Windows LAPS에 대한 정책 설정 구성
Windows LAPS(Windows Local 관리istrator Password Solution)는 정책을 사용하여 제어할 수 있는 다양한 설정을 지원합니다. 설정 및 관리 방법에 대해 알아봅니다.
지원되는 정책 루트
권장하지는 않지만 여러 정책 관리 메커니즘을 사용하여 디바이스를 관리할 수 있습니다. 이해할 수 있고 예측 가능한 방식으로 이 시나리오를 지원하기 위해 각 Windows LAPS 정책 메커니즘에는 고유한 레지스트리 루트 키가 할당됩니다.
| 정책 이름 | 정책 레지스트리 키 루트 |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS 그룹 정책 | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| LAPS 로컬 구성 | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| 레거시 Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS는 맨 위에서 시작하여 아래로 이동하는 알려진 모든 레지스트리 키 정책 루트를 쿼리합니다. 루트 아래에 설정이 없으면 해당 루트를 건너뛰고 쿼리가 다음 루트로 진행됩니다. 명시적으로 정의된 설정이 하나 이상 있는 루트가 발견되면 해당 루트가 활성 정책으로 사용됩니다. 선택한 루트에 설정이 없으면 설정에 기본값이 할당됩니다.
정책 설정은 정책 키 루트 간에 공유되거나 상속되지 않습니다.
팁
완료를 위해 LAPS 로컬 구성 키가 앞의 표에 포함되어 있습니다. 필요한 경우 이 키를 사용할 수 있지만 키는 주로 테스트 및 개발에 사용됩니다. 이 키를 대상으로 하는 관리 도구 또는 정책 메커니즘이 없습니다.
BackupDirectory에서 지원되는 정책 설정
Windows LAPS는 다양한 정책 관리 솔루션을 통해 또는 레지스트리를 통해 직접 관리할 수 있는 여러 정책 설정을 지원합니다. 이러한 설정 중 일부는 Active Directory에 암호를 백업할 때만 적용되며, 일부 설정은 AD 및 Microsoft Entra 시나리오에 공통적으로 적용됩니다.
다음 표에서는 지정된 BackupDirectory 설정이 있는 디바이스에 적용되는 설정을 지정합니다.
| 설정 이름 | BackupDirectory=Microsoft Entra ID인 경우 적용 가능합니까? | BackupDirectory=AD에 적용할 수 있나요? |
|---|---|---|
| 관리istratorAccountName | 예 | 예 |
| PasswordAgeDays | 예 | 예 |
| PasswordLength | 예 | 예 |
| PassphraseLength | 예 | 예 |
| PasswordComplexity | 예 | 예 |
| PostAuthenticationResetDelay | 예 | 예 |
| PostAuthenticationActions | 예 | 예 |
| ADPasswordEncryptionEnabled | 예 | 예 |
| ADPasswordEncryptionPrincipal | 예 | 예 |
| ADEncryptedPasswordHistorySize | 예 | 예 |
| ADBackupDSRMPassword | 예 | 예 |
| PasswordExpirationProtectionEnabled | 예 | 예 |
| AutomaticAccountManagementEnabled | 예 | 예 |
| AutomaticAccountManagementTarget | 예 | 예 |
| AutomaticAccountManagementNameOrPrefix | 예 | 예 |
| AutomaticAccountManagementEnableAccount | 예 | 예 |
| AutomaticAccountManagementRandomizeName | 예 | 예 |
BackupDirectory를 사용 안 함으로 설정하면 다른 모든 설정이 무시됩니다.
모든 정책 관리 메커니즘을 사용하여 거의 모든 설정을 관리할 수 있습니다. Windows LAPS CSP(구성 서비스 공급자)에는 이 규칙에 대한 두 가지 예외가 있습니다. Windows LAPS CSP는 앞의 표에 없는 두 가지 설정인 ResetPassword 및 ResetPasswordStatus를 지원합니다. 또한 Windows LAPS CSP는 ADBackupDSRMPassword 설정을 지원하지 않습니다(기본 컨트롤러는 CSP를 통해 관리되지 않음). 자세한 내용은 LAPS CSP 설명서를 참조하세요.
