АйТи Фреш
Главная / Статьи / Windows и AD
Windows и AD

LAPS: как закрыть дыру с одним паролем admin на всех ПК офиса

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-15
LAPS: как закрыть дыру с одним паролем admin на всех ПК офиса

Каждый третий новый клиент, который приходит к нам в «АйТи-Фреш», приносит одну и ту же застарелую болезнь: на всех компьютерах в офисе один и тот же пароль локального администратора. Один — на сорок машин, на семьдесят, на сто двадцать. Спрашиваю директора — а он не в курсе, что это вообще проблема. Ему когда-то системный админ раскатал единый образ Windows, и с тех пор так и живёт весь парк, годами, без единого пересмотра.

Откуда берётся эта дыра

Всё начинается невинно. Приходит новый компьютер, админ разворачивает на него образ с уже настроенной Windows — через WDS, через MDT, а то и просто клонирует диск утилитой типа Clonezilla. В образе уже сидит локальный администратор с паролем. Быстро, удобно, за пять минут готова рабочая станция. Проблема в том, что пароль этот один и тот же на всех машинах, включая те, что купили три года спустя.

У одного клиента, юрфирмы на сорок рабочих мест, я в прошлом году поднял вопрос ротации — и услышал в ответ: «А зачем менять, у нас всё под контролем, пароль знают только два админа». Полез смотреть — пароль реально не менялся с 2019 года. Пять лет. За это время сменилось три сисадмина, один из них уволился со скандалом. И, по-хорошему, пароль стоило сменить в тот же день, но никто этого не сделал, потому что вручную обойти сорок машин руками — то ещё удовольствие.

Вот в этом и загвоздка: ручная смена пароля локального админа на десятках машин — это не пять минут. Это RDP на каждую, net user, перезапуск служб, которые от этого пароля зависят, и риск где-то опечататься и потерять доступ к машине вообще. Поэтому админы просто не делают этого. И живут годами с одним паролем, который знают все, кто когда-либо работал в компании.

Почему один пароль — это не мелочь, а катастрофа

Объясню на пальцах, как это ломают. Атакующий получает доступ к одному-единственному компьютеру — через фишинговое письмо, через уязвимость в старом софте, да хоть через флешку, забытую в переговорке. На этой машине он извлекает хэш пароля локального администратора инструментом вроде Mimikatz. И дальше — классика жанра, атака pass-the-hash: хэш подходит абсолютно ко всем машинам в сети, потому что пароль везде один.

За полчаса злоумышленник получает административный доступ ко всему парку компьютеров в офисе. Не к одному, а ко всем сразу. Это называется горизонтальное перемещение, и именно так шифровальщики-вымогатели укладывают за одну ночь всю сеть компании, а не одну машину. Я разбирал два таких случая у клиентов — оба раза точка входа была рядовой ноутбук бухгалтера, а через два часа лежала вся сеть, включая сервер с базой 1С.

Стоимость такого инцидента считается не в тысячах. Восстановление после шифровальщика для компании на 40-60 рабочих мест — это в среднем 800 тысяч — 1,5 миллиона рублей, если считать простой, работу форензики, выкуп (который мы никогда не советуем платить) и репутационные потери с клиентами. А закрывается эта дыра инструментом, который стоит ноль рублей и разворачивается за один вечер.

Что такое LAPS и почему он бесплатный

LAPS расшифровывается как Local Administrator Password Solution. Microsoft выпустила первую версию ещё в 2015 году как отдельное дополнение, а начиная с Windows Server 2022 и обновлений для Windows 10/11 функция встроена прямо в Active Directory — называется Windows LAPS. Идея простая до неприличия: у каждого компьютера свой собственный, случайный, длинный пароль локального администратора. Не общий на все. У каждого — свой.

Пароль генерируется автоматически, хранится в зашифрованном виде в самом Active Directory — в атрибуте компьютера, а не в отдельной базе, которую надо где-то держать и защищать. И меняется по расписанию: раз в 30 дней по умолчанию, можно настроить хоть на неделю. Никто вручную ничего не обходит и не вводит. Всё крутится само.

И да, это бесплатно. Это часть лицензии на Active Directory, которая у вас и так уже есть, если в офисе стоит домен. Не нужно покупать никакой PAM-системы за сотни тысяч рублей в год — а именно так стоят коммерческие решения для управления привилегированными паролями. Для компании до полусотни рабочих мест LAPS закрывает девяносто процентов той же задачи бесплатно.

Как это устроено технически

Технически всё крутится вокруг расширения схемы Active Directory. При установке Windows LAPS в схему добавляются новые атрибуты компьютера — msLAPS-Password и msLAPS-PasswordExpirationTime (в старой версии они назывались ms-Mcs-AdmPwd и ms-Mcs-AdmPwdExpirationTime). Именно там и хранится текущий пароль и время, когда его нужно менять снова.

На стороне клиентских машин работает служба, которая уже встроена в Windows 10/11 и Windows Server 2019+ — никакой отдельный агент ставить не надо, в отличие от старой версии, где требовался CSE-модуль для GPO. Служба по расписанию генерирует новый пароль по заданным правилам сложности — длина, набор символов, — устанавливает его локальному администратору и отправляет зашифрованное значение в свой объект-компьютер в AD.

