超级会员免费看
企业 Windows 系统安全管理全攻略
1. 本地管理员密码解决方案
在所有加入域的计算机上为本地管理员账户配置单一密码存在很高的安全风险,可能被用于广泛攻击,如安装恶意软件、提升权限或访问敏感文件。为解决此问题,微软提供了本地管理员密码解决方案(LAPS)。
1.1 LAPS 工作原理
LAPS 通过为域内每台计算机设置不同的随机密码,并将这些密码存储在活动目录(AD)中来工作。管理员可以选择谁能够访问这些密码以支持对 PC 的管理。该解决方案内置于 AD 中,无需其他支持技术或许可证。LAPS 使用组策略客户端扩展(CSE),你需要在受管理的计算机上安装此扩展来执行所有管理任务,其管理工具提供了便捷的配置和管理功能。
1.2 配置组策略设置
配置完成后,你可以创建组策略设置来启用本地管理员密码管理,并控制密码设置的配置:
| 设置项 | 详情 |
| — | — |
| 密码设置(必填) | 生成新密码时使用的字符:默认包括大写字母、小写字母、数字和特殊字符;密码长度:最小 8 个字符,最大 64 个字符,默认 14 个字符;密码有效期(天):最小 1 天,最大 365 天,默认 30 天。 |
| 要管理的管理员账户名称(可选) | 使用内置管理员账户时无需配置,内置管理员账户可通过知名 SID 自动检测,即使重命名也能识别;使用自定义本地管理员账户时需要配置。 |
| 不允许密码过期时间超过策略要求 | 启用此设置时,不允许计划的密码过期时间超过密码设置策略规定的密码有效期。检测到此类过期情况时,密码将立即更改,并根据策略设置密码过期时间。禁用或不配置此设置时,密码过期时间
订阅专栏 解锁全文
扫一扫
1348
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
