【Windows】Windows LAPS:本地管理员密码解决方案

最新推荐文章于 2023-05-08 11:52:27 发布
最新推荐文章于 2023-05-08 11:52:27 发布
阅读量2.2k 收藏 3
点赞数
文章标签: windows microsoft
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153104/article/details/130511840
版权

在这里插入图片描述

微软已经在2023年4月的安全更新中,为Windows 10(20H2、21H2、22H2)、Windows 11(21H2、22H2)、Windows Server 2019和Windows Server 2022提供了称为Windows LAPS的新功能。Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备上的本地管理员帐户的密码。 你还可以使用 Windows LAPS 自动管理和备份 Windows Server Active Directory 域控制器上的目录服务还原模式 (DSRM) 帐户密码。 授权管理员可以检索 DSRM 密码并使用。

什么是LAPS?

LAPS,Local Administrator Password Solution的缩写,即本地管理员密码解决方案,主要用于管理Windows系统计算机本地管理员密码的策略化管理。这项功能并不是最近才问世的新技术。之前,LAPS是Windows域活动目录的一个附加组件,旨在管理加入域的计算机的本机管理员账号密码,并将其保存至域的活动目录中,通过ACL清单进行保护和授权访问。此外,此功能还支持定期滚动式更改密码。对于已经建立了域和活动目录的企业来说,LAPS已被证明是一种基础且不可或缺的安全手段。 针对用户的需求,Microsoft将LAPS从Microsoft Entra产品系列中独立,作为Azure活动目录的一部分,针对公众推出了Windows LAPS。

相比传统的LAPS功能,Windows LAPS在许多方面都作出了重大改进。其中之一是原生整合到Windows操作系统中,不需要再进行额外的安装。同时,Windows LAPS加强了与Azure活动目录的协作,使管理员可以利用Microsoft Graph获取存储的密码,并可以使用Azure云RBAC模式的访问控制策略来控制密码获取。在密码获取和滚动更替时,也支持Azure管理入口,并可以通过Intune管理功能特性来实现。此外,Windows LAPS还新增了许多以前的LAPS所不具备的功能,包括历史密码加密、密码历史、目录服务恢复模式(DSRM)密码备份等,大大提高了敏感数据的安全性。

同时,可以利用新的功能特性来充实密码策略管理、在Microsoft Intune中滚动更改Windows LAPS帐户密码、专用事件日志、新的PowerShell模块和支持混合连接(Hybrid-joined)等,不仅适用于Azure活动目录,也适用于内部部署的活动目录。这表明Windows LAPS已成为一项非常重要的安全措施,是企业信息安全的基石。

开始使用适用于 Windows Server Active Directory 的 Windows LAPS

  1. 在使用 Windows LAPS 之前,必须更新 Windows Server Active Directory 架构。
Update-LapsADSchema
  1. 需要为托管设备授予更新其密码的权限。 此操作是通过在设备所在的组织单位 (OU) 上设置可继承权限来执行的。
Set-LapsADComputerSelfPermission -Identity "OU=Computers,DC=lisuantech,DC=com"

  1. 配置AD域组策略
    a) 复制LAPS组策略ADMX文件及语言包ADML文件至域控组策略目录下。

    源: %windir%/PolicyDefinitions
    目标: %windir%\SYSVOL\sysvol*****.com\Policies\PolicyDefinitions
    文件名:LAPS.ADMX以及各语言下的LAPS.ADML文件

    一般为以上地址,需要更具各自AD情况自己找一下,不复制的情况下,在AD组策略编辑器中无法找到对应的策略。

    b) 修改AD组策略

    组策略的修改可以参考微软官方给出的备注或者指引。
    https://learn.microsoft.com/zh-cn/windows-server/identity/laps/laps-management-policy-settings

