Настройка параметров политики для Windows LAPS
Решение паролей локального Администратор istrator (Windows LAPS) поддерживает различные параметры, которые можно контролировать с помощью политики. Узнайте о параметрах и их администрировании.
Поддерживаемые корни политики
Хотя мы не рекомендуем это сделать, вы можете администрировать устройство с помощью нескольких механизмов управления политиками. Для поддержки этого сценария понятным и предсказуемым способом каждому механизму политики Windows LAPS назначается отдельный корневой раздел реестра:
| Имя политики | Корневой каталог раздела реестра политик |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| Групповая политика LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| Локальная конфигурация LAPS | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| Устаревшая версия Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS запрашивает все известные корни политики разделов реестра, начиная с верхнего и двигаясь вниз. Если параметры не найдены в корневом каталоге, этот корневой каталог пропускается, и запрос переходит к следующему корню. При обнаружении корневого каталога, имеющего по крайней мере один явно определенный параметр, этот корень используется в качестве активной политики. Если выбранный корень отсутствует, параметры назначаются значения по умолчанию.
Параметры политики никогда не используются совместно или наследуются в корне ключей политики.
Совет
Ключ локальной конфигурации LAPS включен в предыдущую таблицу для полноты. Этот ключ можно использовать при необходимости, но ключ в первую очередь предназначен для тестирования и разработки. Никакие средства управления или механизмы политики не предназначены для этого ключа.
Поддерживаемые параметры политики с помощью BackupDirectory
Windows LAPS поддерживает несколько параметров политики, которые можно администрировать с помощью различных решений по управлению политиками или даже непосредственно через реестр. Некоторые из этих параметров применяются только при резервном копировании паролей в Active Directory, а некоторые параметры являются общими для сценариев AD и Microsoft Entra.
В следующей таблице указывается, какие параметры применяются к устройствам с указанным параметром BackupDirectory:
| Имя настройки | Применимо, если идентификатор BackupDirectory=Microsoft Entra ID? | Применимо, если BackupDirectory=AD? |
|---|---|---|
| Администратор istratorAccountName | Да | Да |
| PasswordAgeDays | Да | Да |
| PasswordLength | Да | Да |
| Парольная фразаLength | Да | Да |
| PasswordComplexity | Да | Да |
| PostAuthenticationResetDelay | Да | Да |
| PostAuthenticationActions | Да | Да |
| ADPasswordEncryptionEnabled | No | Да |
| ADPasswordEncryptionPrincipal | No | Да |
| ADEncryptedPasswordHistorySize | No | Да |
| ADBackupDSRMPassword | No | Да |
| PasswordExpirationProtectionEnabled | No | Да |
| AutomaticAccountManagementEnabled | Да | Да |
| AutomaticAccountManagementTarget | Да | Да |
| AutomaticAccountManagementNameOrPrefix | Да | Да |
| AutomaticAccountManagementEnableAccount | Да | Да |
| AutomaticAccountManagementRandomizeName | Да | Да |
Если для BackupDirectory задано значение "Отключено", все остальные параметры игнорируются.
Вы можете администрировать почти все параметры с помощью любого механизма управления политиками. Поставщик службы конфигурации Windows LAPS (CSP) имеет два исключения для этого правила. Windows LAPS CSP поддерживает два параметра, которые не указаны в предыдущей таблице: ResetPassword и ResetPasswordStatus. Кроме того, windows LAPS CSP не поддерживает параметр ADBackupDSRMPassword (контроллеры домена никогда не управляются с помощью CSP). Дополнительные сведения см. в документации по LAPS CSP.
Групповая политика Windows LAPS
Windows LAPS включает новый объект групповой политики, который можно использовать для администрирования параметров политики на устройствах, присоединенных к домену Active Directory. Чтобы получить доступ к групповой политике Windows LAPS, в редакторе управления групповыми политиками перейдите в раздел "Конфигурация> компьютера Администратор истативные шаблоны>System>LAPS. Пример показан на приведенном ниже снимке экрана.
Шаблон для этого нового объекта групповой политики устанавливается в составе Windows в %windir%\PolicyDefinitions\LAPS.admx.
