Luiz Henrique Lima Campos – Microsoft MVP

29 de maio de 2025
por luizhenriquelima
0 comentários

Windows LAPS no Windows Server 2025 e Windows 11: como habilitar, configurar a política e validar a rotação

O Windows LAPS evoluiu de forma importante e hoje faz parte da estratégia de proteção de contas locais em ambientes Windows modernos. O recurso permite gerenciar a senha da conta de administrador local em dispositivos ingressados no Microsoft Entra ou no Active Directory, além de oferecer suporte ao backup da conta DSRM em controladores de domínio. Em ambientes corporativos, isso reduz o risco de reutilização de credenciais locais e melhora o controle sobre rotação, recuperação e suporte.
Na prática, a implementação deve começar por uma decisão simples: qual será a origem de gerenciamento da política. Para dispositivos gerenciados com Intune, o caminho mais natural é usar a política de Account protection. Para servidores e estações ingressados no Active Directory tradicional, o caminho mais direto continua sendo a GPO do próprio Windows LAPS. O ponto importante é não misturar fontes sem planejamento, porque a política baseada em CSP tem precedência sobre outras origens de configuração.
Ponto de atenção: cada dispositivo faz backup para um único diretório. Por isso, o tipo de backup precisa estar alinhado ao tipo de ingresso da máquina para evitar política aplicada sem resultado operacional.
Configuração com Intune
Quando a meta é padronizar a proteção de contas locais em Windows 11 e servidores com gestão moderna, o Intune simplifica bastante o processo. A criação da política fica centralizada em Endpoint security > Account protection, usando o perfil Local admin password solution (Windows LAPS). Esse fluxo permite definir requisitos de senha, diretório de backup, rotação, ações pós-autenticação e, em versões suportadas, os recursos de Automatic Account Management.
A Figura 1 mostra o ponto de criação dessa política no Intune. Esse passo define a origem de gerenciamento da configuração. Em ambientes híbridos, é recomendável evitar políticas conflitantes entre Intune e GPO para não gerar comportamento inconsistente no dispositivo.

Figura 1 — Criação da política Windows LAPS em Endpoint security > Account protection no Intune.


Depois da criação do perfil, o ajuste mais sensível é a escolha do Backup Directory. Esse campo determina se a senha será armazenada no Microsoft Entra ID, no Active Directory ou se a funcionalidade ficará desabilitada. Esse é o ponto que mais gera erro de implementação: quando o tipo de diretório escolhido não é compatível com o tipo de ingresso do dispositivo, a política pode até ser recebida, mas o backup não acontece com sucesso.
A Figura 2 destaca essa configuração. Para estações e notebooks modernos, o caminho mais comum é usar backup no Microsoft Entra. Para servidores ou equipamentos ainda mais dependentes do domínio on-premises, o backup no Active Directory continua sendo bastante útil, especialmente quando a recuperação e a governança da conta local ainda fazem parte do modelo tradicional de operação.


Depois da criação do perfil, o ajuste mais sensível é a escolha do Backup Directory. Esse campo determina se a senha será armazenada no Microsoft Entra ID, no Active Directory ou se a funcionalidade ficará desabilitada. Esse é o ponto que mais gera erro de implementação: quando o tipo de diretório escolhido não é compatível com o tipo de ingresso do dispositivo, a política pode até ser recebida, mas o backup não acontece com sucesso.
A Figura 2 destaca essa configuração. Para estações e notebooks modernos, o caminho mais comum é usar backup no Microsoft Entra. Para servidores ou equipamentos ainda mais dependentes do domínio on-premises, o backup no Active Directory continua sendo bastante útil, especialmente quando a recuperação e a governança da conta local ainda fazem parte do modelo tradicional de operação.

Figura 2 — Definição do Backup Directory na política do Windows LAPS no Intune.


Boa prática: mantenha apenas uma política de LAPS por dispositivo sempre que possível. Políticas concorrentes podem gerar conflito de configuração, especialmente quando definem contas diferentes ou parâmetros de rotação incompatíveis.
Configuração por GPO no Active Directory
Em ambientes mais tradicionais, a GPO continua sendo a forma mais direta de administrar o Windows LAPS em dispositivos ingressados no domínio. O caminho da política fica em Computer Configuration > Administrative Templates > System > LAPS. A partir daí, a equipe consegue definir conta administrada, tamanho e complexidade de senha, ações pós-autenticação, histórico criptografado e opções específicas de Active Directory.
A Figura 3 mostra a área da GPO onde essas definições ficam disponíveis. Esse caminho é especialmente relevante para Windows Server 2025, porque permite manter o controle de contas locais e, quando necessário, também evoluir para cenários como gerenciamento da senha DSRM em controladores de domínio.