  2. 客户端更新策略
    a) 可以通过以下命令强制更新组策略,或者等待组策略更新周期,自动更新组策略

    gpupdate /force

    b) 查看日志是否更新本地管理员密码

    可以通过专用的时间日志去查看LAPS的部署结果。具体为止:
    Logs > Microsoft > Windows > LAPS > Operational
    在这里插入图片描述

    c) 管理员也可以在DC上查询到密码后,使用以下POWERSHELL测试本地管理员密码是否生效
    DC上查询密码结果截图如下;
    在这里插入图片描述

    POWERSHELL脚本如下:

    # 引入Windows API
Add-Type -TypeDefinition @"
  using System;
  using System.Runtime.InteropServices;
  public class LogonUserHelper {
      [DllImport("advapi32.dll", SetLastError = true)]
      public static extern bool LogonUser(string lpszUsername, string lpszDomain, string lpszPassword,
         int dwLogonType, int dwLogonProvider, out IntPtr phToken);
  }
"@

# 替换Username和Password为要测试的用户名和密码
$Username = "Username"
$Password = "Password"

# 验证本地账户密码
$Domain = $env:COMPUTERNAME
[IntPtr] $UserToken = [System.IntPtr]::Zero
if ([LogonUserHelper]::LogonUser($Username, $Domain, $Password, 3, 0, [ref] $UserToken)) {
    Write-Host "Password is correct." -ForegroundColor Green
    [System.Runtime.InteropServices.Marshal]::FreeHGlobal($UserToken)
} else {
    Write-Host "Password is incorrect." -ForegroundColor Red -BackgroundColor Yellow
}

当然除了以上在Windows ServerActive Directory上部署Windows LAPS只是一种办法,还可以与AAD结合等方式部署,具体可以根据微软的介绍去相应的配置。

