什么是 LAPS?
LAPS 的全称是 Local Administrator Password Solution,即本地管理员密码解决方案,LAPS 为组织提供了一个针对客户端电脑的本地管理员账户密码统一管理的功能,包含:
- LAPS 管理的每台电脑的本地管理员密码都是唯一的。
- LAPS 会定期随机更改本地管理员密码。
- LAPS 将本地管理员密码安全地集中存储。
在 Jamf Pro 中启用 LAPS 后,可以实现哪些功能?
在 Jamf Pro 中开启 LAPS 后可以对托管本地管理员账号启用随机密码并集中管理,具体包括:
- 每台Mac电脑上的托管本地管理员账户密码都是唯一的。
- 托管本地管理员账户密码会定期自动更改。
- 托管本地管理员账户密码将会集中安全地存储在 Jamf Pro 中。
- Jamf Pro UI 界面可查询每台电脑上的随机密码。
- 随机密码在被查看后,将在设定的时间后自动更改并更新到 Jamf Pro 中。
- Jamf Pro UI 界面可查询随机密码审计日志,例如谁在什么时间查看了哪个账户的随机密码。
LAPS 适用于哪些本地账户?
在受 Jamf Pro 管理的Mac电脑上,通过以下两种方式创建的本地管理员账户可以应用 LAPS 功能,这类账户称之为托管本地管理员账户:
- 在 UIE (User-initiated enrollment) 方式注册期间由 jamf binary创建的托管本地管理员账户(Managed local administrator account)。
- 在 PreStage Enrollment 自动注册设置中配置的托管本地管理员账户。
提示:通过Mac系统偏好设置、Policy、脚本、命令行等方式创建的本地管理账户不是托管账户,无法应用 LAPS 功能。
如何在 Jamf Pro 中查看托管本地管理员账户的随机密码和审计日志?
前往 Jamf Pro > Computers > Search Inventory > Search, 搜索出需要查看的电脑,然后在 Inventory 选项下的 General 信息栏中可以查看到如下信息:
点击 View accounts and passwords 并跳转到 Local User Account 信息栏中,在Managed Local Administrator Accounts下方点击需要查询的托管本地管理员账号名称右侧的 View。
接着,将会出现密码自动更改的提示窗,随机密码将会在设定的时候后自动更改。点击 Continue。
密码即呈现在页面上。
LAPS 密码的审计日志记录在电脑 Inventory > History > Managed Local Administrator Account History 中。在日志中可以看到事件的名称、操作时间、操作人员以及查询的托管本地管理员账号等信息。
我们接触的客户中,有很多这样的密码管理需求,在所有电脑上使用同一组密码会带来很大的安全风险,即便定期去更新密码也无法避免一把钥匙能开所有门的安全漏洞。在 Jamf Pro 中启用 LAPS 不仅可以解决本地管理员账号密码的安全问题,也给密码管理带来了极大的便利,使我们的 IT 管理上升到了一个新的高度。
如果有任何问题,欢迎与我们联系。