.PSLAPS module

Я всегда настоятельно советую всем: переходите с Legacy LAPS на новый Windows LAPS. Конечно, на первый взгляд, сам процесс миграции кажется простым. Но поверьте, он требует очень внимательного подхода! Особенно это касается правильного порядка обновления схемы Active Directory и, безусловно, самих клиентских машин.

Подготовка Active Directory

С чего мы обычно начинаем? Всегда с контроллера домена. Что нам потребуется? Во-первых, убедитесь, что уровень леса у вас не ниже Windows Server 2016. Плюс, контроллеры домена должны быть со всеми свежими обновлениями. Только после этого можно приступать к расширению схемы Active Directory.

# С учётной записью Schema Admins
Import-Module LAPS
Update-LapsADSchema

# Проверка
Get-LapsADPasswordAttributes

Команда добавит атрибуты msLAPS-Password, msLAPS-PasswordExpirationTime, msLAPS-EncryptedPassword и ещё несколько. Операция однократная на весь лес — обратной совместимости нет, но старые атрибуты Legacy LAPS остаются нетронутыми.

Настройка прав на OU

По умолчанию прочитать пароль сможет только Domain Admins. Для helpdesk нужно выдать права на OU, где лежат компьютеры. Делаем группу LAPS_Password_Readers и выдаём ей права:

# Даём право записи паролей (нужно самим компьютерам, через SELF)
Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=example,DC=ru"

# Даём право чтения пароля группе helpdesk
Set-LapsADReadPasswordPermission `
  -Identity "OU=Workstations,DC=corp,DC=example,DC=ru" `
  -AllowedPrincipals "CORP\LAPS_Password_Readers"

# Даём право сброса пароля (принудительная ротация)
Set-LapsADResetPasswordPermission `
  -Identity "OU=Workstations,DC=corp,DC=example,DC=ru" `
  -AllowedPrincipals "CORP\LAPS_Password_Readers"

Групповая политика

Где найти политики LAPS? Они спрятаны по пути: Computer Configuration → Administrative Templates → System → LAPS. Вам нужно скачать самые свежие ADMX-шаблоны – они, кстати, обычно идут с обновлениями Windows 11 23H2 и выше. Загрузите их либо на контроллер домена, либо на любую машину, где установлен RSAT.

  1. Копируем LAPS.admx и LAPS.adml из C:\Windows\PolicyDefinitions в \\domain\SYSVOL\domain\Policies\PolicyDefinitions.
  2. Начинаем с создания новой групповой политики. Её назовём «LAPS - Workstations». После этого, конечно, не забудем привязать эту GPO прямо к организационному подразделению (OU), где у нас находятся все рабочие станции.
  3. Теперь активируем параметр «Configure password backup directory». Куда же будем сохранять резервные копии паролей? Указываем Active Directory – это логично и удобно.
  4. Самый ответственный момент: настройки паролей. Включаем «Password Settings» и устанавливаем строгие правила. Для максимальной безопасности требуем сложность: большие, маленькие буквы, цифры и спецсимволы. Длина пароля должна быть не менее 20 символов, а срок действия – всего 30 дней.
  5. Далее активируем «Name of administrator account to manage». Сюда вписываем имя локального администратора, которым будем централизованно управлять, например, «LocalAdmin». Очень важный нюанс: убедитесь, что аккаунт «LocalAdmin» вы создали заранее, через GPO или Endpoint Manager.
  6. Что должно произойти после использования временного пароля? В «Post-authentication actions» выбираем «Reset the password and logoff». То есть система сама сбросит пароль и выйдет из сессии. Но мы даём пользователю немного времени, «Grace period» устанавливаем в 24 часа.
  7. И, конечно, куда без шифрования? Обязательно включаем «Enable password encryption», установив его в Enabled. А кто сможет расшифровывать эти пароли? Выбираем только доверенную группу «LAPS_Password_Readers». Это же основа безопасности, не так ли?

После применения политики (через gpupdate /force) Windows LAPS автоматически создаст пароль при первом срабатывании задания. Проверяем:

# На рабочей станции
Get-LapsDiagnostics -Path C:\Temp\laps
# Смотрим логи Microsoft-Windows-LAPS/Operational

# С машины helpdesk — читаем пароль
Get-LapsADPassword -Identity "WS-BUH-001" -AsPlainText

Аудит и контроль доступа

Важно понимать: LAPS – это настоящая точка повышенных привилегий. Любой доступ к паролю локального админа обязательно должен логироваться, иначе зачем всё это? Поэтому мы включаем SACL прямо на нужных атрибутах.

