Ocena zabezpieczeń: użycie rozwiązania Microsoft LAPS
Co to jest microsoft LAPS?
Rozwiązanie "Local Administracja istrator Password Solution" (LAPS) firmy Microsoft zapewnia zarządzanie hasłami kont administratora lokalnego dla komputerów przyłączonych do domeny. Hasła są losowe i przechowywane w usłudze Active Directory (AD), chronione przez listy ACL, więc tylko uprawnieni użytkownicy mogą go odczytać lub zażądać jego zresetowania.
Ta ocena zabezpieczeń obsługuje tylko starsze wersje rozwiązania Microsoft LAPS .
Jakie ryzyko nie wiąże się z wdrożeniem rozwiązania LAPS w organizacji?
Usługa LAPS stanowi rozwiązanie problemu z używaniem wspólnego konta lokalnego z identycznym hasłem na każdym komputerze w domenie. USŁUGA LAPS rozwiązuje ten problem, ustawiając inne, obracane losowe hasło dla wspólnego konta administratora lokalnego na każdym komputerze w domenie.
LAPS upraszcza zarządzanie hasłami, pomagając klientom implementować bardziej zalecane zabezpieczenia przed cyberatakami. W szczególności rozwiązanie zmniejsza ryzyko eskalacji bocznej, która powoduje, że klienci korzystają z tego samego konta administracyjnego lokalnego i kombinacji haseł na swoich komputerach. Usługa LAPS przechowuje hasło dla konta administratora lokalnego każdego komputera w usłudze AD, zabezpieczone w poufnym atrybucie w odpowiadającym mu obiekcie usługi AD komputera. Komputer może zaktualizować własne dane haseł w usłudze AD, a administratorzy domeny mogą udzielić dostępu do odczytu autoryzowanym użytkownikom lub grupom, takim jak administratorzy pomocy technicznej stacji roboczej.
Jak mogę użyć tej oceny zabezpieczeń?
Zapoznaj się z zalecaną akcją, https://security.microsoft.com/securescore?viewid=actions aby dowiedzieć się, które z domen mają niektóre (lub wszystkie) zgodne urządzenia z systemem Windows, które nie są chronione przez usługę LAPS lub które nie zmieniły hasła zarządzanego przez usługę LAPS w ciągu ostatnich 60 dni.
W przypadku domen, które są częściowo chronione, wybierz odpowiedni wiersz, aby wyświetlić listę urządzeń, które nie są chronione przez usługę LAPS w tej domenie.
Uwaga
Jeśli cała domena nie jest chroniona za pomocą rozwiązania LAPS, nie będzie widoczna lista wszystkich niechronionych urządzeń.
Podejmij odpowiednie działania na tych urządzeniach, pobierając, instalując i konfigurując lub rozwiązywając problemy z usługą Microsoft LAPS , korzystając z dokumentacji podanej w pobieraniu.
Uwaga
Chociaż oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Chociaż lista jednostek, których dotyczy ten wpływ, zostanie zaktualizowana w ciągu kilku minut od wdrożenia zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.