如何部署Windows LAPS以提升安全性
本地管理员密码从安全角度具有挑战性,但Windows中的更新功能可以减少与此管理需求相关的担忧。
几乎每个Windows设备都包含一个本地管理员账户——这是一个基本的安全问题。这些账户对于管理员登录设备以纠正连接到AD的问题至关重要。希望加强这些凭据安全性的组织可以使用Windows本地管理员密码解决方案(LAPS),它自动化管理本地管理员账户的密码,以保持环境更安全。微软在2023年4月更新了此功能,使其成为Windows OS的本机部分。本文涵盖了Windows LAPS的改进、部署方法以及从早期LAPS版本迁移时的注意事项。
什么是Windows LAPS?
Windows LAPS自动管理和轮换域加入Windows设备上的本地管理员密码,适用于Windows Server和客户端OS。微软开发此安全措施以保护组织免受各种攻击,如传递哈希攻击。 本地管理员密码轮换至关重要,因为如果攻击者访问非管理的本地管理员密码,他们可以使用它来入侵所有域加入设备。更糟糕的是,这些密码往往是静态的,因此攻击者可能使用它们获得对组织资源的永久访问权限。 Windows LAPS为本地管理员账户生成复杂密码,并根据配置在7到365天的计划内轮换它们。 当管理员需要访问设备时,他们从AD或基于云的身份和访问管理平台Microsoft Entra ID(前身为Azure Active Directory)获取当前密码。管理员然后以本地管理员身份登录。为了增加安全性,Windows LAPS可以在使用后自动轮换密码。 自2024年4月起,微软将Windows LAPS集成到Windows OS中。
Windows LAPS的新功能是什么?
微软近年来对Windows LAPS进行了重大增强。公司弃用了其早期版本——公司称之为传统Microsoft LAPS——自Windows 11 23H2起支持此更新。 以下是Windows LAPS的一些增强功能:
- Windows LAPS自动管理账户。通常,Windows LAPS在手动模式下运行。这使管理员能够控制本地管理员账户的所有方面,除了密码。当使用自动账户管理时,Windows LAPS自动化某些配置细节。具体来说,账户成为本地管理员组的成员,并且“不需要密码”和“密码永不过期”标志被禁用。账户描述也被修改以指示Windows LAPS控制账户。
- 除了生成密码,Windows LAPS还可以创建密码短语。根据复杂性设置,密码短语可以包含长单词、短单词或带有唯一前缀的短单词。
- 微软为Windows LAPS引入了OS镜像回滚检测。如果管理员通过恢复备份或应用Hyper-V快照将系统恢复到先前的状态,这可能导致密码不匹配。Windows LAPS通过检测问题并强制立即密码轮换来处理此问题。
- Windows LAPS将本地管理员密码存储在AD和Microsoft Entra ID中。传统Microsoft LAPS仅与AD配合使用。
- Windows LAPS防止额外威胁,包括传递哈希攻击。
- Windows LAPS支持Azure基于角色的访问控制。
- Windows LAPS支持密码加密和密码历史记录。
- Windows LAPS自动化管理和存储域控制器上目录服务恢复模式账户的密码。
Windows LAPS的限制是什么?
Windows LAPS和传统Microsoft LAPS无法管理同一台机器上的同一账户。微软建议将系统切换到Windows LAPS。然而,有一些注意事项:
- 由于Windows LAPS有学习曲线,微软提供传统Microsoft LAPS仿真模式以缓解过渡期。
- 另一个选项是同时使用传统Microsoft LAPS和Windows LAPS,直到您对新版本感到舒适。
- 如果您决定在同一台机器上使用两个安全功能,那么您需要在受管设备上创建一个额外的本地管理员账户,使用不同的名称用于Windows LAPS策略。
Windows LAPS的先决条件是什么?
