(LAPS) Windows本地管理员密码解决方案

已于 2023-10-06 00:24:10 修改
阅读量280 收藏 2
点赞数
分类专栏: Microsoft Active Directory 文章标签: microsoft 服务器
于 2023-10-05 22:56:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackyjwq/article/details/133590702
版权

Windows Local Administrator Password Solution (LAPS) Windows本地管理员密码解决方案

Windows LAPS 方案

  • 将本地管理员帐户密码备份到 Azure Active Directory(适用于已加入 Azure Active Directory 的设备)
  • 将本地管理员帐户密码备份到 Windows Server Active Directory(适用于已加入 Windows Server Active Directory 的客户端和服务器)
  • DSRM 帐户密码备份到 Windows Server Active Directory(适用于 Windows Server Active Directory 域控制器)

Windows LAPS 支持的平台

Windows 11 22H2 - 2023 年 4 月 11 日更新

Windows 11 21H2 - 2023 年 4 月 11 日更新

Windows 10 - 2023 年 4 月 11 日更新

Windows Server 2022 - 2023 年 4 月 11 日更新

Windows Server 2019 - 2023 年 4 月 11 日更新

使用 Windows LAPS 时的优势

  • 防范哈希传递和横向遍历攻击
  • 提高了远程技术支持方案的安全性
  • 能够登录和恢复其他不可访问的设备
  • 细粒度安全模型(访问控制列表和可选的密码加密),用于保护存储在 Windows Server Active Directory 中的密码
  • 支持 Azure 基于角色的访问控制模型,用于保护存储在 Azure Active Directory 中的密码

部署将本地管理员帐户密码备份到  Active Directory

  • 扩展 AD 架构以支持 Windows LAPS
  • 如果使用 GPO 中央存储,请手动将 Windows LAPS 组策略模板文件复制到中央存储 (默认可以忽略)
  • 向托管设备OU授予更新其密码的权限
  • 分析、确定和配置适当的 AD 权限,用于密码过期和密码检索 (默认可以忽略)
  • 分析和确定用于解密密码的相应授权组 (默认可以忽略)
  • 创建一个新的 Windows LAPS 策略,该策略针对托管设备OU.

1.扩展 AD 架构以支持 Windows LAPS

在使用 Windows LAPS 之前,必须更新 Windows Server Active Directory 架构。 此操作是使用 Update-LapsADSchema cmdlet 执行的。 这是针对整个林的一次性操作。 此操作可以在使用 Windows LAPS 更新的 Windows Server 2022 或 Windows Server 2019 域控制器上执行,但也可以在非域控制器上执行,只要它支持 Windows LAPS PowerShell 模块。

