Windows LAPS:本地管理员密码解决方案

Windows LAPS 是一项 Windows 功能,旨在自动管理和备份已加入 Microsoft Entra IDWindows Server Active Directory (AD) 的设备上的本地管理员账户密码。此外,它还支持管理 Windows Server Active Directory 域控制器的目录服务还原模式 (DSRM) 帐户密码。授权管理员可以安全地检索这些密码,以用于恢复和管理操作。

Windows LAPS 的主要优势

通过 Windows LAPS,可以实现本地管理员账户密码的自动轮换和集中化管理,从而获得以下关键安全和管理优势:

  1. 防御攻击: 有效防范传递哈希和横向遍历攻击。
  2. 提升安全性: 提高远程帮助台支持场景下的安全性。
  3. 设备恢复: 在设备无法访问时,支持通过本地管理员账户登录和恢复。
  4. 精细化安全控制: • 使用访问控制列表 (ACL) 和可选密码加密机制,保护存储在 Windows Server Active Directory 中的密码。 • 支持基于 Microsoft Entra ID 角色的访问控制模型,确保对存储在云中的密码的保护。
  5. 兼容性支持: 提供与旧版 Microsoft LAPS 的兼容性,便于迁移和升级。

Windows LAPS 的关键使用场景

您可以在以下场景中部署和使用 Windows LAPS

1. 备份到 Microsoft Entra ID

适用于加入 Microsoft Entra ID 的设备,自动备份和管理本地管理员账户密码,并应用基于 Entra 的访问控制。

2. 备份到 Windows Server Active Directory

适用于已加入 Windows Server Active Directory 的客户端和服务器,集中备份和管理本地管理员账户密码。

3. DSRM 帐户密码管理

Windows Server Active Directory 域控制器提供目录服务还原模式 (DSRM) 帐户密码的自动备份和集中管理。

4. 兼容旧版 Microsoft LAPS

延续对旧版 Microsoft LAPS 的支持,允许将本地管理员账户密码备份到 Windows Server Active Directory,满足现有环境需求。

策略设置与灵活性

针对每种场景,Windows LAPS 提供灵活的策略设置,允许管理员根据组织需求配置以下内容:

  • 密码的轮换频率
  • 密码的存储位置(本地或云)
  • 密码加密选项
  • 权限管理和访问控制

Windows LAPS 架构图

Windows LAPS:本地管理员密码解决方案

Windows LAPS 部署

更新 Windows Server Active Directory 架构

在使用 Windows LAPS 之前,必须更新 Windows Server Active Directory 架构。此操作通过使用Update-LapsADSchema 执行。

Update-LapsADSchema

该命令将询问您是否要扩展 AD 架构,键入“A”以添加所需的所有架构扩展。

向 OU 对象授予 LAPS 权限。运行以下命令,为管理的 OU 授权密码存储权限:

Set-LapsADComputerSelfPermission -Identity "OU=LAPS-OU,DC=contoso,DC=intra"
Windows LAPS:本地管理员密码解决方案

验证权限,检查 LAPS 对象属性是否正确配置:

Get-ACL -Path "AD:OU=LAPS-OU,DC=contoso,DC=intra"

组策略配置

打开组策略管理工具(GPMC)进入 域控制器 > 组策略管理控制台 > 新建组策略

Windows LAPS:本地管理员密码解决方案

创建或编辑组策略对象,导航到 计算机配置 > 管理模板 > 系统 > LAPS。

Windows LAPS:本地管理员密码解决方案

配置以下策略:

  • 启用 配置密码备份目录
    通过此组策略设置,您可以确定密码是否存储在 Active Directory 或 Azure Active Directory(Entra ID)中。
Windows LAPS:本地管理员密码解决方案
  • 启用 密码设置
    此策略设置确定密码复杂性、密码长度和密码有效期(天)。
Windows LAPS:本地管理员密码解决方案
  • 启用 为DSRM账户启用密码备份
    此设置允许将 DSRM 管理员帐户备份到 Active Directory。必须启用密码加密才能应用此设置。
Windows LAPS:本地管理员密码解决方案

配置加密密码历史记录的大小(可选策略)
使用此设置可配置将在Active Directory 中存储多少个以前的加密的密码

Windows LAPS:本地管理员密码解决方案

加密托管(可选策略)
启用此设置时,将加密托管密码,然后再将其发送到Active Directory。

Windows LAPS:本地管理员密码解决方案

配置授权密码解密器(可选策略)
配置此设置以控制有权解密加密密码的特定用户或组

Windows LAPS:本地管理员密码解决方案

要管理的管理员账户名称(可选策略)
此策略设置指定用于管理其密码的自定义管理员账户名。

Windows LAPS:本地管理员密码解决方案

配置自动账户管理(可选策略)
此策略配置自动账户管理策略选项。

Windows LAPS:本地管理员密码解决方案

不允许密码过期时间长于策略要求的时间(可选策略)
如果启用或未配置此设置,则不允许使用超过“密码设置”策略规定密码期限的计划密码过期时间。检测到此类过期设置时,将立即更改密码,并根据策略设置密码过期时间。

Windows LAPS:本地管理员密码解决方案

身份验证后操作
此策略配置身份验证后操作,这些操作将在托管帐户检测到身份验证后执行。

Windows LAPS:本地管理员密码解决方案

应用组策略

  • 将目标计算机移动到LAPS-OU中。
Windows LAPS:本地管理员密码解决方案

客户端设置

强制刷新组策略,使用以下命令立即应用策略:

gpupdate /force
Windows LAPS:本地管理员密码解决方案

LAPS运维

通过AD工具进行检索

在AD中,打开对应计算机属性 > LAPS > 查看密码

Windows LAPS:本地管理员密码解决方案

使用PowerShell查看密码

Get-LapsADPassword -Identity ws2025-03 -AsPlainText
Windows LAPS:本地管理员密码解决方案

LAPS密码重置

可以使用Reset-LapsPassword在本地强制立即轮换密码。

此文章为原创文章,作者:胖哥叨逼叨,如若转载,请与我联系并注明出处:https://www.pangshare.com/3505.htm

(0)
打赏 微信扫一扫 微信扫一扫
上一篇 2024年11月19日 下午4:58
下一篇 2024年11月22日 上午12:46

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注