Windows LAPS适用于以下安装了2023年4月11日更新或更高版本的Windows OS:
- Windows 11 23H2。
- Windows 11 22H2。
- Windows 11 21H2。
- Windows 10。
- Windows Server 23H2。
- Windows Server 2022。
- Windows Server 2019。
2024年11月发布的Windows Server 2025也支持Windows LAPS。 微软将Windows LAPS作为Windows OS的一部分包含——通过Windows Update添加——而不是需要单独下载。
Windows LAPS与传统Microsoft LAPS之间的关键区别
Windows LAPS与传统Microsoft LAPS有几个关键区别,包括以下:
- Windows LAPS内置于Windows 11(从22H2开始)和Windows Server 2022(带有更新)及更新版本的Windows。
- Windows LAPS支持Microsoft Entra ID和AD。传统Microsoft LAPS仅与AD配合使用。
- 传统Microsoft LAPS是一个独立工具,需要独立的组策略设置。
- 尽管传统Microsoft LAPS仍然受支持,但微软已弃用它。微软建议采用Windows LAPS,无论基础设施安排如何。
如何迁移从传统Microsoft LAPS
在从传统Microsoft LAPS迁移之前,需要进行一些准备工作。您首先识别使用传统版本的机器,然后验证它们运行与Windows LAPS兼容的OS。确保这些系统具有最新补丁也是一个好主意。 接下来,准备AD基础设施。您必须更新模式——数据库结构的定义——因为Windows LAPS向AD添加了新属性。备份AD环境,然后使用Update-LapsADSchema cmdlet扩展模式。您可能需要使用Set-LapsADComputerSelfPermission cmdlet应用一些权限,该cmdlet赋予计算机账户更新Windows LAPS密码属性的能力,并启用密码轮换。 接下来,决定是允许传统Microsoft LAPS和Windows LAPS共存,还是执行切换迁移。至少,您必须启用和配置Windows LAPS组策略设置。如果您禁用传统Microsoft LAPS,那么您必须将传统Microsoft LAPS组策略设置设置为“未配置”。仅在验证Windows LAPS正常工作后执行此操作。 接下来,使用以下PowerShell命令验证密码是否正确存储。
|
|
接下来,使用以下命令删除AD中机器的本地管理员密码和过期数据。
|
|
要从组织单元(OU)中的多台机器中删除这些属性,请将以下PowerShell命令适应您的基础设施。
|
|
如何部署Windows LAPS
有两种选项部署Windows LAPS。第一种是使用Intune创建LAPS策略,管理员将其推送到受管的Windows设备。 另一个选项是使用组策略将LAPS设置推送到受管设备,这仅适用于管理域加入Windows设备。
如何为Windows LAPS创建Intune策略
从Microsoft Intune管理中心,转到端点安全选项卡以创建Windows LAPS的策略。 单击账户保护,然后单击创建策略链接。 界面显示提示选择平台和配置文件。 将平台设置为Windows,配置文件设置为本地管理员密码解决方案(Windows LAPS)。 单击创建。 当提示时,为配置文件命名。 单击下一步移动到配置设置屏幕。 指定所需的备份目录、密码长度和复杂性要求以及其他相关设置。
在Microsoft Intune中,设置Windows LAPS的密码长度和复杂性要求。
单击下一步前进到范围标签选项卡。 选择自定义范围标签——如果存在——或默认标签。 单击下一步打开分配选项卡。 选择要应用策略的组。 将目标类型设置为包括或排除,取决于您是否希望组包含在策略中。 单击下一步前进到审查 + 创建屏幕。 花点时间审查此屏幕上显示的设置。如果一切看起来良好,单击创建按钮构建策略。
如何为Windows LAPS设置组策略
您可以使用组策略设置将Windows LAPS设置推送到域加入设备,但您必须首先通过扩展模式以支持Windows LAPS并提供必要权限来准备AD。 备份AD以便在必要时回滚更改是一个好主意。 接下来,在域控制器上打开提升的PowerShell会话,然后输入以下命令以更新AD模式。
|
|
运行PowerShell命令以更新Active Directory中的模式。
如果出现关于命令未被识别的错误,请检查服务器是否具有所有可用更新,并确认其作为域控制器的角色。 接下来,配置Windows LAPS。 授予域加入计算机使用Windows LAPS的权限。最简单的方法是授予AD中计算机容器的权限。命令语法根据您的AD结构而变化。在名为poseylab.com的单域森林的情况下,PowerShell命令如下。
|
|
使用组策略管理编辑器在计算机配置 > 策略 > 管理模板 > 系统 > LAPS部分中找到与LAPS相关的组策略设置。
在组策略级别配置Windows LAPS设置。
配置策略设置以满足组织的需求。 本地管理员账户的密码不会消失,因此更新的Windows LAPS是微软试图充分利用这种情况。此自动化过程是对传统Microsoft LAPS系统的改进,因此值得查看它是否适用于您的组织。 Brien Posey是前22次微软MVP和商业宇航员候选人。在他超过30年的IT生涯中,他曾担任美国国防部的首席网络工程师和美国一些最大保险公司的网络管理员。