$OU = "OU=Workstations,DC=corp,DC=example,DC=ru"
Set-LapsADAuditing -Identity $OU `
  -AuditedPrincipals "CORP\LAPS_Password_Readers" `
  -AccessType ReadProperty

Что дальше? На контроллере домена обязательно включаем аудит чтения объектов AD. Делаем это через GPO: ищем Computer Configuration → Policies → Advanced Audit Policy Configuration → DS Access. Там ставим 'Audit Directory Service Access' на 'Success, Failure'. Сделано? Отлично! Теперь каждое чтение пароля будет аккуратно записано в Security Event Log, под EventID 4662.

Лично я всегда настоятельно рекомендую: настройте сбор всех этих событий в вашей SIEM-системе. Мы, например, часто используем Wazuh или ELK. И самое главное – обязательно сделайте уведомление в Telegram! Если вдруг пароль читает кто-то, кто не является обычным helpdesk-аккаунтом, вы должны узнать об этом немедленно.

Типичные сценарии использования

За все эти годы, что мы внедряем LAPS, я для себя выделил четыре типичных сценария. Какие они?

Мини-кейс: внедрение в сети страховой компании

Вот вам живой пример. Помню, как в мае 2025 года к нам пришла одна страховая компания из Москвы – у них 180 рабочих мест, два офиса, домен corp.insurance.local. Они проходили пентест перед продлением ИТ-страховки. И что там обнаружили? Вся их сеть держалась на одном пароле локального администратора – «Insur2022!». А самое смешное (и грустное), что этот пароль знала чуть ли не половина всего IT-отдела! Аудитор, конечно, был непреклонен: внедрить LAPS, и сделать это за 30 дней. Без вариантов.

И вот как мы справились: вся работа заняла у нас всего четыре рабочих дня! Что именно мы сделали? Расширили схему Active Directory, аккуратно настроили групповые политики, развернули нужные обновления Windows 11 22H2 на те машины, что отставали. Плюс, конечно, обучили трёх helpdesk-инженеров, как правильно работать с модулем LAPS. И что в итоге? Всего через сутки после того, как политика вступила в силу, 174 из 180 машин успешно получили свои новые, уникальные 20-символьные пароли! Они, конечно же, были надёжно зашифрованы в Active Directory. А что с остальными шестью? Это были ноутбуки, которые просто не появлялись в офисе больше трёх недель – ждали своей очереди.

Что в итоге? Уже через три месяца компания не просто прошла – она с лёгкостью сдала повторный аудит на отлично! И вот приятный бонус: стоимость их киберстрахования упала на целых 12%. Почему? Потому что аудиторы дали очень высокую оценку зрелости их IT-процессов. Сам проект, кстати, обошёлся компании в 95 000 рублей. Но, на мой взгляд, он полностью окупился уже в первый же год – только за счёт одной этой экономии на страховке!

Грабли, на которые наступают админы

На нашей практике мы чаще всего сталкиваемся вот с такими ошибками:

Внедрим Windows LAPS за 3-5 рабочих дней

Мы готовы подготовить вашу Active Directory, настроить все необходимые групповые политики, обучить helpdesk-специалистов и, конечно, подключить аудит в SIEM. Мы работаем с компаниями, у которых от 30 до 300 рабочих мест, и предлагаем все услуги под ключ — от детального анализа текущего состояния до финальной приёмки.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы про Windows LAPS

Зачем нужен Windows LAPS?
LAPS решает проблему одинаковых паролей локального администратора на всех ПК. Защищает от pass-the-hash атак — компрометация одной машины не ведёт к захвату всех остальных.
Чем новый Windows LAPS отличается от Legacy LAPS?
Встроен в ОС, поддерживает шифрование и Azure AD, умеет post-authentication ротацию. Legacy требует MSI-клиента и хранит пароли открытым текстом.
Как часто менять пароль локального админа?
30 дней для чувствительных машин, 60-90 для обычных. Плюс post-auth сброс после каждого использования.
Кто может видеть пароли в LAPS?
Члены группы безопасности, которой выданы права через Set-LapsADReadPasswordPermission. Обычно это IT-отдел и helpdesk.
Работает ли LAPS на ноутбуках вне офиса?
Да, при периодической связи с DC через VPN или Always-On. Пароль обновится при следующем подключении.

Подпишитесь на рассылку ITfresh

Каждую неделю мы выпускаем практические гайды для руководителей IT-отделов и сисадминов. Мы делимся проверенными решениями по безопасности, настройке 1С, успешным миграциям и надёжным резервным копиям. Это чистые лайфхаки, собранные из наших реальных проектов, которые помогут вам в ежедневной работе.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.