使用LAPS保護本機管理員密碼

使用本機管理員密碼解決方案(LAPS)，管理本機管理員帳戶密碼，防止本機管理員密碼洩密的風險，在Active Directory管理的網域中，防止本機管理員帳戶使用相同的密碼來存取網域中的所有系統和伺服器。這使得系統容易遭受到PtH攻擊，並允許攻擊者在網路上輕鬆橫向移動擴展攻擊，讓攻擊者能夠獲取企業管理員帳戶的敏感資訊。本機管理員密碼解決方案(LAPS)工具可協助網路防禦者在Active Directory (AD)中管理和儲存管理員密碼，透過定期自動更新密碼來幫助保護本機管理員密碼。

Microsoft LAPS的特點是使用群組原則，將加入網域的電腦作業系統上的本機管理員帳戶的密碼，自動定期變更產生複雜性的密碼，防止暴力破解密碼攻擊的威脅。LAPS允許為管理員帳戶設定單獨的密碼，並將密碼儲存在Active Directory (AD)目錄服務中，這些密碼可以在身份驗證時進行檢索存取，套用委派授權策略控制對這些本機管理員帳戶密碼的存取。LAPS只能管理本機管理員帳號，不支援本機管理員以外的其他帳戶/密碼更改，LAPS執行所有的管理工作，會使用安裝於受管理電腦上的群組原則用戶端延伸(CSE)，才能正常有效的運作。

案例分析：

1. 在網域中受管理的電腦安裝LAPS工具

   

2. 在Active Directory (AD)網域中建立組織單位、使用者、群組、電腦物件

   

3. 匯入LAPS PowerShell模組，擴充Active Directory架構

   

4. 設定LAPS委派授權管理群組權限套用於網域中的組織單位

   

5. 設定LAPS群組原則物件

   
   

6. 登入授權帳號進行檢索存取，LAPS在Active Directory (AD)網域中儲存的本機管理員密碼

   

結論

LAPS簡化本機管理員帳戶密碼管理，尤其是該解決方案會減輕橫向移動擴展攻擊所帶來的風險，也就是當所有的電腦作業系統皆使用相同本機管理者帳戶和密碼組合所造成的結果，正確的組態與設定是資訊安全人員不可欠缺的技能。