Update-LapsADSchema

Note:如果在server 2019 或者2022上运行报错,请更新服务器后再运行。

2.向托管设备授予更新其密码的权限

此操作是通过在设备所在的组织单位 (OU) 上设置可继承权限来执行的

Set-LapsADComputerSelfPermission -Identity OU=ADComputers,DC=test,DC=lan

3.创建一个新的 Windows LAPS 策略GPO, 将该策略GPO link到托管设备OU

请在组策略管理编辑器中转到“计算机配置”>“管理模板”>“系统”>LAPS

Note: 如果密码无法更新到域服务器,请更新电脑后,重启电脑。

Jacky 2023
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
Lithnet LAPS Web应用程序 Lithnet LAPS Web应用程序是一个IIS应用程序,允许您管理对由管理的 它提供对目录中存储的LAPS密码的细化权限,审核,电子邮件警报和限速访问,并且与OpenID Connect,WS-Federation(ADFS)和集成的Windows身份验证兼容。 特征 基于Web的LAPS密码访问 LAPS Web应用程序提供了一个简单的基于Web且易于移动的界面,用于访问本地管理员密码管理员无需安装自定义软件,也无需访问AD管理工具即可访问LAPS密码。 只需提供计算机名称,如果有访问权限,就会显示密码LAPS管理员还可以选择在访问密码时强制终止时间。 这样可确保在使用后旋转密码。 审核成功和失败事件日志 所有成功和失败事件都记录到事件日志和文件中。 这些可以很容易地运到SIEM进行记录保存以及进一步的分析和报告。 限速 为了防止
使用 LAPS WebUI 从 Active Directory 检索本地管理员密码
allway2的博客
05-16 686
作为安全说明,LAPS WebUI 的 Docker 实现不会在 Web 浏览器中配置 HTTPS 的连接。因此,您需要在解决方案前面放置一个反向代理,例如 Traefik,以确保您的浏览器流量已加密,或者您的密码将以明文形式发送。您需要使用具有查看 LAPS 控制的工作站所在的 OU 对象的扩展属性的 Active Directory 用户登录。安装 LAPS UI 后,可以查询特定工作站以查看当前 LAPS 控制的密码。登录后,您可以搜索 LAPS 控制的工作站并查看密码
WindowsWindows LAPS:本地管理员密码解决方案
u012153104的博客
05-06 1575
微软已经在2023年4月的安全更新中,为Windows 10(20H2、21H2、22H2)、Windows 11(21H2、22H2)、Windows Server 2019和Windows Server 2022提供了称为Windows LAPS的新功能。Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备。
Windows AD 域环镜 本地管理员密码解决方案LAPS)部署
一直被模仿,从未被超越
05-08 2276
这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。1、在域控上安装LAPS.x64,点击下一步安装,第一项不用安装。
LAPM:本地管理员密码维护者
05-29
本地管理员密码维护者 (2015 年 6 月 18 日:微软的 LAPS(本地管理员密码解决方案)最近受到了很多关注,所以我想我应该开源我三个月前通过我的博客发布的版本。) Active Directory 非常适合对大量 IT 资产进行稳健、集中的管理。 但是,即使您拥有 Active Directory,您仍然会遇到如何处理所有域成员上的本地管理员帐户的问题。 您可能不想禁用本地管理员帐户,因为在计算机无法联系域控制器的情况下,您将需要它。 但是,您也没有在整个环境中更新和维护本地管理员密码的好方法。 每个人都知道最好不要使用组策略首选项来更新域成员的本地管理员密码,因为它是完全不安全的。 大多数其他解决方案涉及通过网络以明文形式发送管理员密码,要求管理员每次手动运行一些脚本或软件,这些脚本或软件在复杂的网络中可能无法正常工作,并且它们仍然让您在每次使用相同的本地管理员密码时机器..
借助向 Dev Channel 內部人員提供的最新預覽版本,Microsoft 已將舊版本地管理員密碼解決方案(也稱為 LAPS)直接集成到 Windows 11 中
m0_55055742的博客
06-24 107
然而,值得知道的是,LAPS 僅適用於加入 Active Directory 域的客戶端,因為 Microsoft 正在為 Azure Active Directory 用戶在雲端使用分階段推出的方法。 “功能文檔尚不可用,但如果您使用過舊版 LAPS 產品,那麼您將熟悉此新版本中的許多功能,”該公司表示。 最新 Windows 11 預覽版中的更多變化 此外,Windows 11 build 25145 還附帶了應用程序使用歷史功能的擴展,這些功能之前已隨 Windows 11 build 25140 .
域渗透TIPS:获取LAPS管理员密码
weixin_34037173的博客
08-01 516
如果你之前有对启用LAPS机制的主机进行渗透测试,那么你应该能体会到该机制的随机化本地管理员密码是有多么令人痛苦。 LAPS将其信息存储在活动目录: 存储密码过期时间:ms-Mcs-AdmPwdExpirationTime: 131461867015760024 以明文显示的存储密码:ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS...
计算机管理员密码保护,本地管理员密码解决方案LAPS)简介
weixin_35555531的博客
07-11 1083
本地管理员帐户密码管理编制人杰里·福尔马切克本地管理员密码管理数据表出版:2015年6月上次更新时间:2018年6月作者:JiriFrmacek,微软摘要:本文档简要概述了本地管理员密码解决方案(LAPS)版权所有©2015MicrsftCrpratin。保留所有权利。一、概述本地管理员解决方案自动管理加入域的计算机上的本地管理员密码,因此密码为: 在每台受管计算机上唯一 随机生成 安全地存储在A...
使用LAPS管理本地管理员密码(1)
weixin_34167043的博客
12-24 1249
在日常工作中会碰到一些客户端本地管理员密码管理不方便的情况,不能批量\方便的进行客户端管理员密码的设定,或者是统一设定密码后一旦密码泄露将会影响所有的客户端等一系列的问题.微软推出了Local Administrator Password Solution (LAPS)就能够很好的解决这个问题.测试环境:域 控:Windows Server 2012R2新建OU:Clien...