Boa prática: mantenha apenas uma política de LAPS por dispositivo sempre que possível. Políticas concorrentes podem gerar conflito de configuração, especialmente quando definem contas diferentes ou parâmetros de rotação incompatíveis.
Configuração por GPO no Active Directory
Em ambientes mais tradicionais, a GPO continua sendo a forma mais direta de administrar o Windows LAPS em dispositivos ingressados no domínio. O caminho da política fica em Computer Configuration > Administrative Templates > System > LAPS. A partir daí, a equipe consegue definir conta administrada, tamanho e complexidade de senha, ações pós-autenticação, histórico criptografado e opções específicas de Active Directory.
A Figura 3 mostra a área da GPO onde essas definições ficam disponíveis. Esse caminho é especialmente relevante para Windows Server 2025, porque permite manter o controle de contas locais e, quando necessário, também evoluir para cenários como gerenciamento da senha DSRM em controladores de domínio.

Figura 3 — Nó LAPS no Group Policy Management Editor para dispositivos ingressados no Active Directory.


Aqui existe um detalhe importante de arquitetura: se o domínio ainda estiver em nível funcional anterior a 2016, não será possível habilitar a criptografia da senha do Windows LAPS no Active Directory. Outro cuidado prático é o Central Store: o arquivo LAPS.admx não é copiado automaticamente para o repositório central só porque o sistema operacional foi atualizado, então esse ajuste deve ser tratado como parte do processo de implantação da política.
O que revisar depois da aplicação da política
• Conta gerenciada — validar se a conta definida realmente existe no dispositivo quando não se usa o modo automático.
• Tipo de backup — confirmar se Microsoft Entra ou Active Directory foi escolhido de acordo com o tipo de join.
• Conflitos — revisar relatórios do Intune e origem de política para evitar sobreposição entre CSP, GPO ou legado.
• Permissões de leitura e rotação — garantir que o time de suporte tenha apenas os direitos necessários para visualizar ou rotacionar a senha.
• Automatic Account Management — lembrar que esse recurso está disponível em Windows 11 24H2 e versões posteriores, o que muda a forma de tratar contas locais.
Conclusão
O Windows LAPS se consolidou como uma camada prática de proteção para ambientes Windows atuais. Em Windows 11, o caminho com Intune tende a ser o mais natural. Em Windows Server 2025 e em cenários fortemente integrados ao domínio, a GPO continua extremamente relevante. O ponto central é alinhar origem de política, tipo de backup, permissões e validação pós-implantação para que o LAPS funcione como redução real de risco no ambiente.

29 de abril de 2025
por luizhenriquelima
0 comentários

Windows Server 2025 e Azure Arc: por que eu vejo esse onboarding híbrido como um passo prático para modernizar a administração

