Mode manajemen akun Windows LAPS
Pelajari tentang berbagai mode manajemen akun yang didukung oleh Windows Local Administrator Password Solution (Windows LAPS).
Penting
Fitur manajemen akun otomatis Windows LAPS hanya didukung di Windows 11 24H2, Windows Server 2025 dan rilis yang lebih baru.
Gambaran Umum
Tujuan utama Windows LAPS secara teratur memutar kata sandi akun Windows lokal. Akun ini dapat berupa akun Administrator bawaan, atau akun baru kustom. Admin TI memiliki dua mode berbeda untuk dipilih untuk mengonfigurasi dan mengelola akun target: manual dan otomatis. Kedua mode memiliki pro dan kontra mereka.
Ada dua mode berbeda yang tersedia untuk mengelola akun target.
Mode manajemen akun manual adalah mode default. Dalam mode manual, admin TI bertanggung jawab atas konfigurasi semua aspek akun terkelola kecuali kata sandi, yang dikelola dan dikontrol windows LAPS.
Mode manajemen akun otomatis adalah mode opsional. Dalam mode otomatis, Windows LAPS bertanggung jawab atas konfigurasi semua aspek akun terkelola, termasuk pembuatan dan penghapusan akun dasar sesuai kebutuhan, ditambah kata sandi akun.
Mode manajemen akun manual
Mode manual adalah mode default. Admin TI memiliki pilihan apakah akan menargetkan akun Administrator bawaan, atau akun baru kustom. Pilihan ini dikonfigurasi melalui pengaturan kebijakan AdministratorAccountName. Jika pengaturan AdministratorAccountName kosong, akun Administrator bawaan dikelola, jika tidak, AdministratorAccountName menentukan nama akun lokal kustom.
Ketika akun lokal kustom ditentukan, admin TI bertanggung jawab untuk membuat akun tersebut sebelum mengaktifkan Windows LAPS - Windows LAPS tidak membuat akun dalam mode ini. Ada banyak cara untuk membuat akun lokal:
- Mengonfigurasi CSP Akun
- Menyebarkan skrip manajemen berbasis kebijakan kustom
- Menambahkan akun target ke gambar OS dasar.
Mekanisme ini menambahkan kompleksitas ekstra yang dapat dihindari dengan menggunakan mode Manajemen akun otomatis.
Dalam mode ini, kata sandi akun target dilindungi dari perubahan yang tidak disengaja atau ceroboh. Semua perubahan konfigurasi akun lainnya diizinkan.
Mode manajemen akun otomatis
Mode otomatis adalah mode non-default. Setelah diaktifkan, admin TI dapat memilih dari detail konfigurasi berikut:
- Apakah akan menargetkan akun Administrator bawaan atau akun baru kustom
- Nama akun
- Apakah akan mengaktifkan atau menonaktifkan akun
- Apakah akan mengacak nama akun
Detail konfigurasi akun otomatis
Saat mode otomatis diaktifkan, akun terkelola dikonfigurasi sebagai berikut:
- Akun ini dijadikan anggota grup Administrator lokal
- Pengaturan yang tidak diperlukan kata sandi dinonaktifkan
- Bendera yang tidak pernah kedaluwarsa kata sandi dinonaktifkan
- Deskripsi akun dimodifikasi untuk menunjukkan bahwa Windows LAPS mengontrol akun
Peningkatan dan pertimbangan keamanan manajemen akun otomatis
Seperti akun pengguna lainnya, akun lokal Windows mewakili vektor kerentanan potensial untuk penyerang. Ancaman ini juga ada untuk akun yang dikelola Windows LAPS, meskipun dimitigasi ke tingkat besar oleh kata sandi yang sangat kompleks yang dihasilkan (dan diputar secara teratur) oleh Windows LAPS. Manajemen akun otomatis menawarkan dua peningkatan yang dapat memitigasi ancaman lebih lanjut ketika lebih banyak jaminan diinginkan untuk lingkungan ancaman tinggi.
Pertama, mempertahankan akun terkelola dalam keadaan dinonaktifkan sepenuhnya menghilangkan kemungkinan akun tersebut dapat menjadi target semprotan kata sandi atau serangan serupa. Menjaga akun terkelola dalam status dinonaktifkan namun menimbulkan gesekan: akun terkelola harus diaktifkan (melalui manipulasi kebijakan GPO atau MDM) sebelum akun dapat digunakan.
