Зачем нужен Windows LAPS?

LAPS решает проблему одинаковых паролей локального администратора на всех ПК организации. Это защищает от pass-the-hash атак — злоумышленник, получивший доступ к одной машине, не сможет автоматически войти на все остальные.

Чем новый Windows LAPS отличается от Legacy LAPS?

Новый LAPS встроен в Windows 10/11 и Server 2019+ без установки клиента. Поддерживает шифрование паролей в AD, хранение в Azure AD, и ротацию после каждого использования. Legacy LAPS требует MSI-клиента и хранит пароли в открытом виде в атрибуте ms-Mcs-AdmPwd.

Как часто менять пароль локального админа?

Рекомендую 30 дней для высокочувствительных машин (бухгалтерия, серверы) и 60-90 дней для обычных рабочих станций. Дополнительно включаем post-authentication actions для смены после каждого использования.

Кто может видеть пароли в LAPS?

Права выдаются группой безопасности в AD через ACL на OU с компьютерами. Обычно это IT-отдел и helpdesk. Аудит чтения включается через SACL — будут логи, кто и когда смотрел пароль.

Работает ли LAPS на ноутбуках вне офиса?

Да, при условии периодической связи с контроллером домена (VPN, Direct Access, Always-On). Если ноутбук две недели не выходит в сеть — пароль не ротируется, но последний сохранённый остаётся рабочим.

Безопасность 22 июля 2025 · 14 мин чтения

Windows LAPS: автоматические пароли локальных администраторов в домене

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15+ лет работы с доменными сетями я сотни раз приходил в компании, где пароль локального администратора на всех 50-200 рабочих станциях был одинаковым. Обычно это что-то вроде «Admin2020!» с прошлого внедрения. Это классическая дыра, через которую даже начинающий пентестер за час разносит всю сеть. Windows LAPS закрывает эту дыру раз и навсегда — если его правильно внедрить.

Что такое LAPS и почему он обязателен

Local Administrator Password Solution — это механизм Microsoft, который назначает каждому доменному компьютеру случайный пароль для локального администратора и хранит его в Active Directory. На каждой машине пароль разный, меняется по расписанию (обычно раз в 30 дней), и доступен только доверенным админам.

Чем это важно? Представьте атаку pass-the-hash: злоумышленник получил NTLM-хеш локального админа с одного заражённого ноутбука. Если пароль на всех машинах один и тот же — он заходит на каждую, получает доступ к пользовательским сессиям, собирает хеши привилегированных доменных учёток. С LAPS эта атака ломается на первом же шаге: хеш от одной машины нигде больше не работает.

Legacy LAPS vs новый Windows LAPS

С апреля 2023 Microsoft выпустила полностью переработанный встроенный Windows LAPS — он идёт в составе Windows 10 22H2, 11, Server 2019+ после патчей. Старый Legacy LAPS (который требовал установки MSI-клиента и расширения схемы атрибутом ms-Mcs-AdmPwd) морально устарел.

Параметр	Legacy LAPS	Windows LAPS
Установка	MSI-клиент на каждый ПК	Встроен в ОС
Шифрование пароля в AD	Нет, открытым текстом	Да, DPAPI-NG
Хранение в Azure AD	Нет	Да
Post-auth ротация	Нет	Есть
PowerShell-модуль	AdmPwd.PS	LAPS module

Я всегда рекомендую мигрировать с Legacy на новый Windows LAPS. Процесс простой, но требует внимания к порядку обновления схемы AD и клиентских машин.

Подготовка Active Directory

Работу начинаем с контроллера домена. Требования: уровень леса Windows Server 2016 или выше, DC с установленными свежими обновлениями. Расширяем схему AD:

# С учётной записью Schema Admins
Import-Module LAPS
Update-LapsADSchema

# Проверка
Get-LapsADPasswordAttributes

Команда добавит атрибуты msLAPS-Password, msLAPS-PasswordExpirationTime, msLAPS-EncryptedPassword и ещё несколько. Операция однократная на весь лес — обратной совместимости нет, но старые атрибуты Legacy LAPS остаются нетронутыми.

Настройка прав на OU

По умолчанию прочитать пароль сможет только Domain Admins. Для helpdesk нужно выдать права на OU, где лежат компьютеры. Делаем группу LAPS_Password_Readers и выдаём ей права:

# Даём право записи паролей (нужно самим компьютерам, через SELF)
Set-LapsADComputerSelfPermission -Identity "OU=Workstations,DC=corp,DC=example,DC=ru"

# Даём право чтения пароля группе helpdesk
Set-LapsADReadPasswordPermission `
  -Identity "OU=Workstations,DC=corp,DC=example,DC=ru" `
  -AllowedPrincipals "CORP\LAPS_Password_Readers"

# Даём право сброса пароля (принудительная ротация)
Set-LapsADResetPasswordPermission `
  -Identity "OU=Workstations,DC=corp,DC=example,DC=ru" `
  -AllowedPrincipals "CORP\LAPS_Password_Readers"

Групповая политика

Политики LAPS лежат в Computer Configuration → Administrative Templates → System → LAPS. На контроллере домена или машине с RSAT скачиваем свежие ADMX-шаблоны (идут с обновлениями Windows 11 23H2+):

Копируем LAPS.admx и LAPS.adml из C:\Windows\PolicyDefinitions в \\domain\SYSVOL\domain\Policies\PolicyDefinitions.
Создаём новую GPO «LAPS - Workstations» и линкуем к OU рабочих станций.
Включаем «Configure password backup directory» = Active Directory.
Включаем «Password Settings»: Complexity — Large letters + small + numbers + specials, Length — 20, Age — 30 days.
Включаем «Name of administrator account to manage» = «LocalAdmin» (создайте предварительно через GPO или Endpoint Manager).
«Post-authentication actions» = «Reset the password and logoff», Grace period = 24 часа.
«Enable password encryption» = Enabled, выбираем группу расшифровки = LAPS_Password_Readers.

