安全性評估:Microsoft LAPS 使用量
什麼是 Microsoft LAPS?
Microsoft 的「本機 管理員 istrator 密碼解決方案」(LAPS)為已加入網域的計算機提供本機系統管理員帳戶密碼的管理。 密碼會隨機儲存在受 ACL 保護的 Active Directory (AD)中,因此只有合格的使用者可以讀取密碼或要求重設。
此安全性評估僅支援 舊版 Microsoft LAPS 。
不實作 LAPS 會對組織造成哪些風險?
LAPS 提供在網域中每部計算機上使用相同的密碼的常見本機帳戶問題的解決方案。 LAPS 會為網域中每部計算機上的通用本機系統管理員帳戶設定不同的輪替隨機密碼,以解決此問題。
LAPS 可簡化密碼管理,同時協助客戶實作更多針對網路攻擊的建議防禦。 特別是,解決方案可降低橫向擴大的風險,而當客戶在其計算機上使用相同的系統管理本機帳戶和密碼組合時,就會產生這種風險。 LAPS 會將每部計算機的本機系統管理員帳戶的密碼儲存在 AD 中,並保護在電腦對應 AD 物件的機密屬性中。 計算機可以在AD中更新自己的密碼數據,而網域系統管理員可以將讀取許可權授與授權的使用者或群組,例如工作站技術服務人員。
如何? 使用此安全性評定嗎?
請檢閱 的建議動作 https://security.microsoft.com/securescore?viewid=actions ,以探索哪些網域具有一些(或全部)相容的 Windows 裝置,這些裝置未受 LAPS 保護,或在過去 60 天內未變更其 LAPS 受控密碼的裝置。
針對部分保護的網域,請選取相關數據列,以檢視該網域中LAPS未保護的裝置清單。
注意
如果整個網域未受到 LAPS 保護,您就不會看到所有未受保護的裝置清單。
使用下載中提供的文件,下載、安裝和設定或疑難解答 Microsoft LAPS ,對這些裝置採取適當的動作。
注意
雖然評定會近乎即時地更新,但分數和狀態會每隔 24 小時更新一次。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間才能將其標示為 已完成。