Windows LAPS 帐户管理模式
了解 Windows 本地管理员密码解决方案 (Windows LAPS) 支持的不同帐户管理模式。
重要
Windows LAPS 自动帐户管理功能仅在 Windows 11 24H2、Windows Server 2025 及更高版本中受支持。
概述
Windows LAPS 的主要用途是定期轮换本地 Windows 帐户的密码。 此帐户可以是内置 Administrator 帐户,也可以是自定义的新帐户。 IT 管理员可以选择两种不同的模式来配置和管理目标帐户:手动和自动。 这两种模式各有利弊。
目标帐户的管理模式有两种。
默认模式为手动帐户管理模式。 在手动模式下,IT 管理员负责配置受管理帐户的所有方面,但密码除外,后者由 Windows LAPS 管理和控制。
自动帐户管理模式是一种可选模式。 在自动模式下,Windows LAPS 负责配置受管理帐户的所有方面,包括根据需要创建和删除基本帐户,以及帐户的密码。
手动帐户管理模式
手动模式是默认模式。 IT 管理员可以选择是针对内置 Administrator 帐户还是自定义的新帐户。 这将通过 AdministratorAccountName 策略设置来进行配置。 如果 AdministratorAccountName 设置为空,则管理内置 Administrator 帐户,否则 AdministratorAccountName 会指定某个自定义本地帐户的名称。
指定自定义本地帐户时,IT 管理员负责在启用 Windows LAPS 之前创建该帐户 - Windows LAPS 不会在此模式下创建该帐户。 可通过多种方式创建本地帐户:
- 配置帐户 CSP
- 部署自定义策略驱动的管理脚本
- 将目标帐户添加到基础 OS 映像。
这些机制增加了使用自动帐户管理模式可以避免的额外复杂性。
在此模式下,目标帐户的密码将受到保护,防止意外或粗心篡改。 允许所有其他帐户配置更改。
自动帐户管理模式
自动模式是默认禁用的模式。 启用此模式后,IT 管理员有以下详细配置可以选择:
- 是针对内置 Administrator 帐户还是自定义的新帐户
- 该帐户的名称
- 是启用还是禁用该帐户
- 是否执行帐户名称随机化
自动帐户配置详细信息
启用自动模式后,将按如下所示配置受管理帐户:
- 该帐户是本地管理员组的成员
- “不需要密码”设置已禁用
- “密码永不过期”标志已禁用
- 修改帐户说明以指示 Windows LAPS 正在控制该帐户
自动帐户管理安全改进和注意事项
与任何用户帐户一样,Windows 本地帐户表示攻击者的潜在漏洞途径。 Windows LAPS 管理的帐户也存在此威胁,尽管 Windows LAPS 生成的高度复杂的密码(并定期轮换)在很大程度上得到了缓解。 自动帐户管理提供两项改进,当需要对高威胁环境进行更多保证时,可以进一步缓解威胁。
首先,在禁用状态中维护托管帐户完全消除了该帐户可能是密码喷射或类似攻击的目标的任何机会。 但是,使托管帐户处于禁用状态确实会产生摩擦:必须先启用托管帐户(通过 GPO 或 MDM 策略操作),然后才能使用该帐户。
其次,通过帐户名称随机化维护每个设备的唯一托管帐户名称会使攻击者的工作更加困难。 攻击者必须以某种方式找出给定目标设备上的帐户名称,而不是事先知道要攻击的所有设备的帐户。 这里也有更多的摩擦,因为 IT 人员必须经过培训,不依赖于知道常见的组织范围的托管帐户名称。
在安全关键环境中部署 Windows LAPS 的 IT 管理员应考虑这些功能。 采用这些功能带来的摩擦是否可接受取决于需要使用 Windows LAPS 管理的帐户的频率,以及给定 IT 环境的安全要求。
与本地帐户管理策略集成
Windows 支持多种 Windows 本地组成员身份管理策略:
- RestrictedGroups 策略 CSP
- LocalUsersAndGroups 策略 CSP
- 本地用户和组(组策略)
- 受限组(组策略)
上述每种策略都支持一种可用来强制移除指定本地组的所有成员的配置模式。 上述策略现在会忽略从本地管理员组移除 Windows LAPS 自动受管理帐户的任何尝试。
帐户篡改防护
自动模式扩展了帐户篡改防护功能。 Windows LAPS 控制自动受管理帐户配置的所有方面。 修改受管理帐户的外部尝试将被阻止。 IT 管理员不应编写尝试修改受管理帐户的策略或脚本。
Windows LAPS 会拒绝修改帐户的非预期尝试,并显示 STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) 或 ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) 错误。 每次拒绝时都会在 Windows LAPS 事件日志通道中创建一个关联的事件。 记录事件 10101-10104,对应于请求的修改类型(基本修改、安全描述符修改、删除或从本地管理员组移除)。
选择模型
手动模式非常适合需要与众不同和\或详细目标帐户配置的场景。
自动模式非常适合要求不那么详细的场景,例如,只需在具有管理权限的基本配置中提供和使用受管理帐户。 自动模式还支持创建自定义的新帐户。
| 功能 | 手动模式 | 自动模式 |
|---|---|---|
| 密码由 Windows LAPS 控制 | 是 | 是 |
| IT 管理员可以自定义帐户 | 是 | 否 |
| 支持自动创建帐户 | 否 | 是 |
| 支持自动命名帐户 | 否 | 是 |
| 支持自动启用\禁用帐户 | 否 | 是 |
| 支持自动帐户名随机化 | 否 | 是 |
| 与本地帐户策略集成 | 否 | 是 |
重要
Microsoft建议客户始终首选自动帐户管理模式,但需要唯一配置目标管理帐户的情况除外。 此外,建议将自动帐户管理模式配置为创建/以自定义帐户为目标,并且内置管理员帐户在禁用状态下保持未使用和维护。
目录服务修复模式帐户管理
Windows LAPS 支持管理域控制器上的目录服务修复模式帐户 (DSRM) 密码。 本文中介绍的手动和自动帐户管理模式不适用于 DSRM 帐户。
另请参阅
后续步骤
在了解了不同的帐户管理模式后,下面可了解其他的部分。