了解 Windows 本地管理员密码解决方案 (Windows LAPS) 支持的不同帐户管理模式。
Important
Windows LAPS 自动帐户管理功能仅在 Windows 11 24H2、Windows Server 2025 及更高版本中受支持。
Overview
Windows LAPS 的主要用途是定期轮换本地 Windows 帐户的密码。 此帐户可以是内置 Administrator 帐户,也可以是自定义的新帐户。 IT 管理员可以选择两种不同的模式来配置和管理目标帐户:手动和自动。 这两种模式各有利弊。
目标帐户的管理模式有两种。
默认模式为手动帐户管理模式。 在手动模式下,IT 管理员负责配置托管帐户的所有方面,Windows LAPS 管理和控制的密码 除外 。
自动帐户管理模式是一种可选模式。 在自动模式下,Windows LAPS 负责配置托管帐户 的各个方面 ,包括根据需要创建和删除基本帐户,以及帐户的密码。
手动帐户管理模式
手动模式是默认模式。 IT 管理员可以选择是针对内置 Administrator 帐户还是自定义的新帐户。 这将通过 AdministratorAccountName 策略设置来进行配置。 如果 AdministratorAccountName 设置为空,则管理内置 Administrator 帐户,否则 AdministratorAccountName 会指定某个自定义本地帐户的名称。
指定自定义本地帐户时,IT 管理员负责在启用 Windows LAPS 之前创建该帐户 - Windows LAPS 在此模式下不会创建该帐户。 创建本地帐户的方法有很多:
- 配置帐户 CSP
- 部署自定义策略驱动的管理脚本
- 将目标帐户添加到基础 OS 映像。
这些机制增加了额外的复杂性,可以通过使用自动帐户管理模式来避免。
在此模式下,目标帐户 的密码 受到意外或粗心篡改的保护。 允许所有其他帐户配置更改。
自动帐户管理模式
自动模式是默认禁用的模式。 启用此模式后,IT 管理员有以下详细配置可以选择:
- 是针对内置 Administrator 帐户还是自定义的新帐户
- 该帐户的名称
- 是启用还是禁用该帐户
- 是否执行帐户名称随机化
自动帐户配置详细信息
启用自动模式后,将按如下所示配置受管理帐户:
- 该帐户是本地管理员组的成员
- “不需要密码”设置已禁用
- “密码永不过期”标志已禁用
- 修改帐户说明以指示 Windows LAPS 正在控制该帐户
自动帐户管理安全改进和注意事项
与任何用户帐户一样,Windows 本地帐户代表了攻击者的潜在漏洞途径。 这种威胁也存在于 Windows LAPS 管理的帐户中;尽管 Windows LAPS 生成的高度复杂的密码(并定期轮换)在很大程度上减轻了这种威胁。 自动帐户管理提供两项改进,可以在高威胁环境需要更多保障时进一步减轻威胁。
首先,将托管帐户保持在禁用状态完全消除了帐户成为密码喷射或类似攻击目标的任何可能性。 然而,将托管帐户保持在禁用状态确实会带来摩擦:在使用帐户之前,必须启用托管帐户(通过 GPO 或 MDM 策略操作)。
其次,为每个设备维护一个唯一的托管帐户名(通过帐户名随机化)会使攻击者的工作更加困难。 攻击者必须以某种方式找出给定目标设备上的帐户名称,而不是提前知道要攻击所有设备上的哪个帐户。 这里也有更多的摩擦,因为 IT 人员必须经过培训,才能不依赖于知道一个通用的、全组织范围内的托管帐户名。
在安全关键环境中部署 Windows LAPS 的 IT 管理员应考虑这些功能。 采用这些功能带来的摩擦是否可以接受取决于 Windows LAPS 管理的帐户需要使用的频率,以及给定 IT 环境的安全要求。
与本地帐户管理策略集成
Windows 支持多种 Windows 本地组成员身份管理策略:
- RestrictedGroups 策略 CSP
- LocalUsersAndGroups 策略 CSP
- 本地用户和组(组策略)
- 受限组(组策略)
上述每种策略都支持一种可用来强制移除指定本地组的所有成员的配置模式。 上述策略现在会忽略从本地管理员组移除 Windows LAPS 自动受管理帐户的任何尝试。
帐户篡改防护
自动模式扩展了帐户篡改防护功能。 Windows LAPS 控制自动托管帐户 的所有 配置方面。 修改受管理帐户的外部尝试将被阻止。 IT 管理员不应编写尝试修改受管理帐户的策略或脚本。
Windows LAPS 会拒绝修改帐户的非预期尝试,并显示 STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) 或 ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) 错误。 每次拒绝时都会在 Windows LAPS 事件日志通道中创建一个关联的事件。 记录事件 10101-10104,对应于请求的修改类型(基本修改、安全描述符修改、删除或从本地管理员组移除)。
选择模型
手动模式非常适合需要与众不同和\或详细目标帐户配置的场景。
自动模式非常适合要求不那么详细的场景,例如,只需在具有管理权限的基本配置中提供和使用受管理帐户。 自动模式还支持创建自定义的新帐户。
| Feature | 手动模式 | 自动模式 |
|---|---|---|
| 密码由 Windows LAPS 控制 | Yes | Yes |
| IT 管理员可以自定义帐户 | Yes | No |
| 支持自动创建帐户 | No | Yes |
| 支持自动命名帐户 | No | Yes |
| 支持自动启用\禁用帐户 | No | Yes |
| 支持自动帐户名随机化 | No | Yes |
| 与本地帐户策略集成 | No | Yes |
Important
Microsoft 建议客户始终首选自动帐户管理模式,但需要对目标管理帐户进行唯一配置的(极少数)情况除外。 进一步建议将自动帐户管理模式配置为创建\目标自定义帐户,并将内置管理员帐户保持为未使用状态并保持禁用状态。
目录服务修复模式帐户管理
Windows LAPS 支持管理域控制器上的目录服务修复模式帐户 (DSRM) 密码。 本文中介绍的手动和自动帐户管理模式不适用于 DSRM 帐户。
另请参阅
后续步骤
在了解了不同的帐户管理模式后,下面可了解其他的部分。