Windows LAPS 그룹 정책
Windows LAPS에는 Active Directory do기본 조인 디바이스에서 정책 설정을 관리하는 데 사용할 수 있는 새 그룹 정책 개체가 포함되어 있습니다. Windows LAPS 그룹 정책에 액세스하려면 그룹 정책 관리 편집기에서 컴퓨터 구성>관리시제 템플릿>시스템>LAPS로 이동합니다. 다음 그림은 예를 보여 줍니다.
이 새 그룹 정책 개체에 대한 템플릿은 Windows의 %windir%\PolicyDefinitions\LAPS.admx일부로 설치됩니다.
그룹 정책 개체 중앙 저장소
Important
Windows LAPS GPO 템플릿 파일은 해당 접근 방식을 구현하도록 선택한 경우 Windows 업데이트 패치 작업의 일부로 GPO 중앙 저장소에 자동으로 복사되지 않습니다. 대신 LAPS.admx를 GPO 중앙 저장소 위치에 수동으로 복사해야 합니다. 중앙 저장소 만들기 및 관리를 참조하세요.
Windows LAPS CSP
Windows LAPS에는 Microsoft Entra 조인 디바이스에서 정책 설정을 관리하는 데 사용할 수 있는 특정 CSP가 포함되어 있습니다. Microsoft Intune을 사용하여 Windows LAPS CSP를 관리합니다.
정책 설정 적용
다음 섹션에서는 Windows LAPS에 대한 다양한 정책 설정을 사용하고 적용하는 방법을 설명합니다.
BackupDirectory
이 설정을 사용하여 관리되는 계정의 암호를 백업할 디렉터리를 제어할 수 있습니다.
| 값 | 설정 설명 |
|---|---|
| 0 | 사용 안 함(암호가 백업되지 않음) |
| 1 | Microsoft Entra 전용으로 암호 백업 |
| 2 | Windows Server Active Directory에만 암호 백업 |
지정하지 않으면 이 설정은 기본적으로 0(사용 안 함)으로 설정됩니다.
관리istratorAccountName
이 설정을 사용하여 관리되는 로컬 관리자 계정의 이름을 구성합니다.
지정하지 않으면 이 설정은 기본적으로 기본 제공 로컬 관리자 계정을 관리합니다.
Important
기본 제공 로컬 관리자 계정 이외의 계정을 관리하려는 경우가 아니면 이 설정을 지정하지 마세요. 로컬 관리자 계정은 잘 알려진 RID(상대 식별자)로 자동으로 식별됩니다.
Important
지정된 계정(기본 제공 또는 사용자 지정)을 사용하거나 사용하지 않도록 설정할 수 있습니다. Windows LAPS는 해당 계정의 암호를 어느 상태에서든 관리합니다. 그러나 비활성화된 상태로 남아 있는 경우 계정을 실제로 사용하려면 먼저 사용하도록 설정해야 합니다.
Important
사용자 지정 로컬 관리자 계정을 관리하도록 Windows LAPS를 구성하는 경우 계정이 만들어졌는지 확인해야 합니다. Windows LAPS는 계정을 만들지 않습니다.
Important
AutomaticAccountManagementEnabled를 사용하도록 설정하면 이 설정이 무시됩니다.
PasswordAgeDays
이 설정은 관리되는 로컬 관리자 계정의 최대 암호 사용 기간을 제어합니다. 지원되는 값은 다음과 같습니다.
- 최소: 1일(백업 디렉터리가 Microsoft Entra ID로 구성된 경우 최소값은 7일입니다.)
- 최대: 365일
지정하지 않으면 이 설정은 기본적으로 30일로 설정됩니다.
Important
PasswordAgeDays 정책 설정을 변경해도 현재 암호의 만료 시간에는 영향을 주지 않습니다. 마찬가지로 PasswordAgeDays 정책 설정을 변경해도 관리되는 디바이스가 암호 회전을 시작하지는 않습니다.
