Microsoft 安全公告 3062591

本地管理员密码解决方案 (LAPS) 现已提供

发布日期： 2015 年 5 月 1 日

版本： 1.0

执行摘要

Microsoft 提供了本地管理员密码解决方案 (LAPS)，为以下问题提供了解决方案：在域中的每台计算机上使用共有的本地帐户和同一密码。 LAPS 针对域中的每台计算机上的公共本地管理员帐户设置一个不同的随机密码，从而解决了这一问题。 使用此解决方案的域管理员可以确定有权读取密码的用户（如支持人员管理员）。

如果攻击者使用遭受破坏的同一本地帐户凭据从本地用户/管理员提升至域/企业管理员，则这些凭据可能允许特权提升。 如果不需要通过域访问权限登录，则必须具有本地管理员凭据。 在大型环境中，密码管理会变得非常复杂，这将导致不符合最佳安全操作，此类环境极大地增加了哈希传递（Pass-the-Hash，简称PtH）凭据发起重播攻击的风险。

LAPS 可简化密码管理，同时帮助客户实现针对网络攻击的推荐防御。 尤其是，这一解决方案降低了客户在其计算机上使用相同的本地管理帐户和密码组合带来的横向提升权限的风险。

**推荐。**安装 LAPS 以在加入域的计算机上自动管理本地管理员帐户密码，这样一来，每台被管理的计算机都具有唯一的密码，此密码随机生成并集中存储在 Active Directory 基础结构中。

LAPS 在 Active Directory 中存储每台计算机的本地管理员帐户的密码，具体位于计算机对应的 Active Directory 对象的机密属性中。 允许计算机在 Active Directory 中更新自己的密码，域管理员可以向授权用户或组（如工作站支持人员管理员）授予读取访问权限。

此解决方案基于 Active Directory 基础结构来构建，无需使用其他支持技术。 LAPS 使用您在被管理的计算机上安装的组策略客户端扩展插件 (CSE) 来执行所有管理任务。 解决方案的管理工具提供简易的配置和管理功能。

有关详细信息，请参阅：

• Microsoft 知识库文章 3062591
• Microsoft 下载中心

公告常见问题

此公告的适用范围有多大？
适用于加入 Active Directory 域的计算机。 每个组织的域管理员可以确定有权读取和重置密码的用户（如支持人员管理员）。

为什么使用 LAPS 而不使用其他密码管理器？
通常，其他的密码管理器要么需要额外的硬件、信任第三方产品，要么需要使用其他非安全操作，如管理密码的 Excel 电子表格。

LAPS 能否管理未命名为“管理员”的本地管理员帐户？
可以。

使用 LAPS 存储和管理密码有哪些好处？
LAPS 提供简化方法来实现以下功能：

• 定期随机生成本地管理员密码，确保先将密码成功地更新到 Active Directory，然后再修改本地机密和密码。
• 在现有 Active Directory 基础结构中集中存储机密。
• 通过 Active Directory 访问控制列表 (ACL) 的权限控制访问权限。
• 默认情况下，通过使用 Kerberos 版本 5 协议和高级加密标准 (AES) 加密实现的加密将加密密码从计算机传输到 Active Directory。

通过 Microsoft 顶级支持服务为 LAPS 客户提供支持。

LAPS 的工作原理是什么？
LAPS 解决方案的核心是 GPO 客户端扩展插件 (CSE)，它能够执行以下任务，并在 GPO 更新期间强制执行以下操作：

1. 检查本地管理员帐户的密码是否已过期。
2. 在旧密码已过期或需要在过期前进行更改时，生成新密码。
3. 根据密码策略验证新密码。
4. 向 Active Directory 报告此密码，并使用 Active Directory 中计算机帐户的机密属性进行存储。
5. 向 Active Directory 报告密码的下一次过期时间，并使用 Active Directory 中计算机帐户的某个属性来存储此密码。
6. 更改管理员帐户的密码。

然后，允许读取密码的用户可以从 Active Directory 进行读取。 符合条件的用户可以请求更改某台计算机的密码。

LAPS 有哪些功能？
LAPS 包含以下功能。

安全性，具体提供以下功能：

• 随机生成密码，该密码可在被管理的计算机上自动更改。
• 有效地减少了 PtH 攻击。
• 通过使用 Kerberos 版本 5 协议实现的加密，在传输期间强制执行密码保护。
• 使用访问控制列表 (ACL) 保护 Active Directory 中的密码，轻松地实现详细的安全模式。

可管理性，具体提供以下功能：

• 配置密码参数，包括期限、复杂性和长度。
• 强制针对每台计算机执行密码重置。
• 使用与 Active Directory 中的 ACL 集成的安全模式。
• 使用任何选定的 Active Directory 管理工具和提供的自定义工具，如 Windows PowerShell。
• 防止删除计算机帐户。
• 使用最小的空间轻松地实现此解决方案。

此解决方案有什么要求？
LAPS 包含以下要求。

Active Directory：

• Windows Server 2003 Service Pack 1 (SP1) 或更高版本。

被管理的计算机：

• Windows Server 2003 SP2 或更高版本，或 Windows Server 2003 x64 Edition SP2 或更高版本。

  注意 不支持基于 Itanium 的计算机。

管理工具：

• .NET Framework 4.0
• Windows PowerShell 2.0 或更高版本

其他信息

Microsoft Active Protections Program (MAPP)

为改进客户的安全保护，Microsoft 在发布每月安全更新之前将向主要的安全软件供应商提供漏洞信息。 然后，安全软件供应商可以使用该漏洞信息通过其安全软件或者设备向客户提供更新的保护，例如防病毒、基于网络的入侵检测系统或者基于主机的入侵防止系统。 要确定是否可从安全软件供应商处得到活动保护，请访问计划合作伙伴（在 Microsoft Active Protections Program (MAPP) 合作伙伴中列出）提供的活动保护网站。

反馈

• 您可以通过填写 Microsoft 帮助和支持表“客户服务联系我们”提供反馈。

支持

• 美国和加拿大的客户可以从安全支持获得技术支持。 有关详细信息，请参阅 Microsoft 帮助和支持。
• 国际客户可从当地的 Microsoft 分公司获得支持。 有关详细信息，请参阅国际支持。
• Microsoft TechNet 安全提供有关 Microsoft 产品中安全性的其他信息。

免责声明

本通报中提供的信息“按原样”提供，没有任何形式的担保。 Microsoft 不作任何明示或暗示保证，包括对适销性和针对特定目的的适用性的保证。 Microsoft Corporation 或其供应商不对任何损害（包括直接的、间接的、偶然的、必然的损害，商业利润损失，或特殊损害）承担任何责任，即使 Microsoft Corporation 或其供应商事先已被告知有可能发生此类损害。 有些州不允许排除或限制必然或偶然损害的赔偿责任，因此上述限制可能不适用。

修订版本

• V1.0（2015 年 5 月 1 日： 已发布公告。

页面生成时间 2015-05-01 11:07Z-07:00。