Microsoft 資訊安全摘要報告 3062591

現在已提供「本機系統管理員密碼解決方案 (LAPS)」

發行日期：2015 年 5 月 1 日

版本： 1.0

提要

Microsoft 提供「本機系統管理員密碼解決方案 (LAPS)」，解決在網域中的每部電腦上使用具有完全相同密碼的一般帳戶時，所遇到的問題。LAPS 可解決此問題，方法是藉由為網域中每部電腦上的一般本機系統管理員帳戶設定不同、隨機的密碼。使用解決方案的網域系統管理員可以決定哪些使用者 (如技術服務系統管理員) 有權讀取密碼。

如果攻擊者使用遭到侵害的完全相同本機帳戶認證，將本機使用者/系統管理員的身分提高至網域/企業系統管理員，則可能會允許權限提高。有時候，在沒有網域存取的狀況下而需要登入，將必須要有本機系統管理員認證。在大環境中，密碼管理可以變得很複雜，導致造成較差的資訊安全實務，而這樣的環境大大地增加 Pass-the-Hash (PtH) 認證重新執行攻擊的風險。

LAPS 簡化密碼管理，同時幫助客戶實作對抗 cyberattacks 的建議防護動作。尤其是該解決方案會減輕橫向提高的風險，也就是當客戶在他們的電腦上使用相同系統管理員本機帳戶和密碼組合所造成的結果。

建議。 安裝 LAPS 以自動管理加入網域之電腦的本機系統管理員帳戶密碼，如此一來，每部受管理電腦的密碼都是唯一的、隨機產生的，以及集中儲存在 Active Directory 基礎結構中。

LAPS 會將每部電腦的本機系統管理員帳戶密碼儲存在 Active Directory 中，並使用電腦對應中的機密屬性。該電腦可在 Active Directory 中更新自有的密碼資料，而網域系統管理員可授予讀取權限給授權的使用者或群組，例如，工作站技術服務系統管理員。

解決方案建置在 Active Directory 基礎結構上，而且不需要其他支援的技術。LAPS 會使用安裝於受管理電腦上的群組原則用戶端延伸 (CSE) 執行所有的管理工作。解決方案的管理工具提供簡單的設定和管理。

如需更多資訊，請參閱：

• Microsoft 知識庫文章 3062591
• Microsoft 下載中心

摘要報告常見問題集

摘要報告的範圍為何？
針對加入 Active Directory 網域中的電腦。每個組織的網域系統管理員可決定哪些使用者 (如技術服務系統管理員) 有權讀取和重設密碼。

為什麼使用 LAPS，而不是其他密碼管理工具？
其他密碼管理工具一般會需要額外的硬體、信任協力廠商的產品，或使用不安全的做法，例如，管理密碼的 Excel 工作表。

LAPS 可以管理名稱不是「系統管理員」的本機系統管理員帳戶嗎？
是的。

使用 LAPS 來儲存和管理密碼的優點為何？
LAPS 提供有效率的方法執行下列項目：

• 定期隨機化本機系統管理員密碼，以確保在修改本機機密和密碼前，密碼成功更新至 Active Directory。
• 集中儲存現有 Active Directory 基礎結構中的機密資料。
• 透過 Active Directory 存取控制清單 (ACL) 權限來控制存取。
• 依預設，使用 Kerberos 第 5 版通訊協定和進階加密標準 (AES) 加密，以透過加密的方式將加密的密碼從電腦傳送至 Active Directory。

LAPS 客戶支援可透過 Microsoft 頂級支援服務取得。

LAPS 如何運作？
LAPS 解決方案的核心是 GPO 用戶端延伸 (CSE)，可執行下列工作，並且在 GPO 更新期間加強下列動作：

1. 檢查本機系統管理員帳戶的密碼是否已過期。
2. 當舊密碼到期或必須在到期前變更密碼前產生新密碼。
3. 根據密碼原則驗證新密碼。
4. 將密碼報告至 Active Directory，並將使用該電腦帳戶的密碼 (含機密屬性) 儲存在 Active Directory 中。
5. 將密碼的下次到期時間報告至 Active Directory，並將使用該電腦帳戶的密碼 (含機密屬性) 儲存在 Active Directory 中。
6. 變更系統管理員帳戶的密碼。

