为什么 LAPS 很重要
管理员通常在 Windows 计算机上使用相同的本地管理员密码,这使得这些帐户很容易成为攻击者的目标。Microsoft LAPS 可自动配置和轮换本地管理员密码,帮助增强密码安全性。
内置 LAPS UI 需要管理工作站
Microsoft LAPS 解决方案具有内置 UI,用于检索使用 LAPS 管理的本地管理员帐户。但是,它是一个已安装的应用程序,需要管理工作站。启动 LAPS 安装程序时,它允许您安装管理工具,包括胖客户端 UI。
安装管理实用程序,包括客户机
安装 LAPS UI 后,可以查询特定工作站以查看当前 LAPS 控制的密码。
用于检索 LAPS 密码的内置 LAPS 用户界面
LAPS 网页用户界面
LAPS WebUI 是一个开源项目,允许从 Web 界面查看 LAPS 密码。可以使用 Docker 容器轻松预配它。
先决条件
LAPS WebUI 有几个先决条件,包括:
- 安装了 Microsoft LAPS 的活动目录
- 支持 .NET Core 6.0 (Ubuntu/Debian/CentOS/Alpine Linux/Windows/macOS) 或 Docker 主机的操作系统
使用 Docker 安装 LAPS WebUI
Docker 主机安装方法是快速安装 LAPS WebUI 的最简单方法。您可以使用简单的 Docker 运行命令配置和运行 LAPS UI。您需要具有 Active Directory 域控制器的地址,并使用 LDAP 端口 389 表示不安全,或 636 表示 SSL。如果使用安全端口 636,则将设置 UseSSL=true。
如果需要调整外部端口(左侧),如果这与其他容器冲突,则可以配置要使用的任何空闲端口。确保离开内部端口 8080(右侧)。
docker run -d \
--name=lapswebui \
-e LDAP__Server=dctest1.neptune.local \
-e LDAP__Port=389 \
-e LDAP__UseSSL=false \
-e LDAP__SearchBase=DC=neptune,DC=local \
-p 8080:8080 \
--restart unless-stopped \
ghcr.io/seji64/laps-webui:1.4.1
拉取 LAPS WebUI Docker 容器
拉取容器后,您可以使用 docker ps 命令验证它是否正常运行。
验证 LAPS WebUI 的 Docker 容器
如果您不想使用 Docker 容器,则可以在 Linux、Windows 或 macOS 上执行裸机设置。在此处下载最新安装。
LAPS 网页用户界面
安装 LAPS WebUI 后,浏览到 Docker 容器或裸机安装的 Web URL。您需要使用具有查看 LAPS 控制的工作站所在的 OU 对象的扩展属性的 Active Directory 用户登录。
若要轻松查找这些权限,请运行以下 PowerShell cmdlet:
Import-Module AdminPwd.PS
Find-AdmPwdExtendedRights -Identity "<your OU>" | ft在此示例中,域管理员组有权查看 OU 的 LAPS 密码。
查找查看 LAPS 密码的扩展权限
使用有权查看 LAPS 密码的用户登录。作为安全说明,LAPS WebUI 的 Docker 实现不会在 Web 浏览器中配置 HTTPS 的连接。因此,您需要在解决方案前面放置一个反向代理,例如 Traefik,以确保您的浏览器流量已加密,或者您的密码将以明文形式发送。
对于经典安装,您当然可以将 Web 服务器配置为通过 HTTPS 提供应用程序。
浏览到 LAPS WebUI 界面
登录后,您可以搜索 LAPS 控制的工作站并查看密码。
使用 LAPS WebUI 查看工作站的 LAPS 密码
总结
LAPS 是用于在 Windows 环境中保护本地密码的推荐工具。LAPS WebUI 项目提供了一种使用 Web 浏览器访问 LAPS 密码的简单方法。否则,只能使用 LAPS 打包的旧版应用程序访问它们。