Windows LAPS 密码和口令
了解如何为 Windows 本地管理员密码解决方案 (Windows LAPS) 创建密码和口令。
概述
Windows LAPS 的主要用途是定期轮换本地 Windows 帐户的密码。 了解 Windows LAPS 生成随机密码(或随机口令)的机制十分重要。
密码字符集
Windows LAPS 支持五种可用于生成随机密码的不同复杂度设置。 PasswordComplexity 策略设置用于选择将在创建密码时使用的字符集。
| PasswordComplexity 设置 | 说明 | 字符集 |
|---|---|---|
| 1 | 大写字母 | “ABCDEFGHIJKLMNOPQRSTUVWXYZ” |
| 2 | 大写字母 + 小写字母 | “ABCDEFGHIJKLMNOPQRSTUVWXYZ” “abcdefghijklmnopqrstuvwxyz” |
| 3 | 大写字母 + 小写字母 + 数字 | “ABCDEFGHIJKLMNOPQRSTUVWXYZ” “abcdefghijklmnopqrstuvwxyz” “0123456789” |
| 4 | 大写字母 + 小写字母 + 数字 + 特殊字符 | “ABCDEFGHIJKLMNOPQRSTUVWXYZ” “abcdefghijklmnopqrstuvwxyz” “0123456789” |
| 5 | 大写字母 + 小写字母 + 数字(用于提高可读性) | “ABCDEFGHJKLMNPRSTUVWXYZ” “abcdefghijkmnpqrstuvwxyz” “23456789” |
选择具有多个字符集的复杂度设置时,Windows LAPS 可确保生成的密码至少包含从每个字符集中随机选择的一个字符。
密码长度使用 PasswordLength 策略设置进行控制。 Windows LAPS 创建的密码长度默认为 14 个字符,可配置为介于 8-64 个字符的任意长度。
密码复杂度设置 5 相当于密码复杂度设置 4 加上以下旨在提高可读性和避免混淆的修改。 设置 4 和设置 5 之间的差异如下:
- 移除了字母“I”、“O”、“Q”、“l”和“o”
- 移除了数字“0”和“1”
- 移除了符号“,”、“.”、“&”、“{”、“}”、“[”、“]”、“(”、“)”和“;”
- 增加了符号“:”、“=”、“?”和“*”
重要
PasswordComplexity 设置“5”仅在 Windows 11 24H2、Windows Server 2025 及更高版本中受支持。 无需部署任何 Windows Server 2025 域控制器即可使用此新设置。
口令单词列表
Windows LAPS 支持三种可用于生成随机口令的不同复杂度设置。 PasswordComplexity 策略设置用于选择将在创建口令时使用的单词列表:
| PasswordComplexity 设置 | 说明 | 列表中的单词数 |
|---|---|---|
| 6 | 长字 | 7776 |
| 7 | 短字 | 1276 |
| 8 | 带唯一前缀的短字 | 1276 |
口令长度使用 PassphraseLength 策略设置进行控制。 Windows LAPS 创建的口令默认为长度为 6 个单词,可配置为介于 3 到 10 个单词之间的任意长度。 每个单词的第一个字符始终大写,以提高可读性。 单词之间不使用标点符号或其他分隔字符。
从“长字”列表中选择六个单词创建的口令示例:
SkiingProduceIdentifyStarlitOctaneDistress
口令单词列表取自 Electronic Frontier Foundation 的“Deep Dive: EFF's New Wordlists for Random Passphrases”,并依据 CC-BY-3.0 署名许可证使用。 可以从 Windows LAPS 口令单词列表下载所有 Windows LAPS 口令单词列表的具体内容。 Microsoft 对原始单词列表进行了轻微修改;所有更改都已在可下载列表中详细说明。
重要
Windows LAPS 密码支持仅在 Windows 11 24H2、Windows Server 2025 及更高版本中受支持。 无需部署 Windows Server 2025 域控制器即可使用此新设置。
熵注意事项
Windows LAPS 会创建真正的随机密码和口令(不可能产生人为偏向)。 因此,对于给定长度的密码\口令,结果熵位非常容易计算。 下表列出了一个密码\口令长度样本集的结果熵位。
支持的密码复杂度设置在该表顶部列出,密码\口令长度列在左侧。 “默认”策略长度设置的熵值加用粗体表示:
| PasswordComplexity 设置 -> 密码或口令长度 V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
对于大多数正常的 IT 环境而言,允许长度范围上端的熵值可能会被认为过大。 应注意通常会需要在安全性与易用性之间恰当权衡。 例如,人类很难读取和键入长而复杂的密码。 改用口令将是一种非常实用的方法,不仅可以改进这些问题,同时仍可保留合理的熵量。 如果保证安全性最为重要,则可以改为考虑替代保护方案,例如,按照默认处于禁用状态的方式来维护受管理帐户。
另请参阅
后续步骤
前面你已了解了密码和口令的创建方式,现在可以学习其他部分的内容。