新的 Windows LAPS 現在是一項內置功能，可通過最新的星期二補丁獲得

微軟昨天開始為Windows 10和Windows 11推出補丁星期二更新。Windows 11 更新日誌中提到的項目之一是新的 Windows 本地管理員密碼解決方案 (LAPS)。雖然微軟沒有在其變更日誌中詳細介紹此功能，但可以理解的是，它發布了一篇專門的博客文章，詳細描述了這一變化。

對於那些不知道的人，在今天之前，LAP 僅作為 MSI 包提供，可以從 Microsoft 下載中心手動下載。IT 管理員主要使用它來保護部署的 Windows 設備中的本地管理員帳戶，通過使用本地管理員帳戶登錄來恢復設備，以及管理已加入 Azure Active Directory 的計算機的身份，等等。

然而，隨著昨天發布的最新補丁星期二更新，這種 LAPS 變體現在將被稱為“Legacy LAPS”，因為微軟已經將該產品直接集成到 Windows 中。Redmond 科技巨頭表示，這是由於“大眾需求”而完成的，並且收件箱解決方案現在可在以下 Windows WeU 中使用：

• Windows 11 專業版、教育版和企業版
• Windows 10 專業版、教育版和企業版
• Windows Server 2022 和 Windows Server Core 2022
• Windows 服務器 2019

Windows LAPS 也有幾個新功能，如下所列：

• LAPS 支持 Azure Active Directory（目前在私人預覽版中，公共預覽版即將推出）

  • 通過 Microsoft Graph 檢索存儲的密碼。

  • 創建兩個新的 Microsoft Graph 權限，用於僅檢索密碼“元數據”（即用於安全監控應用程序）或敏感的明文密碼本身。

  • 提供 Azure 基於角色的訪問控制 (Azure RBAC) 策略，用於編寫密碼檢索授權策略。

  • 包括對檢索和輪換密碼的 Azure 管理門戶支持。

  • 幫助您通過 Intune 管理該功能！

  • 帳戶使用後自動輪換密碼。

• 本地 Active Directory 場景的新功能

  • 密碼加密：大大提高了這些敏感秘密的安全性！

  • 密碼歷史：使您能夠重新登錄到已恢復的備份映像。

  • 目錄服務還原模式 (DSRM) 密碼備份：通過定期輪換這些重要的恢復密碼，幫助確保域控制器的安全！

  • 仿真模式：如果您想在準備遷移到新功能的同時繼續使用舊的 LAPS 策略設置和工具，這很有用！

  • 自動輪換：帳號使用後自動輪換密碼。

• 適用於 Azure AD 和本地 AD 場景的新功能

  • 現在可通過組策略和配置服務提供商 (CSP) 進行豐富的策略管理

  • 從 Intune 門戶按需輪換 Windows LAPS 帳戶密碼非常有用，例如，在處理可能的違規問題時。

  • 專用事件日誌位於應用程序和服務下。請參閱日誌 > Microsoft > Windows > LAPS > 可操作以改進診斷。

  • 新的 PowerShell 模塊包括改進的管理功能。例如，您現在可以使用新的 Reset-LapsPassword cmdlet 按需輪換密碼！

  • 完全支持混合加入的設備。

對於 IT 管理員來說，這兩個版本的 LAPS 目前可以共存，但微軟建議不要同時使用這兩個版本來配置同一個帳戶，因為這可能會導致策略衝突。您可以開始在符合條件的部署上使用新的 LAPS，這些部署現在已經安裝了 4 月補丁星期二更新。