Windows LAPS
概要
Active DirectoryまたはMicrosoft Azure上のMicrosoft Entra IDと連携して動作し、各端末のローカル管理者パスワードを定期的に自動生成して更新する。生成されるパスワードはランダムで複雑な文字列であり、端末ごとに異なる値が設定される。
更新されたパスワードはActive Directoryの専用属性に保存され、必要な権限を持つ管理者が確認できる。管理者はADの管理ツールやPowerShellを利用して端末ごとのパスワードを取得し、リモート管理やトラブル対応に利用できる。
Windows LAPSはクライアント側にエージェントを導入し、自動更新やポリシーに基づくパスワード管理を実現する。更新間隔やパスワードの長さ、使用する文字種などのポリシーはグループポリシーで設定することができる。同一ネットワーク内でのパスワード共有や漏洩のリスクを減らし、管理作業を標準化できる。
導入の経緯
もともと米マイクロソフト(Microsoft)社が無償の独立ツールとして提供していたが、2023年4月のWindows Update以降、Windows 10、Windows11およびWindows Server 2019以降にOSの組み込み機能として統合された。従来の独立ツールは「レガシーLAPS」と区別して呼ばれることがある。
導入の背景には、組織内の複数マシンで同一のローカル管理者パスワードを使い回す運用のリスクがある。一台のマシンからパスワードが漏洩すると、同じパスワードを持つ全マシンへの横断的な侵害(Pass-the-Hashやラテラルムーブメント)が成立しやすくなる。Windows LAPSはマシンごとにランダムなパスワードを生成し定期的に更新することで、この経路を断つ。
共有ボタンをタップ