Na minha visão, uma das mudanças mais interessantes do Windows Server 2025 é a forma como o Azure Arc entra de maneira mais natural na rotina do administrador. O sistema já traz o Azure Arc Setup como recurso integrado e, com isso, o onboarding híbrido deixa de parecer um processo separado da administração do servidor. Para mim, esse detalhe faz diferença porque reduz atrito logo no primeiro contato com a gestão híbrida.
Eu gosto desse modelo porque ele aproxima o time de operações de uma experiência mais simples. Em vez de depender apenas de script, procedimento paralelo ou documentação dispersa, eu consigo iniciar o assistente de forma gráfica e seguir um fluxo mais direto. No Windows Server 2025, esse recurso fica habilitado por padrão e pode ser aberto pelo ícone da bandeja do sistema, pelo menu Iniciar ou pelo Server Manager, o que torna o processo bem mais acessível no dia a dia.
O ponto principal, para mim, não é apenas registrar o servidor no portal. O valor real está em trazer máquinas que continuam on-premises para uma camada de governança mais moderna. Quando um servidor entra no Azure Arc, ele passa a ser tratado dentro de um modelo de administração que conversa melhor com inventário, organização, políticas e serviços de gerenciamento do Azure. Ou seja: o workload continua onde está, mas a administração ganha mais consistência.
Eu vejo isso como um caminho muito prático para empresas que ainda não vão migrar tudo para a nuvem, mas precisam elevar visibilidade e controle. Em muitos ambientes, o primeiro ganho não é técnico demais nem teórico demais: é operacional. Fica mais fácil padronizar onboarding, organizar servidores por grupo, aplicar uma convenção de tags, revisar permissões e preparar a base para recursos complementares de atualização, segurança e monitoramento.
Outro ponto que eu considero importante é o efeito de continuidade. O Azure Arc não precisa ser visto só como um cadastro de servidor, e sim como uma porta de entrada para uma operação híbrida mais madura. No próprio Windows Server 2025, por exemplo, a Microsoft já posiciona o Hotpatch para máquinas conectadas ao Azure Arc, o que mostra como a conexão híbrida está cada vez mais ligada à estratégia de manutenção moderna do sistema operacional.
O que eu observaria antes de conectar um servidor
• Definir em qual subscription, resource group e padrão de tags esse servidor vai entrar.
• Revisar RBAC para que a equipe certa tenha visibilidade e permissão sem excesso de privilégio.
• Validar conectividade de saída e requisitos básicos para o onboarding funcionar sem retrabalho.
• Começar com um piloto controlado antes de expandir para ambientes críticos ou em escala.
Se eu tivesse que resumir, eu diria assim: o servidor não deixa de ser on-premises, mas a administração passa a ter uma camada muito mais atual. Para quem trabalha com Windows Server e quer modernizar sem quebrar a operação, eu vejo o Azure Arc no Windows Server 2025 como um excelente ponto de partida.
Leitura prática: eu enxergo o Azure Arc Setup no Windows Server 2025 como uma forma de tornar a gestão híbrida menos artesanal, mais previsível e mais alinhada ao ecossistema Windows.

Imagens de configuração

Imagem 1 — Atalho do Azure Arc Setup no Windows Server 2025, com acesso rápido pelo ícone na bandeja do sistema.

Imagem 2 — Tela inicial do assistente do Azure Arc Setup, destacando a experiência guiada de onboarding.

Imagem 3 — Ações iniciais do assistente, mostrando um fluxo simples para começar a conexão do servidor.

6 de fevereiro de 2025
por luizhenriquelima
0 comentários

GPO no Windows Server 2025

O Windows Server 2025 trouxe diversas melhorias na Group Policy Object (GPO), tornando o gerenciamento de configurações mais eficiente, seguro e integrado à nuvem. Com o avanço das arquiteturas híbridas e das necessidades de segurança, a Microsoft implementou novos recursos para facilitar a administração e garantir maior controle sobre dispositivos e usuários.

1. Suporte Aprimorado para Azure AD e Ambientes Híbridos

Uma das grandes evoluções no Windows Server 2025 é a maior integração da GPO com ambientes híbridos. Agora, é possível aplicar GPOs diretamente em dispositivos registrados no Azure AD, permitindo maior controle sobre políticas de segurança e conformidade.

Principais melhorias

  • Aplicação de GPOs para dispositivos híbridos (Azure AD + On-Premises AD).
  • Sincronização automática de políticas entre servidores locais e o Azure.
  • Gerenciamento via Intune para integração de GPOs com políticas MDM.

2. Novos Templates de Política e Expansão de ADMX

A Microsoft adicionou novos templates administrativos (ADMX) no Windows Server 2025 para oferecer um controle mais refinado sobre configurações do sistema, incluindo segurança, desempenho e compatibilidade.

Destaques dos novos templates ADMX

  • Políticas avançadas para Windows Defender: Configuração detalhada de recursos de segurança.
  • Controle de credenciais: Novas diretrizes para evitar ataques como Pass-the-Hash e Pass-the-Ticket.
  • Gerenciamento de atualizações: Opções refinadas para controle de Windows Update for Business.

3. Melhorias na Aplicação de Políticas e Desempenho

No Windows Server 2025, a aplicação das GPOs foi otimizada, resultando em menor tempo de processamento e maior confiabilidade.

Principais ganhos de desempenho

  • Otimização do tempo de aplicação das GPOs, reduzindo latências.
  • Melhor gerenciamento de políticas baseadas em localizações geográficas e segmentos de rede.
  • Maior eficiência na replicação de políticas entre Controladores de Domínio.

4. Novos Recursos de Segurança para GPOs

A segurança foi reforçada com novas opções para restringir alterações indevidas nas políticas de grupo.

Novidades na segurança das GPOs

  • Assinatura digital de GPOs: Evita alterações não autorizadas em políticas sensíveis.
  • GPO Backup & Restore aprimorado: Melhora na proteção contra corrupção de dados e ataques ransomware.
  • Controle de Permissões Avançado: Possibilidade de definir regras mais granulares para aplicação de GPOs em grupos específicos.

