Sicherheitsbewertung: Microsoft LAPS-Verwendung

Was ist Microsoft LAPS?

Die "Lokale Administratorkennwortlösung" (LAPS) von Microsoft stellt die Verwaltung von lokalen Administratorkontokennwörtern für die Standard eingebundenen Computer bereit. Kennwörter werden zufällig in Active Directory (AD) gespeichert, geschützt durch ACLs, sodass nur berechtigte Benutzer sie lesen oder ihre Zurücksetzung anfordern können.

Diese Sicherheitsbewertung unterstützt nur ältere Microsoft LAPS.This security assessment supports legacy Microsoft LAPS only.

Welches Risiko stellt die Implementierung von LAPS nicht für eine Organisation dar?

LAPS bietet eine Lösung für das Problem der Verwendung eines gemeinsamen lokalen Kontos mit einem identischen Kennwort auf jedem Computer in einer Do Standard. LAPS behebt dieses Problem durch Festlegen eines anderen, gedrehten zufälligen Kennworts für das allgemeine lokale Administratorkonto auf jedem Computer in der Do Standard.

LAPS vereinfacht die Kennwortverwaltung und hilft Kunden dabei, mehr empfohlene Abwehrmaßnahmen gegen Cyberangriffe zu implementieren. Insbesondere entschärft die Lösung das Risiko einer lateralen Eskalation, die dazu führt, dass Kunden dieselbe lokale Administratorkonto- und Kennwortkombination auf ihren Computern verwenden. LAPS speichert das Kennwort für das lokale Administratorkonto jedes Computers in AD, das in einem vertraulichen Attribut im entsprechenden AD-Objekt des Computers gesichert ist. Der Computer kann seine eigenen Kennwortdaten in AD aktualisieren und dies tun Standard Administratoren können Lesezugriff auf autorisierte Benutzer oder Gruppen gewähren, z. B. Helpdesk-Administratoren der Arbeitsstation.

Gewusst wie diese Sicherheitsbewertung verwenden?

  1. Überprüfen Sie die empfohlene Aktion, um zu ermitteln, welche Ihrer Aufgaben https://security.microsoft.com/securescore?viewid=actions Standard einige (oder alle) kompatiblen Windows-Geräte haben, die nicht durch LAPS geschützt sind oder die in den letzten 60 Tagen das von LAPS verwaltete Kennwort nicht geändert haben.

    See which domains have devices unprotected by LAPS.

  2. Wählen Sie für do Standard s, die teilweise geschützt sind, die relevante Zeile aus, um die Liste der Geräte anzuzeigen, die von LAPS dazu nicht geschützt sind Standard.

    Select domain with devices unprotected by LAPS.

    Hinweis

    Wenn der gesamte Vorgang nicht mit LAPS geschützt ist Standard wird die Liste aller nicht geschützten Geräte nicht angezeigt.

  3. Ergreifen Sie geeignete Maßnahmen auf diesen Geräten, indem Sie Microsoft LAPS mithilfe der im Download bereitgestellten Dokumentation herunterladen, installieren und konfigurieren oder beheben.

    Remediate devices unprotected by LAPS.

Hinweis

Während Bewertungen in nahezu Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, dauert der Status möglicherweise noch Zeit, bis sie als abgeschlossen gekennzeichnet ist.

Siehe auch