PasswordLength
이 설정을 사용하여 관리되는 로컬 관리자 계정의 암호 길이를 구성합니다. 지원되는 값은 다음과 같습니다.
- 최소: 8자
- 최대: 64자
지정하지 않으면 이 설정은 기본적으로 14자로 설정됩니다.
Important
PasswordLength를 관리되는 디바이스의 로컬 암호 정책과 호환되지 않는 값으로 구성하지 마세요. 이로 인해 Windows LAPS에서 호환되는 새 암호를 만들지 못했습니다(Windows LAP 이벤트 로그에서 10027 이벤트 찾기).
PasswordComplexity가 암호 옵션 중 하나로 구성되지 않는 한 PasswordLength 설정은 무시됩니다.
PassphraseLength
이 설정을 사용하여 관리되는 로컬 관리자 계정의 암호에 있는 단어 수를 구성합니다. 지원되는 값은 다음과 같습니다.
- 최소: 3단어
- 최대: 10단어
지정하지 않으면 이 설정은 기본적으로 6단어로 설정됩니다.
암호 옵션 중 하나로 PasswordComplexity를 구성하지 않으면 PassphraseLength 설정이 무시됩니다.
PasswordComplexity
이 설정을 사용하여 관리되는 로컬 관리자 계정의 필수 암호 복잡성을 구성하거나 암호를 만들도록 지정할 수 있습니다.
| 값 | 설정 설명 |
|---|---|
| 1 | 큰 글자 |
| 2 | 큰 글자 + 작은 글자 |
| 3 | 큰 문자 + 작은 문자 + 숫자 |
| 4 | 큰 문자 + 작은 문자 + 숫자 + 특수 문자 |
| 5 | 큰 문자 + 작은 문자 + 숫자 + 특수 문자(가독성 향상) |
| 6 | 암호(긴 단어) |
| 7 | 암호(짧은 단어) |
| 8 | 암호(고유한 접두사를 가진 짧은 단어) |
지정하지 않으면 이 설정은 기본적으로 4로 설정됩니다.
Important
Windows는 레거시 Microsoft LAPS와의 이전 버전과의 호환성을 위해서만 낮은 암호 복잡성 설정(1, 2 및 3)을 지원합니다. 이 설정은 항상 4로 구성하는 것이 좋습니다.
Important
관리되는 디바이스의 로컬 암호 정책과 호환되지 않는 설정으로 PasswordComplexity를 구성하지 마세요. 이로 인해 Windows LAPS에서 호환되는 새 암호를 만들지 못했습니다(Windows LAPS 이벤트 로그에서 10027 이벤트 찾기).
PasswordExpirationProtectionEnabled
이 설정을 사용하여 관리되는 로컬 관리자 계정에 대한 최대 암호 사용 기간 적용을 구성합니다.
지원되는 값은 1(True) 또는 0(False)입니다.
지정하지 않으면 이 설정은 기본적으로 1(True)로 설정됩니다.
팁
레거시 Microsoft LAPS 모드에서 이 설정은 이전 버전과의 호환성을 위해 기본적으로 False로 설정됩니다.
ADPasswordEncryptionEnabled
이 설정을 사용하여 Active Directory에서 암호 암호화를 사용하도록 설정합니다.
지원되는 값은 1(True) 또는 0(False)입니다.
Important
이 설정을 사용하려면 Active Directory가 do기본 Do기본 기능 수준 2016 이상에서 실행되어야 합니다.
ADPasswordEncryptionPrincipal
이 설정을 사용하여 Active Directory에 저장된 암호를 해독할 수 있는 사용자 또는 그룹의 이름 또는 SID(보안 식별자)를 구성합니다.
암호가 현재 Azure에 저장된 경우 이 설정은 무시됩니다.
지정하지 않으면 디바이스의 do기본 관리s 그룹의 멤버만 암호를 해독할 수 있습니다기본.
