使用 LAPS 管理本地管理员帐户密码

Active Directory 是一种集中式目录服务，它使用组策略管理域计算机和用户帐户以及设备配置。但除了域控制器 (DC) 之外，加入域的设备都会保留本地用户帐户。

在域环境中，在所有 PC 和服务器上共享相同密码的本地管理员帐户，或者不定期更改密码的本地管理员帐户可能会使设备暴露于传递哈希 PtH 攻击。虽然共享密码可以让 IT 人员轻松获得支持目的的访问权限，但一旦发现密码，黑客就可以在网络中横向移动并获得对更敏感凭据的访问权限，例如域管理员帐户。

一些组织通过在每台设备上分配不同的密码并将结果记录在电子表格或数据库中来降低与本地管理员帐户密码相关的风险。但该解决方案也有其问题，因为用于存储密码的文件需要得到适当的保护，并且分配的密码永远不会更改。

本地管理员密码解决方案

Microsoft 的 Windows 免费工具本地管理员密码解决方案 (LAPS) 向托管设备添加了组策略客户端扩展，允许将本地管理员帐户密码安全地存储在 Active Directory 中，并自动更改每 30 天或组织规定的其他时间范围。如有必要，IT 人员可以从 Active Directory 检索密码。

安装 LAPS 可以通过集中存储本地管理员帐户密码来帮助简化审核成员服务器和 PC，从而更轻松地管理整个网络的密码更改。该工具可以在此处下载，它在 Windows Vista 和 Windows Server 2003（或更高版本）上运行，并且需要 .NET Framework 4.0 和 PowerShell 2.0 或更高版本。

LAPS 如何运作？

LAPS 要求扩展 Active Directory 架构（Windows 2003 SP1 或更高版本）以支持两个新属性：ms-MCS-AdmPwd 和 ms-MCS-AdmPwdExpirationTime，用于存储属于配置的组策略对象 (GPO) 范围内的计算机对象的本地管理员密码和更改频率。值得注意的是，LAPS 支持管理内置管理员帐户、重命名的内置管理员帐户或 IT 创建的其他管理员帐户的密码。

LAPS 包含自己的 PowerShell 模块，其中包含用于更新 Active Directory 架构、设置新属性的权限以及读取 Active Directory 中存储的密码的 cmdlet。还有一个 GUI 工具，用于读取 AD 中存储的密码，但所有其他 LAPS 功能必须使用 PowerShell 执行。

LAPS 在计算机设置、策略、管理模板下添加了四个组策略设置，这些设置可在安装该工具的管理计算机上访问，并且包括设置密码长度和复杂性的功能，以及要管理的管理员帐户的名称（如果内置管理员帐户已被禁用）。

LAPS工具可以帮助防止什么样的攻击？

• 推卸责任
• 传递令牌
• 传递凭据
• 传递哈希