如何搭建LAPS?如何统一给域的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?
封枫丰
07-28 1096
1,如何搭建LAPS? 2.如何统一给域的电脑设置本地管理员密码? 3,比组策略推送脚本更改本地管理员密码更好的方式? 4.LAPS的好处特点?
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案
05-14
LAPS-WebUI 一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或Docker主机 设置(裸机): 下载适合您平台的最新版本 解压缩档案 调整appsettings.json或通过环境变量设置设置 运行LAPS-WebUI 设置(泊坞窗): 在docker中运行LAPS-WebUI非常简单: docker run -d \ --name=lapswebui \ -e LDAP__Server=ldap.example.com \ -e LDAP__Port=389 \ -e LDAP__UseSSL=fa
macOSLAPS:Swift二进制文件,它将本地管理员密码更改为随机生成的密码。 与WindowsLAPS类似的行为
04-13
macOS LAPS(本地管理员密码解决方案) 使用Open Directory来确定本地管理员密码是否已过期的Swift二进制文件,该密码已由Active Directory属性dsAttrTypeNative:ms-Mcs-AdmPwdExpirationTime 。 在这种情况下,将...
自动获取分配本地管理员账号权限
10-29
大家安装后需要重启,在域环境下能获取到本机的管理员账号密码密码随机生成。 控制端完整安装,客户端默认安装。
全面学习SpringCloud框架指南
finally_vince的博客
05-03 1147
V 哥建议:如果你正在学习SpringCloud,你可以把这篇文章作为学习指南,如果你已经学过了,可以查漏补缺,因为 V 哥这篇文章全面介绍了SpringCloud的方方面面,当然你还需要结合官方文档的细节和源码部分去学习,成功拿下SpringCloud不是问题。加油兄弟!
【PuTTY/PuttyGen创建密钥及利用密钥登录服务器
边博磊的博客
05-06 223
PuTTY/PuttyGen创建密钥及利用密钥登录服务器
【操作指南】银河麒麟高级服务器操作系统内核升级——基于4.19.90-17升级
银河麒麟操作系统的博客
05-06 934
【操作指南】银河麒麟高级服务器操作系统内核升级——基于4.19.90-17升级
怎样防范服务器被攻击?
最新发布
wanhengwangluo的博客
05-07 217
为了有效的防范位置的网络攻击,我们可以使用网络安全工具来提高服务器的安全性,如使用杀毒软件、入侵预防系统和入侵检测系统等,能够有效的阻止攻击者的入侵和恶意代码的传播,同时还可以检测到恶意的网络攻击,以便做出有效的应对措施。服务器的网络安全是十分重要的,所以我们需要加强服务器的网络安全配置,对于端口过滤和防火墙配置要进行加强,同时对于网络中的数据传输安全要使用VPN等加密技术来进行保护。对于服务器上重要的数据文件要进行定期的备份,确保备份数据在安全的云存储当中,当服务器受到攻击后能够快速的恢复数据和服务。
速盾:服务器cdn加速的具体实现方式?
zhuguowang01的博客
05-06 408
通过这些步骤,CDN能够将静态资源缓存到边缘节点服务器上,提高用户访问网站的速度和性能,并减轻源服务器的负载。动态内容加速:对于动态内容,CDN加速器会将用户请求的数据复制到多个边缘节点服务器,并根据用户的位置选择最近的节点来处理请求。请求路由:当用户发送请求后,请求会到达最近的CDN节点服务器,该服务器会根据用户的IP地址,选择一个最近的边缘节点作为处理请求的中转服务器。错误处理:当用户请求的资源在CDN节点服务器上无法找到时,CDN会自动从源服务器上获取该文件,并缓存在节点服务器上,以便下次访问。
Linux下网络编程-简易Epll服务器和客户端
weixin_45256307的博客
05-06 418
Linux下网络编程-简易Epll服务器和客户端
A block of 64 contiguous LAPs is reserved for inquiry operations; one LAP common to all devices is reserved for general inquiry, the remaining 63 LAPs are reserved for dedicated inquiry of specific classes of devices (see Assigned Numbers). The same LAP values are used regardless of the contents of UAP and NAP. Consequently, none of these LAPs can be part of a user BD_ADDR. The reserved LAP addresses are 0x9E8B00 to 0x9E8B3F. The general inquiry LAP is 0x9E8B33. All addresses have the LSB at the rightmost position, hexadecimal notation. The default check initialization (DCI) is used as the UAP whenever one of the reserved LAP addresses is used. The DCI is defined to be 0x00 (hexadecimal).
06-06
有一组64个连续的LAP保留用于查询操作;其中一个LAP是所有设备共用的,用于通用查询,剩下的63个LAP保留用于针对特定设备类别的专用查询(请参阅分配的编号)。无论UAP和NAP的内容如何,都使用相同的LAP值。因此,这些LAP都不能成为用户BD_ADDR的一部分。保留的LAP地址为0x9E8B00至0x9E8B3F。通用查询LAP为0x9E8B33。所有地址的最低有效位位于最右边的位置,使用十六进制表示。当使用保留的LAP地址之一时,使用默认检查初始化(DCI)作为UAP。DCI被定义为0x00(十六进制)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值