然後允許讀取密碼的使用者可從 Active Directory 讀取密碼。合格的使用者可以要求變更電腦的密碼。

LAPS 的功能有哪些？
LAPS 包含下列功能。

可讓您執行下列項目的安全性：

• 在受管理的電腦上隨機產生自動變更的密碼。
• 有效減輕仰賴完全相同之本機帳戶密碼的 PtH 攻擊。
• 透過使用 Kerberos 第 5 版通訊協定加密傳輸期間強制執行密碼保護。
• 使用存取控制清單 (Acl) 來保護在 Active Directory 中的密碼，並輕鬆地實作詳細的安全性模型。

可讓您執行下列項目的管理能力：

• 設定密碼的參數，包括期限、複雜度與長度。
• 強制重設每台機器的密碼。
• 使用在 Active Directory 中與 ACL 整合的安全性模型。
• 使用提供的任何屬於選擇、自訂工具的 Active Directory 管理工具，例如 Windows PowerShell。
• 防止電腦帳戶被刪除。
• 以最少的磁碟使用量輕鬆地實作解決方案。

解決方案的需求是什麼？
LAPS 包含下列的需求。

Active Directory：

• Windows Server 2003 Service Pack 1 (SP1) 或更新版本。

受管理的機器：

• Windows Server 2003 SP2 或更新版本，或 Windows Server 2003 x64 Edition SP2 或更新版本。

  注意 不支援 Itanium 型機器。

管理工具：

• .NET Framework 4.0
• Windows PowerShell 2.0 或更新版本

其他資訊

Microsoft 主動保護計畫 (MAPP)

為了增強客戶的資訊安全保護，Microsoft 將在每月發行安全性更新之前，提前向重要資訊安全軟體提供者提供資訊安全風險資訊。資訊安全軟體提供者可利用此資訊安全風險資訊，透過其資訊安全軟體或裝置 (如防毒軟體、網路入侵偵測系統、或主機入侵預防系統)，為客戶提供更新的保護措施。如果要判斷是否有資訊安全軟體提供者的主動保護可用，請造訪由 Microsoft 主動保護計畫 (MAPP) 合作夥伴 (英文) 上列出的計畫合作夥伴所提供的主動保護計畫網站。

意見反應

• 您可以填寫 Microsoft 技術支援服務表格 (客戶服務：與我們連絡) 來提供意見反應。

支援

• 美國及加拿大地區客戶可洽詢安全性支援以取得技術支援。如需更多資訊，請參閱Microsoft 說明及支援。
• 不同國家的客戶，可以從當地的 Microsoft 分公司取得支援。如需更多資訊，請參閱國際支援。
• Microsoft TechNet 資訊安全網站提供 Microsoft 產品安全性的其他相關資訊。

免責聲明

本摘要報告中的資訊係以其「現狀」提供，並不提供任何形式之擔保。Microsoft 不做任何明示或默示的責任擔保，包括適售性以及適合某特定用途之擔保責任。無論任何情況下的損害，Microsoft Corporation 及其供應商皆不負任何法律責任，包括直接、間接、偶發、衍生性、所失業務利益或特殊損害。即使 Microsoft Corporation 及其供應商已被告知此類損害的可能性亦不負任何責任。某些地區不允許排除及限制衍生性或附隨損害賠償責任，因此前述限制不適用於這些地區。

修訂

• V1.0 (2015 年 5 月 1 日)：摘要報告發行。

頁面產生時間：2015-05-01 11:07Z-07:00。