No nosso exemplo, vamos criar uma nova GPO que altera a senha do administrador local para password1234@:
Começamos criando uma nova GPO

Vamos editar essa GPO, para que ela altere a senha do administrador local para password1234@

e

Depois de criar a GPO, basta linkar ela à OU, que você deseja aplicar a nova senha de administrador, e pronto. Fácil né?

Agora, a parte interessante: toda GPO armazena configurações no compartilhamento SYSVOL de cada controlador de domínio. Configurações de contas e grupos são armazenadas dentro de cada GPO num arquivo chamado Groups.xml. Efetuando uma busca pelo arquivo dentro da SYSVOL e editando o arquivo temos:

Esse campo cpassword é a senha que configuramos anteriormente criptografada em AES 256 Bits. Bem segura, né? Bom, nem tanto. Utilizando scripts disponibilizados na Web (google is your friend), podemos quebrar a senha de ADM rapidamente.

Wow! Isso é uma brecha de segurança perigosa, tanto que, a Microsoft disponibilizou um patch que impede que novas senhas sejam armazenadas na GPO:  https://support.microsoft.com/en-us/kb/2962486

Como resolvo o problema

– Bom, e o que eu faço para gerenciar as senhas de administrador local de forma segura e mitigando problemas do uso indevido?

Ai que entra o LAPS. O Local Administrator Password Solution permite que você controle de forma automatizada senhas individuais de administrador para cada computador no domínio, sincronizando com um atributo AD, onde só pessoas autorizadas podem acessar. O próprio plug-in se encarrega de gerar senhas complexas e com data para expirar. Isso também evita possíveis ataques por “exploração lateral”, ou seja, um invasor poderia extrair a senha de administrador local e varrer as demais máquinas da sua rede.

Como instalo o LAPS