https://learn.microsoft.com/zh-cn/windows-server/identity/laps/laps-overview

KnightYangHJ
关注
(LAPS) Windows本地管理员密码解决方案
IT 博客
10-05 438
Windows Local Administrator Password Solution (LAPS)Windows本地管理员密码解决方案
LAPM:本地管理员密码维护者
05-29
本地管理员密码维护者 (2015 年 6 月 18 日:微软的 LAPS(本地管理员密码解决方案)最近受到了很多关注,所以我想我应该开源我三个月前通过我的博客发布的版本。) Active Directory 非常适合对大量 IT 资产进行稳健、集中的管理。 但是,即使您拥有 Active Directory,您仍然会遇到如何处理所有域成员上的本地管理员帐户的问题。 您可能不想禁用本地管理员帐户,因为在计算机无法联系域控制器的情况下,您将需要它。 但是,您也没有在整个环境中更新和维护本地管理员密码的好方法。 每个人都知道最好不要使用组策略首选项来更新域成员的本地管理员密码,因为它是完全不安全的。 大多数其他解决方案涉及通过网络以明文形式发送管理员密码,要求管理员每次手动运行一些脚本或软件,这些脚本或软件在复杂的网络中可能无法正常工作,并且它们仍然让您在每次使用相同的本地管理员密码时机器..
域内计算机本地管理员密码管理
weixin_42556618的博客
12-17 3897
随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重,而企业内终端的密码管理则是权限管理的基础。 在小型企业中,PC客户端直接使用客户端,这种方式终端上需要管理的密码只有工...
Windows AD 域环镜 本地管理员密码解决方案LAPS)部署
一直被模仿,从未被超越
05-08 3056
这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。1、在域控上安装LAPS.x64,点击下一步安装,第一项不用安装。
本地管理员密码解决方案 Local Admin Password Solution (LAPS)
weixin_33748818的博客
10-20 5233
据调查,大多数的企业在部署AD域后,针对客户端电脑的本机管理员采用以下几种方式管理方式:1. 禁用本机管理员,只使用域账登录;但存在的问题是:当电脑因故障脱离域,或是无法使用域账号登录时,电脑就无法登录,需要借助PE等工具启用本机管理员并设置密码。2. 由IT人员在系统部署时设置一个统一的本机管理员密码(或是用GPO统一设置);但存在的问题是:如果密码一旦泄露或是被猜出,***、病毒将能取得电脑控...
本地密码管理器
qq_45017958的博客
05-05 372
闲来无事,看到自己有很多网站的账户密码,有些网站可能打开一两次也就忘记了,下一次在输入账户密码就想不起来,这样很容易丢失账号(当然也可以保存在浏览器自带的密码管理器中),虽然市面上也有很多优秀的账户密码管理软件,一来是这些程序大都是联网运行,在提供了多端存档的同时,也将密码和账户在网络上传输,虽然实际上很安全,但是并不是绝对的安全,二来,部分优秀的程序都是订阅付费机制,就想着自己干脆写个简单的本地的账户管理器,于是就有了这个小程序。
LAPS本地管理员密码之使用PowerShell查看和重置密码
一个标题
12-26 2383
LAPS本地管理员密码之使用PowerShell查看和重置密码
使用LAPS管理本地管理员密码(1)
weixin_34167043的博客
12-24 1286
在日常工作中会碰到一些客户端本地管理员密码管理不方便的情况,不能批量\方便的进行客户端管理员密码的设定,或者是统一设定密码后一旦密码泄露将会影响所有的客户端等一系列的问题.微软推出了Local Administrator Password Solution (LAPS)就能够很好的解决这个问题.测试环境:域 控:Windows Server 2012R2新建OU:Clien...
计算机管理员密码保护,本地管理员密码解决方案LAPS)简介
weixin_35555531的博客
07-11 1142
本地管理员帐户密码管理编制人杰里·福尔马切克本地管理员密码管理数据表出版:2015年6月上次更新时间:2018年6月作者:JiriFrmacek,微软摘要:本文档简要概述了本地管理员密码解决方案(LAPS)版权所有©2015MicrsftCrpratin。保留所有权利。一、概述本地管理员解决方案自动管理加入域的计算机上的本地管理员密码,因此密码为: 在每台受管计算机上唯一 随机生成 安全地存储在A...
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
Lithnet LAPS Web应用程序 Lithnet LAPS Web应用程序是一个IIS应用程序,允许您管理对由管理的 它提供对目录中存储的LAPS密码的细化权限,审核,电子邮件警报和限速访问,并且与OpenID Connect,WS-Federation(ADFS)和集成的Windows身份验证兼容。 特征 基于Web的LAPS密码访问 LAPS Web应用程序提供了一个简单的基于Web且易于移动的界面,用于访问本地管理员密码管理员无需安装自定义软件,也无需访问AD管理工具即可访问LAPS密码。 只需提供计算机名称,如果有访问权限,就会显示密码LAPS管理员还可以选择在访问密码时强制终止时间。 这样可确保在使用后旋转密码。 审核成功和失败事件日志 所有成功和失败事件都记录到事件日志和文件中。 这些可以很容易地运到SIEM进行记录保存以及进一步的分析和报告。 限速 为了防止
SharpLAPS:从LDAP检索LAPS密码
03-04
夏普 属性ms-mcs-AdmPwd存储明文LAPS密码。 可以使用execute-assembly在Cobalt Strike会话中execute-assembly此可执行文件。 它将从Active Directory中检索LAPS密码。 要求(两者皆有): 具有ExtendedRight或Generic All Rights帐户 域管理员权限 用法 _____ __ __ ___ ____ _____ / ___// /_ ____ __________ / / / | / __ \/ ___/ \__ \/ __ \/ __ `/ ___/ __ \/ / / /| | / /_/ /\__ \ ___/ / / / / /_/ / / / /_/ / /___/ ___ |/ ____/_