А кто может прочитать этот пароль потом? Тут ключевой момент всей конструкции — делегирование прав. Через GPO и ACL в AD вы явно указываете, какие группы безопасности имеют право читать пароль конкретных компьютеров. Обычно это группа «Служба поддержки» или «Сисадмины». Все остальные, включая рядовых пользователей и даже часть ИТ-персонала, физически не могут получить этот пароль — им просто не хватает прав на атрибут в AD.

Внедрение шаг за шагом — без магии

На практике весь проект укладывается в один вечер работы плюс неделю наблюдения. Сначала расширяем схему AD командой Update-LapsADSchema из PowerShell-модуля LAPS — она встроена в современный Windows Server, отдельно ставить нечего. Это единоразовая необратимая операция на уровне леса, поэтому делаем её, естественно, в нерабочее время и с предварительным бэкапом состояния AD.

Дальше настраиваем делегирование прав чтения пароля на нужные организационные единицы — обычно это группа техподдержки из двух-трёх человек. Создаём и применяем групповую политику: период ротации (у меня почти везде стоит 30 дней), длина пароля от 20 символов, включение сложности. Раскатываем политику сначала на тестовую OU из пяти-семи компьютеров.

Через неделю наблюдения, когда видно, что пароли реально меняются и читаются нужными людьми без сбоев, распространяем политику на весь домен через связывание GPO на корневую OU. У клиента с сорока машинами вся эта раскатка на все компьютеры прошла за одну ночь без единого обращения от пользователей — они вообще ничего не заметили, потому что процесс касается только локального администратора, а не их рабочих учёток.

Грабли, на которые наступают чаще всего

Самая частая ошибка — слишком широкие права на чтение пароля. Настроили LAPS, а потом выясняется, что читать пароль может вся группа «Domain Users» — потому что кто-то по привычке скопировал делегирование с другой политики. Это фактически сводит на нет весь смысл затеи. Проверяйте dsacls на объектах компьютеров вручную хотя бы раз после настройки, не полагайтесь на GPO-мастер вслепую.

Вторая история — компьютеры, которые не в домене вообще. У одного клиента часть станций в цеху работала в рабочей группе, не в AD, потому что когда-то давно завести их в домен поленились. LAPS через AD их не покрывает никак — тут либо заводить машины в домен (что мы всегда и советуем), либо ставить отдельное решение вроде локального парольного менеджера именно для этой горстки машин.

Третий момент — забывают про аудит чтения пароля. LAPS сам по себе не оповещает, кто и когда посмотрел пароль конкретной машины. Эта информация есть в журнале безопасности контроллера домена (событие 4662 на изменение атрибута), но её нужно явно включить через политику аудита объектов и, в идеале, завести оповещение в SIEM или хотя бы в почту. Иначе смысл теряется — вы знаете, что доступ ограничен, но не видите, кто и когда им пользовался.

Стоит ли овчинка выделки

У того самого клиента-юрфирмы, о которой я говорил в начале, весь проект — от расширения схемы до раскатки на все сорок машин — занял чуть больше четырёх часов моей работы. Стоимость по нашим расценкам — около 12-15 тысяч рублей разово. Сравните это с полутора миллионами на восстановление после шифровальщика, который заходит именно через такую дыру, и вопрос «стоит ли» отпадает сам собой.

Дальше это не требует вообще никакого внимания. Пароли меняются сами, читают их только те, кому положено, история паролей хранится в AD на случай отката. Единственное, что нужно делать регулярно — раз в полгода перепроверять список групп с правом чтения, потому что люди увольняются, а права за ними иногда забывают отозвать.

Я обычно рекомендую LAPS вообще всем клиентам с доменом Active Directory, независимо от размера бизнеса — хоть пятнадцать компьютеров, хоть сто пятьдесят. Это один из немногих случаев в ИТ-безопасности, где бесплатный встроенный инструмент от Microsoft полностью закрывает задачу, для которой другие продают дорогие коммерческие решения. Жалко только, что про него до сих пор мало кто знает.

Частые вопросы

Нужен ли для LAPS новый Windows Server или дорогие лицензии?
Нет. Windows LAPS встроен в Active Directory начиная с обновлений 2022 года и работает даже с контроллерами домена постарше — Server 2016 и 2019 тоже потянут после установки апдейтов. Отдельно платить ничего не нужно, это часть уже имеющейся у вас лицензии на AD.

А что делать с компьютерами, которые не входят в домен?
Штатный LAPS их не видит вообще, потому что вся конструкция строится вокруг Active Directory. Правильное решение — завести такие машины в домен, благо это тоже делается быстро. Если по каким-то причинам это невозможно, для этой горстки станций придётся ставить отдельный локальный инструмент управления паролями или менять их вручную по графику.

Как часто меняется пароль и можно ли это настроить под себя?
По умолчанию раз в 30 дней, но период задаётся в групповой политике и меняется на что угодно — хоть раз в неделю, хоть раз в квартал. Я обычно ставлю 30 дней как разумный баланс между безопасностью и лишней нагрузкой на контроллер домена.

Что если нужно срочно попасть на машину, а пароль уже сменился и его никто не помнит?
Именно для этого пароль и лежит в Active Directory, а не в голове у админа. Заходите в консоль управления LAPS или в атрибуты компьютера через ADUC, смотрите текущее значение — если у вас есть на это делегированные права. Никакой ситуации «пароль забыт навсегда» просто не возникает.

Проверьте прямо сегодня, какой пароль у локального администратора на ваших компьютерах
Если он один и тот же на всех машинах — напишите нам, разворачиваем LAPS за один вечер и без остановки работы офиса.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи