Режимы управления учетными записями Windows LAPS
Узнайте о различных режимах управления учетными записями, поддерживаемых решением пароля локального администратора Windows (Windows LAPS).
Внимание
Функция автоматического управления учетными записями Windows LAPS поддерживается только в выпусках Windows 11 24H2, Windows Server 2025 и более поздних версий.
Обзор
Основная цель Windows LAPS регулярно сменяет пароль локальной учетной записи Windows. Эта учетная запись может быть встроенной учетной записью администратора или пользовательской учетной записью. ИТ-администратор имеет два разных режима для настройки и управления целевой учетной записью: вручную и автоматически. Оба режима имеют свои плюсы и минусы.
Для управления целевой учетной записью доступны два разных режима.
Режим управления учетными записями вручную — это режим управления учетными записями по умолчанию. В ручном режиме ИТ-администратор отвечает за настройку всех аспектов управляемой учетной записи , кроме пароля, которым управляет Windows LAPS и управляет ими.
Режим автоматического управления учетными записями — это необязательный режим. В автоматическом режиме Windows LAPS отвечает за настройку всех аспектов управляемой учетной записи, включая базовое создание и удаление учетной записи при необходимости, а также пароль учетной записи.
Режим управления учетными записями вручную
Режим вручную — это режим по умолчанию. ИТ-администратор имеет выбор того, следует ли использовать встроенную учетную запись администратора или пользовательскую новую учетную запись. Этот выбор настраивается с помощью параметра политики AdministratorAccountName. Если параметр AdministratorAccountName пуст, управляемая встроенная учетная запись администратора, в противном случае AdministratorAccountName указывает имя настраиваемой локальной учетной записи.
Если указана пользовательская локальная учетная запись, ИТ-администратор отвечает за создание этой учетной записи перед включением Windows LAPS — Windows LAPS не создает учетную запись в этом режиме. Существует множество способов создания локальной учетной записи:
- Настройка CSP учетных записей
- Развертывание пользовательских сценариев управления на основе политик
- Добавление целевой учетной записи в базовый образ ОС.
Эти механизмы добавляют дополнительную сложность, которую можно избежать с помощью режима автоматического управления учетными записями.
В этом режиме пароль целевой учетной записи защищен от случайного или беспечного изменения. Разрешены все остальные изменения конфигурации учетной записи.
Режим автоматического управления учетными записями
Автоматический режим — это отключенный по умолчанию режим. После включения ИТ-администратор может выбрать следующие сведения о конфигурации:
- Назначение встроенной учетной записи администратора или настраиваемой учетной записи
- Имя учетной записи
- Включение или отключение учетной записи
- Выборка имени учетной записи
Сведения о конфигурации автоматической учетной записи
Если включен автоматический режим, управляемая учетная запись настроена следующим образом:
- Учетная запись выполняется участником локальной группы администраторов
- Параметр", не требующий пароля, отключен
- Флаг срока действия пароля не истекает
- Описание учетной записи изменяется, чтобы указать, что Windows LAPS управляет учетной записью.
Улучшения и рекомендации по обеспечению безопасности автоматического управления учетными записями
Как и любая учетная запись пользователя, локальные учетные записи Windows представляют собой потенциальный вектор уязвимостей для злоумышленников. Эта угроза также присутствует для управляемых windows LAPS учетных записей, хотя и устраняется в значительной степени с помощью высоко сложных паролей, созданных (и регулярно повернутых) windows LAPS. Автоматическое управление учетными записями предлагает два улучшения, которые могут дополнительно устранять угрозы, если для сред с высокой угрозой необходимо обеспечить более надежную защиту.
Во-первых, обслуживание управляемой учетной записи в отключенном состоянии полностью устраняет любые шансы, что учетная запись может быть целью распыления паролей или аналогичной атаки. Сохранение управляемой учетной записи в отключенном состоянии, однако, приводит к трению: для использования учетной записи необходимо включить управляемую учетную запись (с помощью групповой политики или управления политиками MDM).
Во-вторых, сохранение уникального имени управляемой учетной записи на устройство (с помощью случайности имени учетной записи) затрудняет работу злоумышленника. Вместо того чтобы заранее знать, какую учетную запись следует атаковать на всех устройствах, злоумышленник должен каким-то образом узнать имя учетной записи на заданном целевом устройстве. Здесь есть больше трений, так как ИТ-сотрудники должны быть обучены, чтобы не полагаться на знание общего имени управляемой учетной записи на уровне организации.
ИТ-администраторы, развертывающие Windows LAPS в критической среде безопасности, должны учитывать эти функции. Допустимо ли трение, введенное при внедрении этих функций, зависит от частоты использования управляемых windows LAPS учетных записей, а также требований к безопасности данной ИТ-среды.
Интеграция с локальными политиками управления учетными записями
Windows поддерживает несколько политик для управления членством в локальных группах Windows:
- CSP политики RestrictedGroups
- CSP политики LocalUsersAndGroups
- Локальные пользователи и группы (групповая политика)
- Ограниченные группы (групповая политика)
Каждая из приведенных выше политик поддерживает режим конфигурации, который можно использовать для принудительного удаления всех членов указанной локальной группы. Приведенные выше политики теперь игнорируют любую попытку удалить автоматически управляемую учетную запись Windows LAPS из локальной группы администраторов.
Защита от изменения учетной записи
Защита от изменения учетной записи расширяется в автоматическом режиме. Windows LAPS управляет всеми аспектами конфигурации автоматически управляемой учетной записи. Внешние попытки изменить управляемую учетную запись блокируются. ИТ-администраторы не должны создавать политики или сценарии, пытающиеся изменить управляемую учетную запись.
Windows LAPS отклоняет непредвиденные попытки изменить учетную запись с ошибкой STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) или ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Каждое отклонение имеет связанное событие в канале журнала событий Windows LAPS. События 10101-10104 регистрируются, соответствующие типу запроса на изменение (базовое изменение, изменение дескриптора безопасности, удаление или удаление из локальной группы администраторов).
Выбор режима
Режим вручную — это лучший вариант для ситуаций, требующих уникальной и\или подробной конфигурации целевой учетной записи.
Автоматический режим — это лучший вариант для ситуаций с менее подробными требованиями, например, для доступа к управляемой учетной записи и готовности к использованию в базовой конфигурации с правами администратора. Автоматический режим также поддерживает создание пользовательской учетной записи.
| Функция | Режим вручную | Автоматический режим |
|---|---|---|
| Пароль, контролируемый Windows LAPS | Да | Да |
| ИТ-администратор может настроить учетную запись | Да | Нет |
| Поддерживает автоматическое создание учетной записи | No | Да |
| Поддерживает автоматическое именование учетных записей | No | Да |
| Поддерживает автоматическое включение учетной записи\отключение | No | Да |
| Поддерживает автоматическую случайное использование имени учетной записи | No | Да |
| Поддержка интеграции с локальными политиками учетных записей | No | Да |
Внимание
Корпорация Майкрософт рекомендует клиентам всегда предпочитать режим автоматического управления учетными записями, за исключением тех (редких) ситуаций, которые требуют уникальной настройки целевой учетной записи управления. Кроме того, рекомендуется настроить режим автоматического управления учетными записями для создания пользовательской учетной записи и сохранить встроенную учетную запись администратора в отключенном состоянии.
Управление учетными записями в режиме восстановления служб каталогов
Windows LAPS поддерживает управление паролем учетной записи режима восстановления служб каталогов (DSRM) на контроллерах домена. Режимы управления вручную и автоматическими учетными записями, описанные в этой статье, не применяются к учетной записи DSRM.
См. также
Следующие шаги
Теперь, когда вы понимаете различные режимы управления учетными записями, ознакомьтесь с этими другими разделами.