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案
05-14
一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或...
macOSLAPS:Swift二进制文件,它将本地管理员密码更改为随机生成的密码。 与WindowsLAPS类似的行为
04-13
macOS LAPS(本地管理员密码解决方案) 使用Open Directory来确定本地管理员密码是否已过期的Swift二进制文件,该密码已由Active Directory属性dsAttrTypeNative:ms-Mcs-AdmPwdExpirationTime 。 在这种情况下,将...
poormanslaps:那些无法更改森林架构的人的穷人版LAPS
03-22
【标题】:“poormanslaps”是一个针对那些无法修改森林架构环境的简易本地管理员密码解决方案,它是对标准LAPS(本地管理员密码解决方案)的一种低成本替代。 【描述】:在许多组织中,为了增强安全性,会定期自动...
借助向 Dev Channel 內部人員提供的最新預覽版本,Microsoft 已將舊版本地管理員密碼解決方案(也稱為 LAPS)直接集成到 Windows 11 中
m0_55055742的博客
06-24 129
然而,值得知道的是,LAPS 僅適用於加入 Active Directory 域的客戶端,因為 Microsoft 正在為 Azure Active Directory 用戶在雲端使用分階段推出的方法。 “功能文檔尚不可用,但如果您使用過舊版 LAPS 產品,那麼您將熟悉此新版本中的許多功能,”該公司表示。 最新 Windows 11 預覽版中的更多變化 此外,Windows 11 build 25145 還附帶了應用程序使用歷史功能的擴展,這些功能之前已隨 Windows 11 build 25140 .
bat 域 本机管理员密码_域渗透——Local Administrator Password Solution
weixin_39645041的博客
11-23 558
0x00 前言在域渗透中,有关域内主机的本地管理员的安全介绍还很少,对于LAPS大都比较陌生,所以这次就和我一起学习一下吧。0x01 简介在实际的域环境中,域内主机的本地管理员账户往往被忽视,再加上统一的配置,域内主机的本地管理员密码往往相同,这就带来了一个问题,如果获得一台域内主机的本地管理员密码,其他域内主机的本地管理员密码自然就知道了,解决这个问题最好的办法就是确保每台域内主机有不同的密码,...
SHA和AES加密+GUI Swing写的一个本地运行和保存的密码管理小工具
weixin_43165220的博客
01-03 984
用swing组件写的一个本地密码管理器,主要实现了加密解密,用到了两种加密方式:AES对称加密和SHA哈希算法加密。本程序有登录功能,登录密码密文是通过SHA加密的。然后加密的密文将以txt形式保存在本地。如果不知道登录密码即使知道密文也无法解密。
使用组策略统一修改客户端本地管理员密码
weixin_33895475的博客
06-13 481
有关如何创建启动脚本您可以参考下面的链接:http://www.microsoft.com/technet/archive/community/columns/tips/2kscript.mspx?mfr=true 具体的操作方法如下:1. 点击“开始->运行”并输入“DSA.MSC”?->打开Active Directory用户和计算机2. 然后右键点击doma...
A block of 64 contiguous LAPs is reserved for inquiry operations; one LAP common to all devices is reserved for general inquiry, the remaining 63 LAPs are reserved for dedicated inquiry of specific classes of devices (see Assigned Numbers). The same LAP values are used regardless of the contents of UAP and NAP. Consequently, none of these LAPs can be part of a user BD_ADDR. The reserved LAP addresses are 0x9E8B00 to 0x9E8B3F. The general inquiry LAP is 0x9E8B33. All addresses have the LSB at the rightmost position, hexadecimal notation. The default check initialization (DCI) is used as the UAP whenever one of the reserved LAP addresses is used. The DCI is defined to be 0x00 (hexadecimal).
最新发布
06-06
有一组64个连续的LAP保留用于查询操作;其中一个LAP是所有设备共用的,用于通用查询,剩下的63个LAP保留用于针对特定设备类别的专用查询(请参阅分配的编号)。无论UAP和NAP的内容如何,都使用相同的LAP值。因此,这些LAP都不能成为用户BD_ADDR的一部分。保留的LAP地址为0x9E8B00至0x9E8B3F。通用查询LAP为0x9E8B33。所有地址的最低有效位位于最右边的位置,使用十六进制表示。当使用保留的LAP地址之一时,使用默认检查初始化(DCI)作为UAP。DCI被定义为0x00(十六进制)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值