5. Monitoramento e Relatórios Avançados

O novo Windows Server 2025 traz um sistema aprimorado de monitoramento e auditoria das GPOs, permitindo que administradores acompanhem mudanças e validem configurações com mais precisão.

Melhorias no monitoramento

  • Relatórios detalhados de aplicação de GPOs.
  • Registro de alterações com histórico completo para auditoria.
  • Integração com o Microsoft Defender for Endpoint para análise de conformidade.

Conclusão

O Windows Server 2025 reforça a gestão de políticas de grupo (GPO), trazendo maior integração com o Azure AD, melhor desempenho, novos templates ADMX e recursos avançados de segurança. Essas mudanças facilitam o gerenciamento de ambientes híbridos e aumentam a proteção contra ameaças modernas.

Se sua empresa utiliza Group Policy Objects, vale a pena considerar essas melhorias ao planejar uma migração para o Windows Server 2025.

8 de janeiro de 2025
por luizhenriquelima
0 comentários

Novidades do Acesso Condicional no Azure em 2025

Nos últimos anos, a segurança da informação tornou-se um fator cada vez mais crítico para as organizações, e o Microsoft Entra continua evoluindo para garantir um controle de acesso mais eficiente e seguro. Em 2025, foram introduzidas diversas melhorias no Acesso Condicional do Azure, trazendo novas funcionalidades que reforçam a proteção contra ameaças cibernéticas. Abaixo, destaco as principais novidades.

Políticas comuns de acesso condicional – Azure Active Directory ...

1. Modelo de Acesso Condicional que Requer Conformidade do Dispositivo

Agora, é possível restringir o acesso a recursos corporativos apenas para dispositivos que estejam registrados no gerenciamento de dispositivos móveis (MDM) e em conformidade com as políticas de segurança da organização. Essa funcionalidade evita acessos não autorizados, reduzindo riscos de malware e possíveis vazamentos de dados.

Fonte: Microsoft Learn

2. Avaliação Contínua de Acesso (CAE)

A Avaliação Contínua de Acesso (CAE) melhora significativamente a segurança ao revogar e reavaliar acessos em tempo real sempre que há mudanças no status da identidade. Por exemplo, se um usuário for desativado no Microsoft Entra ID, sua sessão será encerrada imediatamente, evitando acessos indevidos. Essa funcionalidade é essencial para garantir conformidade contínua.

Fonte: Microsoft Learn

3. Integração do Microsoft Security Copilot no Microsoft Entra

A inteligência artificial agora faz parte da administração de identidades com a integração do Microsoft Security Copilot no Microsoft Entra. Com essa novidade, administradores podem obter insights detalhados e resumos gerados por IA sobre eventos de segurança, facilitando investigações e a resolução rápida de problemas relacionados a identidade e acessos.

Fonte: Microsoft Tech Community

4. Proteção de Token no Acesso Condicional

Uma das grandes melhorias para 2025 é a Proteção de Token, que reduz ataques de roubo de sessão. Com essa funcionalidade, tokens de autenticação só podem ser usados nos dispositivos autorizados. Isso significa que, mesmo que um atacante roube um token, ele não poderá reutilizá-lo em outro dispositivo, reforçando a segurança contra invasões.

Fonte: Microsoft Learn

5. Controles Personalizados no Acesso Condicional

As organizações agora têm mais flexibilidade na autenticação com os controles personalizados no Acesso Condicional. Essa funcionalidade permite a integração de métodos de autenticação externos, usando padrões do setor e facilitando o uso de soluções de segurança de terceiros. Isso garante que cada empresa possa implementar políticas de acesso adaptadas às suas necessidades.

Fonte: Microsoft Learn

Conclusão

Com essas novas funcionalidades, o Acesso Condicional do Azure torna-se ainda mais poderoso na proteção contra ameaças cibernéticas, garantindo maior controle sobre os acessos corporativos. A combinação de avaliação contínua, integração de IA, proteção contra roubo de tokens e autenticação personalizada reforça o compromisso da Microsoft com a segurança e conformidade.

Para empresas que já utilizam o Microsoft Entra ID, é essencial revisar as políticas atuais e implementar essas novas funcionalidades para elevar o nível de proteção. 🚀🔒

Se quiser saber mais sobre o Acesso Condicional do Azure, acompanhe meu blog para mais conteúdos sobre segurança na nuvem!