안녕하세요 Joon Min
Windows LAPS는 로컬 관리자 암호를 단순히 레지스트리에 저장하지 않고, 훨씬 더 안전한 방식으로 처리합니다. 먼저 암호 생성 단계에서 각 장치가 고유하고 복잡한 랜덤 암호를 만들어내며, 이 암호는 평문으로 노출되지 않습니다. 로컬에 저장될 때도 보호 메커니즘을 통해 접근이 제한되고, Entra ID나 AD로 업로드될 때는 HTTPS/TLS 같은 암호화된 전송 채널을 사용합니다.
업로드된 암호는 AD에서는 ACL로 보호되는 비공개 속성에 저장되고, Entra ID에서는 RBAC 권한과 감사 로그를 통해 관리됩니다. 또한 자동 회전 정책을 적용해 암호가 주기적으로 갱신되므로, 재사용이나 장기 노출 위험을 줄일 수 있습니다. 문제점이라면, 접근 권한을 잘못 설정하면 불필요하게 많은 관리자가 암호를 볼 수 있다는 점과, 기존 레거시 스크립트가 더 이상 레지스트리 기반 암호를 찾을 수 없다는 점 정도가 있습니다.
즉, LAPS는 강력한 암호화, 안전한 전송, 디렉터리 수준의 접근 제어를 통해 로컬 암호를 보호합니다. 이 설명이 도움이 되었다면 accept answer를 눌러 주시면 좋겠습니다.