Microsoft sedang menyelidiki bug interoperabilitas antara fitur Windows Local Administrator Password Solution (LAPS) yang baru ditambahkan dan kebijakan LAPS lama.
Windows LAPS membantu admin mengelola kata sandi untuk akun administrator lokal di perangkat yang bergabung dengan Azure Active Directory atau Windows Server Active Directory dengan memutar dan mencadangkannya secara otomatis ke pengontrol domain AD.
Selama Patch Selasa bulan iniMicrosoft diumumkan integrasi Windows LAPS pada Windows 10, Windows 11, dan Windows Server 2019 atau rilis yang lebih baru.
Namun, beberapa hari setelah pengumuman, perusahaan mengonfirmasi laporan bahwa menerapkan pembaruan April 2023 akan merusak LAPS lama dan Windows LAPS yang baru diluncurkan.
“Ada bug interop LAPS lawas di [..] Pembaruan 11 April 2023. Jika Anda menginstal LAPS GPO CSE lawas pada mesin yang ditambal dengan pembaruan keamanan 11 April 2023 dan kebijakan LAPS lawas yang diterapkan, Windows LAPS dan LAPS lawas akan rusak,” Microsoft menjelaskan.
“Gejala termasuk ID log kejadian LAPS Windows 10031 dan 10032, serta ID kejadian LAPS lawas 6. Microsoft sedang mengerjakan perbaikan untuk masalah ini.”
Hingga perbaikan tersedia untuk mengatasi masalah ini, Microsoft telah membagikan solusi untuk membantu admin memulihkan fungsionalitas LAPS dalam skenario Active Directory lokal.
Ini memerlukan pencopotan LAPS warisan atau menghapus semua nilai registri di bawah kunci registri HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State.
Mengapa beralih ke Windows LAPS?
Microsoft mengatakan LAPS sekarang terintegrasi secara native ke dalam Windows sebagai fitur kotak masuk dan akan menjalani pemeliharaan melalui proses patching standar Windows.
“Dimulai dengan pembaruan keamanan 11 April 2023, LAPS secara native terintegrasi ke dalam Windows dengan kemampuan baru untuk skenario AD lokal dan manfaat Azure Active Directory yang akan datang (saat ini dalam pratinjau pribadi),” Microsoft kata.
“Beberapa fitur baru termasuk manajemen kebijakan yang kaya, rotasi otomatis, log peristiwa khusus, modul PowerShell baru, dukungan gabungan hibrid, dan banyak lagi.”
Selain penambahan kemampuan baru, menggunakan Windows LAPS untuk merotasi dan mencadangkan kata sandi akun administrator lokal secara teratur juga memberikan peningkatan keamanan:
- Perlindungan terhadap serangan pass-the-hash dan lateral-traversal
- Peningkatan keamanan untuk skenario help desk jarak jauh
- Kemampuan untuk masuk dan memulihkan perangkat yang tidak dapat diakses
- Model keamanan berbutir halus (daftar kontrol akses dan enkripsi kata sandi opsional) untuk mengamankan kata sandi yang disimpan di Direktori Aktif Windows Server
- Dukungan untuk model kontrol akses berbasis peran Azure untuk mengamankan kata sandi yang disimpan di Azure Active Directory
