Microsoft Windows LAPS (Local Administrator Password Solution)

ฟีเจอร์ Windows LAPS (Local Administrator Password Solution) ช่วยสร้าง password แบบสุ่มสำหรับ local administrator account บนแต่ละเครื่องใน domain ให้ไม่ซ้ำกัน ช่วยลดความเสี่ยง หรือชะลอความเร็วจาก lateral movement attack ที่อาศัย password เดียวกันบน client ทุกเครื่องได้ จาก https://attack.mitre.org/techniques/T081v2 รองรับ Windows 10+, Windows 2019+ ที่มี update ตาม https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-overview

เราสามารถตั้งค่า settings ที่ควบคุม local admin password จาก Group Policy ได้ แล้ว backup password ไว้ใน AD DS หรือ Microsoft Entra ID

---

ผู้ใช้จะต้องมีสิทธิ์พิเศษในการเข้าไปอ่าน password ของ local admin จาก attribute ของ client computer object ใน AD DS หรือ Entra ID

เพื่อนำมา sign in เข้าเครื่อง ในยามฉุกเฉิน

เพื่อเข้าไปทำงานอะไรบางอย่างที่ต้องการสิทธิ์ local admin บน client ครับ

---

สามารถดูตัวอย่างได้จากวิดีโอนี้นะครับ

---

ที่มา

• What is Windows LAPS?