Windows 本機系統管理員密碼解決方案 (Windows LAPS) 是一項原生內建於 Windows 的安全功能,旨在自動管理與備份已加入 Microsoft Entra ID 或 Windows Server Active Directory (AD) 之裝置上的本機系統管理員帳戶密碼。該方案的核心價值在於透過定期、隨機化的密碼輪替,有效防範「雜湊傳遞」(Pass-the-Hash) 與「橫向遍歷」攻擊。
核心要點:
- 平台支援: 適用於 Windows 10/11、Windows Server 2019/2022,以及最新的 Windows Server 2025。
- 管理模式: 區分為「手動」與「自動」帳戶管理模式(自動模式為 Windows 11 24H2 及 Server 2025 起之新功能)。
- 備份路徑: 支援將密碼安全地存儲於雲端 (Microsoft Entra ID) 或內部部署 (Active Directory)。
- 安全性增強: 包含密碼加密、通行短語 (Passphrase) 支援、驗證後自動重設、以及針對作業系統影像復原的損毀偵測。
- 原生集成: Windows LAPS 已內建於作業系統中,無法卸載,並透過 LAPS PowerShell 模組與專屬事件記錄通道進行管理。
1. 系統架構與核心概念
Windows LAPS 的運作由數個關鍵二進位檔案組成:laps.dll (核心邏輯)、lapscsp.dll (組態服務提供者) 以及 lapspsh.dll (PowerShell 指令程式)。
1.1 原則處理機制
- 背景週期: Windows LAPS 使用內建的背景工作,每小時自動喚醒一次以處理原則。此週期硬編碼於系統中,不可透過工作排程器修改。
- 到期檢查差異:Microsoft Entra ID: 裝置在本地端維護到期時間,不會主動輪詢雲端。Active Directory: 裝置會定期輪詢 AD 目錄以查詢最新的到期時間。
- 手動觸發: 系統管理員可透過 gpupdate /force 或執行 Invoke-LapsPolicyProcessing 立即啟動處理週期。
1.2 帳戶竄改保護
一旦帳戶受 Windows LAPS 管理,系統會拒絕任何非 Windows LAPS 發起的密碼修改嘗試。若偵測到外部嘗試,系統會回傳 STATUS_POLICY_CONTROLLED_ACCOUNT 錯誤。
--------------------------------------------------------------------------------
2. 帳戶管理模式
IT 管理員可根據安全性需求選擇不同的帳戶管理模式。
2.1 手動帳戶管理 (預設模式)
- 範圍: 管理內建管理員帳戶或已存在的自訂帳戶。
- 責任: 管理員需自行建立自訂帳戶,Windows LAPS 僅負責「密碼」的輪替與保護。
2.2 自動帳戶管理
- 適用平台: 僅限 Windows 11 24H2、Windows Server 2025 及更高版本。
- 功能: Windows LAPS 負責帳戶的全生命週期管理,包括建立、刪除、帳戶名稱隨機化、以及啟用/停用帳戶。
- 安全性優勢:
隨機名稱: 每個裝置擁有唯一的帳戶名稱,增加攻擊難度。
停用狀態維護: 可將管理帳戶保持在停用狀態,僅在需要時啟用,消除密碼噴灑攻擊的風險。
--------------------------------------------------------------------------------
3. 密碼與通行短語組態
Windows LAPS 支援高度自訂的隨機認證字串產生規則。
3.1 密碼複雜度 (Password Complexity)
支援五種層級的密碼設定,包含大寫、小寫、數字及特殊字元。
- 設定值 5: 專為提高可讀性設計,移除了易混淆字元(如 I, O, Q, l, o, 0, 1)及部分特殊符號。
3.2 通行短語 (Passphrases)
自 Windows 11 24H2 起支援。通行短語由數個單字組成(預設 6 個單字,可設定 3-10 個),具備高熵值且較易於人類閱讀與輸入。單字清單源自電子邊境基金會 (EFF)。
設定值描述範例
設定值4 大寫+小寫+數字+特殊字元 P5QWg43.1lA}ra
設定值6 通行短語 (長單字) SedimentWaffleEpilogueArrivalWorseningRecent
設定值8 通行短語 (具唯一前綴短字) GongDazzlerNumbingAdmitMowerEvidence
--------------------------------------------------------------------------------
4. 目錄存儲與安全性
4.1 Windows Server Active Directory (AD)
- 架構延伸: 必須執行 Update-LapsADSchema 擴充架構屬性(如 msLAPS-Password)。
- 密碼加密: 當網域功能等級 (DFL) 為 2016 以上時,支援使用 CNG DPAPI 進行密碼加密。加密後的密碼僅限特定的安全性主體(預設為 Domain Admins)解密。
- 密碼歷程記錄: 僅在啟用加密時支援,最多可記錄 12 組舊密碼。
- DSRM 支援: 可管理網域控制站上的目錄服務修復模式 (DSRM) 帳戶。
4.2 Microsoft Entra ID
- 傳輸保護: 密碼透過 HTTPS 傳送,並在雲端使用 AES-256 進行加密儲存。
- 存取控制: 預設僅限「全域管理員」、「雲端裝置管理員」及「Intune 管理員」等角色擷取純文字密碼。
- 不相依性: Windows LAPS 不依賴 Microsoft Entra Connect 進行同步。
--------------------------------------------------------------------------------
5. 管理工具與診斷
5.1 PowerShell 指令程式
LAPS 模組提供了完整的管理指令。
指令名稱功能描述
Get-LapsAADPassword查詢 Microsoft Entra ID 中的密碼。
Get-LapsADPassword查詢 Active Directory 中的密碼。
Reset-LapsPassword立即觸發密碼輪替。
Update-LapsADSchema擴充 AD 架構屬性。
Get-LapsDiagnostics收集診斷資訊以調查問題。
5.2 事件記錄與監控
所有作業皆記錄於:應用程式和服務記錄 > Microsoft > Windows > LAPS > 作業。
- 10003/10004: 原則處理開始/成功。
- 10018/10029: AD 或 Entra ID 密碼更新成功。
- 10031: 外部修改要求被封鎖。
- 10041/10042: 偵測到成功驗證及驗證後寬限期到期。
5.3 驗證後動作 (Post-Authentication Actions)
當偵測到受管帳戶登入時,可觸發自動化動作:
- 重設密碼: 寬限期(1-24 小時)結束後重設密碼。
- 重設密碼並登出: 終止所有互動式與 SMB 工作階段。
- 重設密碼並重新開機: 強制裝置重啟以確保安全性。
--------------------------------------------------------------------------------
6. 舊版遷移與並存限制
- 模擬模式: Windows LAPS 支援「舊版 Microsoft LAPS 模擬模式」,可接受舊有的 AdmPwd.PS 原則,但僅限於純文字存儲於 AD。
- 並存原則: 若裝置同時存在新舊原則,Windows LAPS 原則永遠擁有最高優先權。
- 遷移建議: Microsoft 強烈建議客戶從舊版 LAPS 遷移至原生 Windows LAPS。若需並存,必須確保兩者管理不同的本機帳戶,否則會發生衝突並導致 Windows LAPS 封鎖外部修改。
- 影像復原偵測: 在 Windows 11 24H2 中,LAPS 會透過 msLAPS-CurrentPasswordVersion (GUID) 偵測 OS 影像是否被還原至舊快照,若偵測到 GUID 不符,將立即強制輪替密碼以解決目錄與本機密碼不一致的問題。
