计算机管理员密码保护,本地管理员密码解决方案(LAPS)简介

最新推荐文章于 2023-07-28 22:32:20 发布
最新推荐文章于 2023-07-28 22:32:20 发布
阅读量1.1k 收藏
点赞数
文章标签: 计算机管理员密码保护
本文档介绍了本地管理员密码解决方案(LAPS),该方案自动管理域中计算机的本地管理员密码,确保密码安全、唯一且定期更换。LAPS通过组策略客户端扩展实施,密码存储在AD中并受权限控制。此解决方案支持配置密码参数,提供管理工具,并对终端用户界面进行控制,适用于Windows操作系统。实现简单,要求包括特定版本的活动目录和托管计算机。
摘要由CSDN通过智能技术生成

本地管理员帐户密码管理

编制人

杰里·福尔马切克

本地管理员密码管理

数据表

出版:2015年6月

上次更新时间:2018年6月

作者:

JiriFrmacek,微软

摘要:本文档简要概述了本地管理员密码解决方案(LAPS)

版权所有©2015MicrsftCrpratin。保留所有权利。

一、概述

本地管理员解决方案自动管理加入域的计算机上的本地管理员密码,因此密码为:

b64d47c37d1368b5da1d162d9c4f3a1e.png 在每台受管计算机上唯一

7e942e81ed34e47377c02fdab22a7835.png 随机生成

de828767873f0e4a6d24756d11c538af.png 安全地存储在AD基础架构中

解决方案仅建立在AD基础设施上,因此不需要安装和支持其他技术。

解决方案本身是一个组策略客户端扩展,安装在托管计算机上并执行所有管理任务

随解决方案提供的管理工具允许轻松配置和管理。

二、架构

解决方案架构如下:

ef35c01644ccd42b653d6285a4b3a08f.png

解决方案的核心是GP客户端扩展(CSE),它在GP更新期间执行以下任务:

1. 检查本地管理员帐户的密码是否已过期

2. 当旧密码过期或需要在过期前更改时生成新密码

3. 更改管理员帐户的密码

4. 将密码报告给passwrdactivedirectry,并将其存储在机密属性中,计算机帐户位于AD中

5. 将下一个过期时间报告给活动目录,并将其存储在AD中的计算机帐户的机密属性中

6. 然后允许用户从AD中读取密码

7. 授权用户可以强制更改密码

三、功能特色

解决方案功能包括:

56a0840d1c42b9e50f76e8e83e251266.png 安全性:

在托管计算机上自动定期更改的随机密码

有效缓解pass-the-hash***

通过kerbers加密在传输期间保护密码

密码在ad中受adacl保护,因此可以方便地实现粒度安全模型

a8c7a1d085930f1291433e5b9cd70f55.png 可管理性

可配置的密码参数:期限、复杂性和长度

根据每台机器强制重置密码的能力

与adacl集成的安全模型

终端用户界面可以是任何AD管理工具的选择,另外还提供了自定义工具(pwershell和胖客户端)

防止计算机帐户删除

易于实现,技术难度最小

四、要求

解决方案有以下要求:

c25a7a0d54f4b3ddb7f865b7e892b17f.png 活动目录:

Windws2003SP1及更高版本

50ab72c3a7b1af55be1290dde186c286.png 托管计算机:

当前SP或更高版本的WindwsVista;x86或x64

当前SP及以上版本的Windws2003;x86或x64(不支持安腾)

9a1f524176b3d634fd7933a6bdbba425.png 管理工具:

