DSInternals项目中的Windows LAPS加密密码支持解析

DSInternals是一款强大的活动目录安全审计工具，近期在其5.3版本中开始支持Windows LAPS（本地管理员密码解决方案）加密密码的解析功能，这对于Active Directory灾难恢复和安全审计具有重要意义。

Windows LAPS加密密码的背景

Windows LAPS是微软提供的一种自动管理本地管理员账户密码的解决方案。在Windows Server 2025中，微软引入了加密的DSRM（目录服务恢复模式）密码功能，这为Active Directory的安全管理提供了更高级别的保护。

DSInternals的LAPS支持演进

在DSInternals 5.3版本中，工具已经能够解析未加密的Windows LAPS和传统LAPS密码。然而，对于加密的Windows LAPS密码，特别是加密的DSRM密码，开发者Michael Grafnetter表示这需要额外的工作量来实现支持。

加密LAPS密码解析的实现

经过开发者的努力，DSInternals现已实现对加密Windows LAPS密码的解析功能。通过简单的PowerShell命令即可提取这些密码信息：

Get-ADDBAccount -DatabasePath '.\ntds.dit' -All -Properties LAPS |
    Select-Object -ExpandProperty LapsPasswords

命令输出将显示包括计算机名、账户名、密码、过期时间以及密码来源等详细信息。特别值得注意的是，输出中的"Source"字段可以标识密码来源，包括：

• EncryptedDSRMPassword（加密的DSRM密码）
• EncryptedPassword（加密密码）
• CleartextPassword（明文密码）

技术意义与应用场景

这项功能的实现为Active Directory管理员提供了几个关键优势：

1. 灾难恢复：能够从NTDS数据库直接提取加密的DSRM密码，极大简化了AD灾难恢复流程。

2. 安全审计：管理员可以定期备份加密的LAPS密码到安全存储（如加密的CSV文件），用于安全审计和合规检查。

3. 密码管理：提供了一种集中查看和管理所有LAPS密码的方法，包括传统LAPS和新型加密LAPS密码。

未来展望

随着Windows Server 2025的普及，加密LAPS密码将成为标准配置。DSInternals对此功能的支持确保了安全工具能够跟上微软最新的安全技术发展，为Active Directory管理员提供了强大的技术支持。

这项功能的实现不仅展示了DSInternals项目对最新安全技术的快速响应能力，也为Active Directory的安全管理开辟了新的可能性，特别是在灾难恢复和安全审计领域。