После применения политики (через gpupdate /force) Windows LAPS автоматически создаст пароль при первом срабатывании задания. Проверяем:

# На рабочей станции
Get-LapsDiagnostics -Path C:\Temp\laps
# Смотрим логи Microsoft-Windows-LAPS/Operational

# С машины helpdesk — читаем пароль
Get-LapsADPassword -Identity "WS-BUH-001" -AsPlainText

Аудит и контроль доступа

LAPS — это точка повышенных привилегий. Доступ к паролю локального админа должен логироваться. Включаем SACL на атрибутах:

$OU = "OU=Workstations,DC=corp,DC=example,DC=ru"
Set-LapsADAuditing -Identity $OU `
  -AuditedPrincipals "CORP\LAPS_Password_Readers" `
  -AccessType ReadProperty

На контроллере домена включаем аудит чтения объектов AD через GPO: Computer Configuration → Policies → Advanced Audit Policy Configuration → DS Access → Audit Directory Service Access = Success, Failure. После этого каждое чтение пароля попадает в Security Event Log с EventID 4662.

Я всегда настраиваю сбор этих событий в SIEM (Wazuh, ELK) с уведомлением в Telegram, если пароль читает не-helpdesk аккаунт.

Типичные сценарии использования

За годы внедрений я выделил четыре основных сценария:

Удалённая помощь. Пользователь не может зайти в систему из-за слетевшего профиля. Helpdesk смотрит LAPS-пароль, заходит локально, чинит.
Аварийное восстановление. Машина потеряла связь с доменом, кэш доменных учёток битый. LAPS-пароль ещё работает локально.
Плановая переустановка. Перед развёртыванием образа считываем пароль, резервируем важные данные, выводим из домена.
Форензика после инцидента. Если машину скомпрометировали — изолируем, форсим сброс пароля, анализируем логи чтения паролей.

Мини-кейс: внедрение в сети страховой компании

В мае 2025 года к нам обратился клиент — страховая компания в Москве, 180 рабочих мест, два офиса, домен corp.insurance.local. Пентест перед продлением ИТ-страховки показал, что пароль локального администратора на всех машинах был «Insur2022!» и известен половине IT-отдела. Рекомендация аудитора: внедрить LAPS за 30 дней.

Работа заняла 4 рабочих дня: расширение схемы AD, настройка GPO, развёртывание Windows 11 22H2-обновлений на отстающие машины, обучение трёх helpdesk-инженеров работе с модулем LAPS. Уже через сутки после применения политики 174 из 180 машин получили уникальные 20-символьные пароли, зашифрованные в AD. Оставшиеся 6 — это были ноутбуки, которые не появлялись в офисе больше трёх недель.

Через три месяца компания прошла повторный аудит на отлично, стоимость киберстрахования снизилась на 12% за счёт более высокой оценки зрелости процессов. Проект целиком — 95 000 руб. Окупился за первый год за счёт экономии на страховке.

Грабли, на которые наступают админы

У нас на практике чаще всего встречаются такие ошибки:

Не меняют имя локального админа. Встроенный «Administrator» с SID -500 хакеры ищут в первую очередь. Переименуйте или создайте отдельную учётку.
Включают шифрование без проверки. Если клиенты ещё на Windows 10 21H2 или старше — они не умеют расшифровывать новые зашифрованные пароли.
Забывают про Azure AD joined машины. Для них нужен отдельный backup directory = Azure Active Directory.
Не ротируют DSRM-пароли. LAPS умеет управлять и DSRM-паролем на DC — используйте эту функцию.
Не удаляют старые GPO Legacy LAPS. Конфликт политик может остановить работу нового LAPS без видимых ошибок.

Внедрим Windows LAPS за 3-5 рабочих дней

Подготовим Active Directory, настроим групповые политики, обучим helpdesk, подключим аудит в SIEM. Работаем с компаниями на 30-300 рабочих мест, все услуги под ключ — от анализа текущего состояния до финальной приёмки.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы про Windows LAPS

Зачем нужен Windows LAPS?: LAPS решает проблему одинаковых паролей локального администратора на всех ПК. Защищает от pass-the-hash атак — компрометация одной машины не ведёт к захвату всех остальных.
Чем новый Windows LAPS отличается от Legacy LAPS?: Встроен в ОС, поддерживает шифрование и Azure AD, умеет post-authentication ротацию. Legacy требует MSI-клиента и хранит пароли открытым текстом.
Как часто менять пароль локального админа?: 30 дней для чувствительных машин, 60-90 для обычных. Плюс post-auth сброс после каждого использования.
Кто может видеть пароли в LAPS?: Члены группы безопасности, которой выданы права через Set-LapsADReadPasswordPermission. Обычно это IT-отдел и helpdesk.
Работает ли LAPS на ноутбуках вне офиса?: Да, при периодической связи с DC через VPN или Always-On. Пароль обновится при следующем подключении.