Kedua, mempertahankan nama akun terkelola unik per perangkat (melalui pengacakan nama akun) membuat pekerjaan penyerang lebih sulit. Alih-alih mengetahui terlebih dahulu akun mana yang akan diserang pada semua perangkat, penyerang entah bagaimana harus mencari tahu nama akun pada perangkat target tertentu. Ada lebih banyak gesekan di sini juga karena staf TI harus dilatih untuk tidak mengandalkan mengetahui nama akun terkelola umum di seluruh organisasi.
Admin TI yang menyebarkan Windows LAPS di lingkungan penting keamanan harus mempertimbangkan fitur-fitur ini. Apakah gesekan yang diperkenalkan dengan mengadopsi fitur ini dapat diterima tergantung pada seberapa sering akun yang dikelola Windows LAPS perlu digunakan, ditambah persyaratan keamanan lingkungan IT tertentu.
Integrasi dengan kebijakan manajemen akun lokal
Windows mendukung beberapa kebijakan untuk mengelola keanggotaan grup lokal Windows:
- CSP Kebijakan RestrictedGroups
- LocalUsersAndGroups Policy CSP
- Pengguna dan Grup Lokal (Kebijakan Grup)
- Grup Terbatas (Kebijakan Grup)
Setiap kebijakan di atas mendukung mode konfigurasi yang dapat digunakan untuk memaksa penghapusan semua anggota grup lokal tertentu. Kebijakan di atas sekarang mengabaikan upaya untuk menghapus akun terkelola Windows LAPS secara otomatis dari grup Administrator lokal.
Perlindungan perubah akun
Perlindungan perusakan akun diperluas dalam mode otomatis. Windows LAPS mengontrol semua aspek konfigurasi dari akun yang dikelola secara otomatis. Upaya eksternal untuk mengubah akun terkelola diblokir. Admin TI tidak boleh menulis kebijakan atau skrip yang mencoba mengubah akun terkelola.
Windows LAPS menolak upaya tak terduga untuk mengubah akun dengan STATUS_POLICY_CONTROLLED_ACCOUNT kesalahan (0xC000A08B) atau ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Setiap penolakan memiliki peristiwa terkait di saluran log peristiwa Windows LAPS. Peristiwa 10101-10104 dicatat, sesuai dengan jenis modifikasi apa yang diminta (modifikasi dasar, modifikasi deskriptor keamanan, penghapusan, atau penghapusan dari grup Administrator lokal).
Memilih mode
Mode manual adalah pilihan terbaik untuk situasi yang memerlukan konfigurasi unik dan\atau terperinci dari akun target.
Mode otomatis adalah pilihan terbaik untuk situasi dengan persyaratan yang kurang terperinci, misalnya Anda hanya memerlukan akun terkelola untuk tersedia dan siap digunakan dalam konfigurasi dasar dengan hak istimewa Administrator. Mode otomatis juga mendukung pembuatan akun baru kustom.
| Fitur | Mode manual | Mode otomatis |
|---|---|---|
| Kata sandi yang dikontrol oleh Windows LAPS | Ya | Ya |
| Admin TI dapat menyesuaikan akun | Ya | Tidak |
| Mendukung pembuatan akun otomatis | Tidak | Ya |
| Mendukung penamaan akun otomatis | Tidak | Ya |
| Mendukung pengaktifan\penonaktifan akun otomatis | Tidak | Ya |
| Mendukung pengacakan nama akun otomatis | Tidak | Ya |
| Mendukung integrasi dengan kebijakan akun lokal | Tidak | Ya |
Penting
Microsoft menyarankan agar pelanggan lebih memilih mode manajemen akun otomatis setiap saat, kecuali untuk situasi (jarang) yang memerlukan konfigurasi unik akun manajemen target. Lebih lanjut disarankan agar mode manajemen akun otomatis dikonfigurasi untuk membuat\menargetkan akun kustom, dan akun Administrator bawaan dibiarkan tidak digunakan dan dipertahankan dalam status dinonaktifkan.
Manajemen akun Mode Perbaikan Layanan Direktori
Windows LAPS mendukung pengelolaan kata sandi akun Mode Perbaikan Layanan Direktori (DSRM) pada pengendali domain. Mode manajemen akun manual dan otomatis yang dijelaskan dalam artikel ini tidak berlaku untuk akun DSRM.
Lihat juga
Langkah berikutnya
Sekarang setelah Anda memahami berbagai mode manajemen akun, lihat bagian lain ini.