.NETFramewrk4.0

pwershell2.0或更高版本

许早早
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(LAPS) Windows本地管理员密码解决方案
IT 博客
10-05 403
Windows Local Administrator Password Solution (LAPS)Windows本地管理员密码解决方案
LAPS-WebUI:一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案
05-14
LAPS-WebUI 一个用于LAPS的简单易用的Web界面(本地管理员密码解决方案) 设置前提 安装了Microsoft LAPS的有效Active Directory .NET Core 5.0兼容操作系统(Ubuntu / Debian / CentOS / Alpine Linux / Windows / macOS)或Docker主机 设置(裸机): 下载适合您平台的最新版本 解压缩档案 调整appsettings.json或通过环境变量设置设置 运行LAPS-WebUI 设置(泊坞窗): 在docker中运行LAPS-WebUI非常简单: docker run -d \ --name=lapswebui \ -e LDAP__Server=ldap.example.com \ -e LDAP__Port=389 \ -e LDAP__UseSSL=fa
软件加密保护方案
08-13 1576
许多软件开发商认为软件加密即是保护软件不被复制就行了,在做加密的时候,终究加密开发者很少或从来没有对怎么加密进行计划,然后致使这样做出来的加密方案存在必定的弊端或缺乏,以下几点供咱们参阅。 1、开发环境 开发环境在很大程度上会影响你对加密办法的挑选。开发环境一方面包含你用来开发的言语环境,另一方面也包含了软件运转的体系环境。假如是在 Windows 渠道上面运转的软件,可以挑选的加密办法会
MYSQL密码保护方案
09-13
MYSQL客户端登录数据库时,需要输入用户名密码,为安全审计考量,应避免密码明文显示。现提供两种加密方式,一种是mysql自带的login path,一种是用第三方工具gnupg,二者的应用场景不同。
【Windows】Windows LAPS:本地管理员密码解决方案
u012153104的博客
05-06 2085
微软已经在2023年4月的安全更新中,为Windows 10(20H2、21H2、22H2)、Windows 11(21H2、22H2)、Windows Server 2019和Windows Server 2022提供了称为Windows LAPS的新功能。Windows 本地管理员密码解决方案 (Windows LAPS) 是一项 Windows 功能,可自动管理和备份已加入 Azure Active Directory 或已加入 Windows Server Active Directory 的设备。
laps-web:一个网站,用于管理对由Microsoft LAPS管理的本地管理员密码的访问
04-28
Lithnet LAPS Web应用程序 Lithnet LAPS Web应用程序是一个IIS应用程序,允许您管理对由管理的 它提供对目录中存储的LAPS密码的细化权限,审核,电子邮件警报和限速访问,并且与OpenID Connect,WS-Federation(ADFS)和集成的Windows身份验证兼容。 特征 基于Web的LAPS密码访问 LAPS Web应用程序提供了一个简单的基于Web且易于移动的界面,用于访问本地管理员密码管理员无需安装自定义软件,也无需访问AD管理工具即可访问LAPS密码。 只需提供计算机名称,如果有访问权限,就会显示密码LAPS管理员还可以选择在访问密码时强制终止时间。 这样可确保在使用后旋转密码。 审核成功和失败事件日志 所有成功和失败事件都记录到事件日志和文件中。 这些可以很容易地运到SIEM进行记录保存以及进一步的分析和报告。 限速 为了防止
LAPM:本地管理员密码维护者
05-29
本地管理员密码维护者(2015 年 6 月 18 日:微软的 LAPS(本地管理员密码解决方案)最近受到了很多关注,所以我想我应该开源我三个月前通过我的博客发布的版本。) Active Directory 非常适合对大量 IT 资产进行...
macOSLAPS:Swift二进制文件,它将本地管理员密码更改为随机生成的密码。 与Windows的LAPS类似的行为
04-13
macOS LAPS(本地管理员密码解决方案) 使用Open Directory来确定本地管理员密码是否已过期的Swift二进制文件,该密码已由Active Directory属性dsAttrTypeNative:ms-Mcs-AdmPwdExpirationTime 。 在这种情况下,将...