Центральное хранилище объектов групповой политики
Внимание
Файлы шаблонов групповой политики Windows LAPS не копируются в центральное хранилище GPO в рамках операции исправления Обновл. Windows, если вы решили реализовать этот подход. Вместо этого необходимо вручную скопировать LAPS.admx в центральное хранилище групповой политики. См. статью "Создание центрального магазина и управление ими".
Windows LAPS CSP
Windows LAPS включает определенный CSP, который можно использовать для администрирования параметров политики на устройствах, присоединенных к Microsoft Entra. Управление поставщиком CSP windows LAPS с помощью Microsoft Intune.
Применение параметров политики
В следующих разделах описывается использование и применение различных параметров политики для Windows LAPS.
BackupDirectory
Используйте этот параметр, чтобы контролировать, в какой каталог создается резервная копия пароля для управляемой учетной записи.
| Значение | Описание параметра |
|---|---|
| 0 | Отключен (пароль не резервируется) |
| 1 | Резервное копирование пароля только в Microsoft Entra |
| 2 | Резервное копирование пароля только в Windows Server Active Directory |
Если этот параметр не указан, по умолчанию используется значение 0 (отключено).
Администратор istratorAccountName
Используйте этот параметр, чтобы настроить имя управляемой учетной записи локального администратора.
Если этот параметр не указан, этот параметр по умолчанию управляет встроенной учетной записью локального администратора.
Внимание
Не указывайте этот параметр, если вы не хотите управлять учетной записью, отличной от встроенной учетной записи локального администратора. Учетная запись локального администратора автоматически определяется его известным относительным идентификатором (RID).
Внимание
Вы можете настроить указанную учетную запись (встроенную или пользовательскую) как включенную или отключенную. Windows LAPS будет управлять паролем этой учетной записи в любом состоянии. Однако если в отключенном состоянии учетная запись должна быть включена для фактического использования.
Внимание
Если вы настроите Windows LAPS для управления пользовательской учетной записью локального администратора, необходимо убедиться, что эта учетная запись создана. Windows LAPS не создает учетную запись.
Внимание
Этот параметр игнорируется при включении AutomaticAccountManagementEnabled.
PasswordAgeDays
Этот параметр определяет максимальный возраст пароля управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимальное значение: 1 день (если каталог резервного копирования настроен для идентификатора Microsoft Entra, минимальное значение — 7 дней).)
- Максимум: 365 дней
Если этот параметр не указан, по умолчанию используется значение 30 дней.
Внимание
Изменения параметра политики PasswordAgeDays не влияют на срок действия текущего пароля. Аналогичным образом изменение параметра политики PasswordAgeDays не приведет к тому, что управляемое устройство инициирует смену пароля.
PasswordLength
Используйте этот параметр, чтобы настроить длину пароля управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимум: 8 символов
- Максимум: 64 символа
Если этот параметр не указан, этот параметр по умолчанию использует 14 символов.
Внимание
Не настраивайте PasswordLength на значение, несовместимое с локальной политикой паролей управляемого устройства. Это приведет к сбою создания совместимого пароля Windows LAPS (поиск события 10027 в журнале событий Windows LAP).
Параметр PasswordLength игнорируется, если параметр PasswordComplexity не настроен на один из параметров пароля.
Парольная фразаLength
Используйте этот параметр, чтобы настроить количество слов в парольной фразе управляемой учетной записи локального администратора. Поддерживаются значения:
- Минимум: 3 слова
- Максимум: 10 слов
Если этот параметр не указан, по умолчанию используется значение 6 слов.
Параметр PassphraseLength игнорируется, если параметр PasswordComplexity не настроен для одного из параметров парольной фразы.
PasswordComplexity
Используйте этот параметр, чтобы настроить необходимую сложность пароля управляемой учетной записи локального администратора или указать, что создается парольная фраза.
| Значение | Описание параметра |
|---|---|
| 1 | Большие буквы |
| 2 | Большие буквы + небольшие буквы |
| 3 | Большие буквы + небольшие буквы + цифры |
| 4 | Большие буквы + небольшие буквы + цифры + специальные символы |
| 5 | Большие буквы + небольшие буквы + цифры + специальные символы (улучшенная удобочитаемость) |
| 6 | Парольная фраза (длинные слова) |
| 7 | Парольная фраза (короткие слова) |
| 8 | Парольная фраза (короткие слова с уникальными префиксами) |
Если этот параметр не указан, по умолчанию используется значение 4.
