微軟已經(jīng)在2023年4月的安全更新中，為Windows 10（20H2、21H2、22H2）、Windows 11（21H2、22H2）、Windows Server 2019和Windows Server 2022提供了稱為Windows LAPS的新功能。Windows 本地管理員密碼解決方案 (Windows LAPS) 是一項(xiàng) Windows 功能，可自動(dòng)管理和備份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的設(shè)備上的本地管理員帳戶的密碼。 你還可以使用 Windows LAPS 自動(dòng)管理和備份 Windows Server Active Directory 域控制器上的目錄服務(wù)還原模式 (DSRM) 帳戶密碼。 授權(quán)管理員可以檢索 DSRM 密碼并使用。

什么是LAPS？

LAPS，Local Administrator Password Solution的縮寫，即本地管理員密碼解決方案，主要用于管理Windows系統(tǒng)計(jì)算機(jī)本地管理員密碼的策略化管理。這項(xiàng)功能并不是最近才問世的新技術(shù)。之前，LAPS是Windows域活動(dòng)目錄的一個(gè)附加組件，旨在管理加入域的計(jì)算機(jī)的本機(jī)管理員賬號(hào)密碼，并將其保存至域的活動(dòng)目錄中，通過ACL清單進(jìn)行保護(hù)和授權(quán)訪問。此外，此功能還支持定期滾動(dòng)式更改密碼。對(duì)于已經(jīng)建立了域和活動(dòng)目錄的企業(yè)來說，LAPS已被證明是一種基礎(chǔ)且不可或缺的安全手段。 針對(duì)用戶的需求，Microsoft將LAPS從Microsoft Entra產(chǎn)品系列中獨(dú)立，作為Azure活動(dòng)目錄的一部分，針對(duì)公眾推出了Windows LAPS。

相比傳統(tǒng)的LAPS功能，Windows LAPS在許多方面都作出了重大改進(jìn)。其中之一是原生整合到Windows操作系統(tǒng)中，不需要再進(jìn)行額外的安裝。同時(shí)，Windows LAPS加強(qiáng)了與Azure活動(dòng)目錄的協(xié)作，使管理員可以利用Microsoft Graph獲取存儲(chǔ)的密碼，并可以使用Azure云RBAC模式的訪問控制策略來控制密碼獲取。在密碼獲取和滾動(dòng)更替時(shí)，也支持Azure管理入口，并可以通過Intune管理功能特性來實(shí)現(xiàn)。此外，Windows LAPS還新增了許多以前的LAPS所不具備的功能，包括歷史密碼加密、密碼歷史、目錄服務(wù)恢復(fù)模式（DSRM）密碼備份等，大大提高了敏感數(shù)據(jù)的安全性。

同時(shí)，可以利用新的功能特性來充實(shí)密碼策略管理、在Microsoft Intune中滾動(dòng)更改Windows LAPS帳戶密碼、專用事件日志、新的PowerShell模塊和支持混合連接（Hybrid-joined）等，不僅適用于Azure活動(dòng)目錄，也適用于內(nèi)部部署的活動(dòng)目錄。這表明Windows LAPS已成為一項(xiàng)非常重要的安全措施，是企業(yè)信息安全的基石。

開始使用適用于 Windows Server Active Directory 的 Windows LAPS

1. 在使用 Windows LAPS 之前，必須更新 Windows Server Active Directory 架構(gòu)。

Update-LapsADSchema

2. 需要為托管設(shè)備授予更新其密碼的權(quán)限。 此操作是通過在設(shè)備所在的組織單位 (OU) 上設(shè)置可繼承權(quán)限來執(zhí)行的。

Set-LapsADComputerSelfPermission -Identity "OU=Computers,DC=lisuantech,DC=com"

3. 配置AD域組策略
   a) 復(fù)制LAPS組策略ADMX文件及語言包ADML文件至域控組策略目錄下。

   源： %windir%/PolicyDefinitions
   目標(biāo)： %windir%\SYSVOL\sysvol*****.com\Policies\PolicyDefinitions
   文件名：LAPS.ADMX以及各語言下的LAPS.ADML文件

   一般為以上地址，需要更具各自AD情況自己找一下，不復(fù)制的情況下，在AD組策略編輯器中無法找到對(duì)應(yīng)的策略。

   b) 修改AD組策略

   組策略的修改可以參考微軟官方給出的備注或者指引。
   https://learn.microsoft.com/zh-cn/windows-server/identity/laps/laps-management-policy-settings

4. 客戶端更新策略
   a) 可以通過以下命令強(qiáng)制更新組策略，或者等待組策略更新周期，自動(dòng)更新組策略

   gpupdate /force
   

   b) 查看日志是否更新本地管理員密碼

   可以通過專用的時(shí)間日志去查看LAPS的部署結(jié)果。具體為止：
   Logs > Microsoft > Windows > LAPS > Operational
   

   c) 管理員也可以在DC上查詢到密碼后，使用以下POWERSHELL測(cè)試本地管理員密碼是否生效
   DC上查詢密碼結(jié)果截圖如下;
   

   POWERSHELL腳本如下：

   # 引入Windows API
   Add-Type -TypeDefinition @"
     using System;
     using System.Runtime.InteropServices;
     public class LogonUserHelper {
         [DllImport("advapi32.dll", SetLastError = true)]
         public static extern bool LogonUser(string lpszUsername, string lpszDomain, string lpszPassword,
            int dwLogonType, int dwLogonProvider, out IntPtr phToken);
     }
   "@
   
   # 替換Username和Password為要測(cè)試的用戶名和密碼
   $Username = "Username"
   $Password = "Password"
   
   # 驗(yàn)證本地賬戶密碼
   $Domain = $env:COMPUTERNAME
   [IntPtr] $UserToken = [System.IntPtr]::Zero
   if ([LogonUserHelper]::LogonUser($Username, $Domain, $Password, 3, 0, [ref] $UserToken)) {
       Write-Host "Password is correct." -ForegroundColor Green
       [System.Runtime.InteropServices.Marshal]::FreeHGlobal($UserToken)
   } else {
       Write-Host "Password is incorrect." -ForegroundColor Red -BackgroundColor Yellow
   }
   

當(dāng)然除了以上在Windows ServerActive Directory上部署Windows LAPS只是一種辦法，還可以與AAD結(jié)合等方式部署，具體可以根據(jù)微軟的介紹去相應(yīng)的配置。

https://learn.microsoft.com/zh-cn/windows-server/identity/laps/laps-overview文章來源地址http://www.zghlxwxcb.cn/news/detail-773049.html

到了這里，關(guān)于【W(wǎng)indows】Windows LAPS：本地管理員密碼解決方案的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！