自动获取分配本地管理员账号权限
10-29
大家安装后需要重启,在域环境下能获取到本机的管理员账号密码密码随机生成。 控制端完整安装,客户端默认安装。
十大密码保护措施 十大密码保护措施
10-25
十大密码保护措施十大密码保护措施十大密码保护措施十大密码保护措施
修改本地管理员密码
11-23
域用户登陆时修改本地管理员密码的脚本代码
LAPS本地管理员密码之使用PowerShell查看和重置密码
一个标题
12-26 2272
LAPS本地管理员密码之使用PowerShell查看和重置密码
域渗透TIPS:获取LAPS管理员密码
weixin_34037173的博客
08-01 561
如果你之前有对启用LAPS机制的主机进行渗透测试,那么你应该能体会到该机制的随机化本地管理员密码是有多么令人痛苦。 LAPS将其信息存储在活动目录: 存储密码过期时间:ms-Mcs-AdmPwdExpirationTime: 131461867015760024 以明文显示的存储密码:ms-Mcs-AdmPwd: %v!e#7S#{s})+y2yS...
如何搭建LAPS?如何统一给域的电脑设置本地管理员密码?比组策略推送脚本更改本地管理员密码更好的方式?LAPS的好处特点?
最新发布
封枫丰
07-28 1407
1,如何搭建LAPS? 2.如何统一给域的电脑设置本地管理员密码? 3,比组策略推送脚本更改本地管理员密码更好的方式? 4.LAPS的好处特点?
使用LAPS管理本地管理员密码(1)
weixin_34167043的博客
12-24 1277
在日常工作中会碰到一些客户端本地管理员密码管理不方便的情况,不能批量\方便的进行客户端管理员密码的设定,或者是统一设定密码后一旦密码泄露将会影响所有的客户端等一系列的问题.微软推出了Local Administrator Password Solution (LAPS)就能够很好的解决这个问题.测试环境:域 控:Windows Server 2012R2新建OU:Clien...
如何使用计算机管理员账户密码是什么意思,电脑管理员密码是什么
weixin_27676369的博客
06-18 3845
大家好,我是时间财富网智能客服时间君,上述问题将由我为大家进行解答。电脑管理员密码就是进入管理员账户时的钥匙,是管理员自己设置的,一般情况下只有管理员用户自己知道。计算机用户账户:由将用户定义到某一系统的所有信息组成的记录,账户为用户或计算机提供安全凭证,包括用户名和用户登录所需要的密码,以及用户使用以便用户和计算机能够登录到网络并访问域资源的权利和权限。安装Windows XP时,如果设置了一个...
Windows AD 域环镜 本地管理员密码解决方案LAPS)部署
一直被模仿,从未被超越
05-08 2912
这个功能实现的是让加域的客户端本地administrator账号密码随机化(每一台都不一样的复杂随机密码),并且随机化密码存储在AD上可以查询到,避免***者猜出一台就等于猜出一片,从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入域的情况下管理本地管理员密码(随机,唯一且定期更改)电脑。(5)进入到 计算机配置>策略>软件设置>软件安装,为客户端安装LAPS,安装包就是上面下载的。1、在域控上安装LAPS.x64,点击下一步安装,第一项不用安装。
部署Microsoft LAPS分步指南
allway2的博客
01-13 6094
部署Microsoft LAPS分步指南 在本文档中,我将向您逐步介绍部署Microsoft LAPS的方法。本地管理员密码解决方案LAPS)提供对加入域的计算机的本地帐户密码的管理。实施LAPS后,密码将存储在Active Directory(AD)中并受ACL保护,因此只有合格的用户才能读取或请求重置。对于要求用户在没有域凭据的情况下登录计算机的环境,密码管理可能会成为一个复杂的问题。本地...
使用AD域管理您的本地计算机密码
Zephyr的博客
04-02 6698
此方案是将本地管理员密码存储在LDAP上,作为计算机账户的一个机密属性,配合GPO,实现自动定期修改密码、设置密码长度、强度等,然后配置某些指的账号,能查看存储的密码,如果用户需要,可以用PowerShell或指的工具查询密码,但对非授权用户,确无法获取,从而实现本机管理员的自动化管理。
如何使用laps 读取密码
05-30
LAPS(局域网管理员密码解决方案)是微软提供的一种管理本地管理员密码解决方案。它可以自动为每个计算机生成一个唯一的本地管理员密码,并将其存储在 Active Directory 中,只有授权的用户才能查看密码。如果您有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值