Внимание
Windows поддерживает более низкие параметры сложности паролей (1, 2 и 3) только для обратной совместимости с устаревшей версией Microsoft LAPS. Рекомендуется всегда настраивать этот параметр на 4.
Внимание
Не настраивайте PasswordComplexity на параметр, несовместимый с локальной политикой паролей управляемого устройства. Это приведет к сбою создания совместимого пароля Windows LAPS (поиск события 10027 в журнале событий Windows LAPS).
PasswordExpirationProtectionEnabled
Используйте этот параметр, чтобы настроить применение максимального срока действия пароля для управляемой учетной записи локального администратора.
Поддерживаемые значения: 1 (True) или 0 (False).
Если этот параметр не указан, этот параметр по умолчанию имеет значение 1 (True).
Совет
В устаревшем режиме Microsoft LAPS этот параметр по умолчанию использует значение False для обратной совместимости.
ADPasswordEncryptionEnabled
Используйте этот параметр, чтобы включить шифрование паролей в Active Directory.
Поддерживаемые значения: 1 (True) или 0 (False).
Внимание
Включение этого параметра требует, чтобы домен Active Directory работал на функциональном уровне домена 2016 или более поздней версии.
ADPasswordEncryptionPrincipal
Используйте этот параметр для настройки имени или идентификатора безопасности пользователя или группы, который может расшифровать пароль, хранящийся в Active Directory.
Этот параметр игнорируется, если пароль в настоящее время хранится в Azure.
В противном случае только члены группы доменных Администратор в домене устройства могут расшифровать пароль.
Если задано, указанный пользователь или группа может расшифровать пароль, хранящийся в Active Directory.
Внимание
Строка, хранящейся в этом параметре, представляет собой идентификатор безопасности в строковой форме или полное имя пользователя или группы. Допустимые примеры:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
Субъект, идентифицированный (по идентификатору безопасности или по имени пользователя или группы), должен существовать и разрешаться устройством.
ПРИМЕЧАНИЕ. Данные, указанные в этом параметре, вводятся как есть; Например, не добавляйте вложенные кавычки или скобки.
Этот параметр игнорируется, если adPasswordEncryptionEnabled не настроено на Значение True и выполняются все остальные предварительные требования.
Этот параметр игнорируется при резервном копировании паролей учетных записей служб каталогов (DSRM) на контроллере домена. В этом сценарии этот параметр всегда по умолчанию использует группу доменных Администратор домена контроллера домена.
ADEncryptedPasswordHistorySize
Используйте этот параметр, чтобы настроить количество предыдущих зашифрованных паролей в Active Directory. Поддерживаются значения:
- Минимум : 0 паролей
- Максимум: 12 паролей
Если этот параметр не указан, по умолчанию используется значение 0 паролей (отключено).
Внимание
Этот параметр игнорируется, если adPasswordEncryptionEnabled не настроено на Значение True и выполняются все остальные предварительные требования.
Этот параметр также действует на контроллерах домена, которые резервного копирования паролей DSRM.
ADBackupDSRMPassword
Используйте этот параметр, чтобы включить резервное копирование пароля учетной записи DSRM на контроллерах домена Windows Server Active Directory.
Поддерживаемые значения: 1 (True) или 0 (False).
Этот параметр по умолчанию равно 0 (False).
Внимание
Этот параметр игнорируется, если adPasswordEncryptionEnabled не настроено на Значение True и выполняются все остальные предварительные требования.
PostAuthenticationResetDelay
Используйте этот параметр, чтобы указать время ожидания (в часах) после проверки подлинности перед выполнением указанных действий после проверки подлинности (см. раздел PostAuthenticationActions). Поддерживаются значения:
- Минимум : 0 часов (при установке этого значения значение равно 0 отключает все действия после проверки подлинности)
- Максимальное: 24 часа
Если этот параметр не указан, этот параметр по умолчанию используется в 24 часах.
PostAuthenticationActions
Используйте этот параметр, чтобы указать действия, выполняемые после истечения срока действия настроенного льготного периода (см. раздел PostAuthenticationResetDelay).