지정한 경우 지정된 사용자 또는 그룹은 Active Directory에 저장된 암호를 해독할 수 있습니다.
Important
이 설정에 저장된 문자열은 문자열 형식의 SID 또는 사용자 또는 그룹의 정규화된 이름입니다. 유효한 예는 다음과 같습니다.
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
SID 또는 사용자 또는 그룹 이름으로 식별된 보안 주체가 있어야 하며 디바이스에서 확인할 수 있습니다.
참고: 이 설정에 지정된 데이터는 있는 그대로 입력됩니다. 예를 들어 묶은 따옴표나 괄호를 추가하지 마세요.
ADPasswordEncryptionEnabled가 True로 구성되고 다른 모든 필수 구성 요소가 충족되지 않는 한 이 설정은 무시됩니다.
DSRM(Directory Services 복구 모드) 계정 암호가 do기본 컨트롤러에 백업되면 이 설정은 무시됩니다. 이 시나리오에서 이 설정은 항상 do기본 관리s 컨트롤러의 do기본 그룹기본 기본값으로 설정됩니다.
ADEncryptedPasswordHistorySize
이 설정을 사용하여 Active Directory에서 기억되는 이전 암호화된 암호 수를 구성합니다. 지원되는 값은 다음과 같습니다.
- 최소 : 암호 0개
- 최대: 암호 12개
지정하지 않으면 이 설정은 기본적으로 0개의 암호(사용 안 함)로 설정됩니다.
Important
ADPasswordEncryptionEnabled가 True로 구성되고 다른 모든 필수 구성 요소가 충족되지 않는 한 이 설정은 무시됩니다.
이 설정은 DSRM 암호를 백업하는 기본 컨트롤러에도 적용됩니다.
ADBackupDSRMPassword
이 설정을 사용하여 Windows Server Active Directory do기본 컨트롤러에서 DSRM 계정 암호의 백업을 사용하도록 설정합니다.
지원되는 값은 1(True) 또는 0(False)입니다.
이 설정은 기본적으로 0(False)입니다.
Important
ADPasswordEncryptionEnabled가 True로 구성되고 다른 모든 필수 구성 요소가 충족되지 않는 한 이 설정은 무시됩니다.
PostAuthenticationResetDelay
이 설정을 사용하여 지정된 인증 후 작업을 실행하기 전에 인증 후 대기할 시간(시간)을 지정합니다(PostAuthenticationActions 참조). 지원되는 값은 다음과 같습니다.
- 최소 : 0시간(이 값을 0으로 설정하면 모든 인증 후 작업을 사용하지 않도록 설정)
- 최대: 24시간
지정하지 않으면 이 설정은 기본적으로 24시간으로 설정됩니다.
PostAuthenticationActions
이 설정을 사용하여 구성된 유예 기간이 만료될 때 수행할 작업을 지정합니다(PostAuthenticationResetDelay 참조).
이 설정은 다음 값 중 하나를 가질 수 있습니다.
| 값 | 속성 | 유예 기간이 만료되는 경우 수행되는 작업 | 설명 |
|---|---|---|---|
| 1 | 암호 다시 설정 | 관리되는 계정 암호가 다시 설정됩니다. | |
| 3 | 암호 재설정 및 로그아웃 | 관리 계정 암호가 다시 설정되고, 관리되는 계정을 사용하는 대화형 로그인 세션이 종료되고, 관리되는 계정을 사용하는 SMB 세션이 삭제됩니다. | 대화형 로그인 세션은 구성 불가능한 2분 경고를 수신하여 작업을 저장하고 로그아웃합니다. |
| 5 | 암호 재설정 및 다시 부팅 | 관리되는 계정 암호가 다시 설정되고 관리되는 디바이스가 다시 시작됩니다. | 관리되는 디바이스는 구성할 수 없는 1분 지연 후에 다시 시작됩니다. |
| 11 | 암호 재설정 및 로그아웃 | 관리 계정 암호가 다시 설정되고, 관리 계정을 사용하는 대화형 로그인 세션이 종료되고, 관리 계정을 사용하는 SMB 세션이 삭제되고, 관리 계정 ID에서 실행되는 재기본 프로세스는 종료됩니다. | 대화형 로그인 세션은 구성 불가능한 2분 경고를 수신하여 작업을 저장하고 로그아웃합니다. |
지정하지 않으면 이 설정은 기본적으로 3으로 설정됩니다.