Этот параметр может иметь одно из следующих значений:
| Значение | Имя. | Действия, выполняемые при истечении льготного периода | Комментарии |
|---|---|---|---|
| 1 | Введите новый пароль | Пароль управляемой учетной записи сбрасывается. | |
| 3 | Сброс пароля и выход | Пароль управляемой учетной записи сбрасывается, сеансы интерактивного входа с помощью управляемой учетной записи завершаются, а сеансы S МБ с помощью управляемой учетной записи удаляются. | Интерактивные сеансы входа получают неконфигурируемое двухминутное предупреждение для сохранения работы и выхода. |
| 5 | Сброс пароля и перезагрузка | Пароль управляемой учетной записи сбрасывается, а управляемое устройство перезапускается. | Управляемое устройство перезапускается после ненастройной задержки в одну минуту. |
| 11 | Сброс пароля и выход | Пароль управляемой учетной записи сбрасывается, интерактивные сеансы входа с помощью управляемой учетной записи завершаются, сеансы S МБ с помощью управляемой учетной записи удаляются, а остальные процессы, выполняемые под управляемым удостоверением учетной записи, завершаются. | Интерактивные сеансы входа получают неконфигурируемое двухминутное предупреждение для сохранения работы и выхода. |
Если этот параметр не указан, по умолчанию используется значение 3.
Внимание
Допустимые действия после проверки подлинности предназначены для ограничения времени использования пароля Windows LAPS перед сбросом. Выход из управляемой учетной записи или перезапуск устройства — это параметры, которые помогают гарантировать, что время ограничено. Резкое завершение сеансов входа или перезапуск устройства может привести к потере данных.
С точки зрения безопасности злоумышленник, получающий права администратора на устройстве с использованием допустимого пароля Windows LAPS, имеет максимальную возможность предотвратить или обойти эти механизмы.
Внимание
Значение PostAuthenticationActions 11 поддерживается в Windows Server 2025 и более поздних версиях.
AutomaticAccountManagementEnabled
Используйте этот параметр, чтобы включить автоматическое управление учетными записями.
Поддерживаемые значения: 1 (True) или 0 (False).
Этот параметр по умолчанию равно 0 (False).
AutomaticAccountManagementTarget
Используйте этот параметр, чтобы указать, управляет ли встроенная учетная запись Администратор istrator или новая пользовательская учетная запись.
| Значение | Описание параметра |
|---|---|
| 0 | Автоматическое управление встроенной учетной записью Администратор istrator |
| 1 | Автоматическое управление новой пользовательской учетной записью |
Этот параметр по умолчанию — 1.
Этот параметр игнорируется, если параметр AutomaticAccountManagementEnabled не включен.
AutomaticAccountManagementNameOrPrefix
Используйте этот параметр, чтобы указать имя или префикс имени автоматически управляемой учетной записи.
Этот параметр по умолчанию используется в параметре WLaps Администратор.
Этот параметр игнорируется, если параметр AutomaticAccountManagementEnabled не включен.
AutomaticAccountManagementEnableAccount
Используйте этот параметр, чтобы включить или отключить автоматически управляемую учетную запись.
| Значение | Описание параметра |
|---|---|
| 0 | Отключение автоматической управляемой учетной записи |
| 1 | Включение автоматической управляемой учетной записи |
Этот параметр по умолчанию — 0.
Этот параметр игнорируется, если параметр AutomaticAccountManagementEnabled не включен.
AutomaticAccountManagementRandomizeName
Используйте этот параметр, чтобы включить случайность имени автоматически управляемой учетной записи.
Если этот параметр включен, имя управляемой учетной записи (определяется параметром AutomaticAccountManagementNameOrPrefix), суффиксируется случайным шестизначным суффиксом при каждом повороте пароля.
Имена локальных учетных записей Windows имеют максимальную длину 20 символов, что означает, что компонент имени должен быть 14 символов в большинстве случаев, чтобы иметь достаточно места для случайного суффикса. Имена учетных записей, указанные параметром AutomaticAccountManagementNameOrPrefix, длина которых превышает 14 символов, усечены.
| Значение | Описание параметра |
|---|---|
| 0 | Не случайный выбор имени автоматически управляемой учетной записи |
| 1 | Случайный выбор имени автоматически управляемой учетной записи |
Этот параметр по умолчанию — 0.
Этот параметр игнорируется, если параметр AutomaticAccountManagementEnabled не включен.