Important
허용되는 인증 후 작업은 다시 설정하기 전에 Windows LAPS 암호를 사용할 수 있는 시간을 제한하기 위한 것입니다. 관리되는 계정에서 로그아웃하거나 디바이스를 다시 시작하는 것은 시간이 제한된지 확인하는 데 도움이 되는 옵션입니다. 로그인한 세션을 갑자기 종료하거나 디바이스를 다시 시작하면 데이터가 손실될 수 있습니다.
보안 관점에서 유효한 Windows LAPS 암호를 사용하여 디바이스에서 관리 권한을 획득하는 악의적인 사용자는 이러한 메커니즘을 방지하거나 우회할 수 있는 궁극적인 기능을 갖습니다.
Important
PostAuthenticationActions 값 11은 Windows Server 2025 이상에서 지원됩니다.
AutomaticAccountManagementEnabled
자동 계정 관리를 사용하려면 이 설정을 사용합니다.
지원되는 값은 1(True) 또는 0(False)입니다.
이 설정은 기본적으로 0(False)입니다.
AutomaticAccountManagementTarget
이 설정을 사용하여 기본 제공 관리istrator 계정이 자동으로 관리되는지 또는 새 사용자 지정 계정을 관리할지 여부를 지정합니다.
| 값 | 설정 설명 |
|---|---|
| 0 | 기본 제공 관리istrator 계정 자동 관리 |
| 1 | 새 사용자 지정 계정 자동 관리 |
이 설정은 기본적으로 1입니다.
AutomaticAccountManagementEnabled를 사용하지 않는 한 이 설정은 무시됩니다.
AutomaticAccountManagementNameOrPrefix
자동으로 관리되는 계정의 이름 또는 이름 접두사를 지정하려면 이 설정을 사용합니다.
이 설정은 기본적으로 "WLaps관리"로 설정됩니다.
AutomaticAccountManagementEnabled를 사용하지 않는 한 이 설정은 무시됩니다.
AutomaticAccountManagementEnableAccount
자동으로 관리되는 계정을 사용하거나 사용하지 않도록 설정하려면 이 설정을 사용합니다.
| 값 | 설정 설명 |
|---|---|
| 0 | 자동으로 관리되는 계정 사용 안 함 |
| 1 | 자동으로 관리되는 계정 사용 |
이 설정은 기본적으로 0입니다.
AutomaticAccountManagementEnabled를 사용하지 않는 한 이 설정은 무시됩니다.
AutomaticAccountManagementRandomizeName
이 설정을 사용하여 자동으로 관리되는 계정의 이름을 임의로 설정할 수 있습니다.
이 설정을 사용하도록 설정하면 암호가 회전될 때마다 관리 계정 이름(AutomaticAccountManagementNameOrPrefix 설정에 의해 결정됨)에 임의의 6자리 접미사가 접미사가 추가됩니다.
Windows 로컬 계정 이름은 최대 길이가 20자입니다. 즉, 이름 구성 요소는 임의의 접미사를 위한 충분한 공간을 갖기 위해 최대 14자 길이여야 합니다. 14자보다 긴 AutomaticAccountManagementNameOrPrefix로 지정된 계정 이름은 잘립니다.
| 값 | 설정 설명 |
|---|---|
| 0 | 자동으로 관리되는 계정의 이름을 임의로 지정하지 마세요. |
| 1 | 자동으로 관리되는 계정의 이름을 임의로 지정합니다. |
이 설정은 기본적으로 0입니다.
AutomaticAccountManagementEnabled를 사용하지 않는 한 이 설정은 무시됩니다.