Sikkerhedsvurdering: Microsoft LAPS-brug
Hvad er Microsoft LAPS?
Microsofts LAPS (Local Administrator Password Solution) indeholder administration af lokale administratorkontoadgangskoder til domænetilsluttede computere. Adgangskoder randomiseres og gemmes i Active Directory (AD), beskyttet af ACL'er, så det kun er berettigede brugere, der kan læse den eller anmode om nulstilling.
Denne sikkerhedsvurdering understøtter kun ældre Microsoft LAPS .
Hvilken risiko udgør implementering af LAPS ikke for en organisation?
LAPS giver en løsning på problemet med at bruge en fælles lokal konto med en identisk adgangskode på alle computere i et domæne. LAPS løser dette problem ved at angive en anden, roteret tilfældig adgangskode for den fælles lokale administratorkonto på alle computere i domænet.
LAPS forenkler administration af adgangskoder og hjælper kunderne med at implementere mere anbefalede forsvar mod cyberangreb. Løsningen afhjælper især risikoen for tværgående eskalering, der opstår, når kunderne bruger den samme administrative lokale konto- og adgangskodekombination på deres computere. LAPS gemmer adgangskoden for hver computers lokale administratorkonto i AD, som er sikret i en fortrolig attribut i computerens tilsvarende AD-objekt. Computeren kan opdatere sine egne adgangskodedata i AD, og domæneadministratorer kan give læseadgang til godkendte brugere eller grupper, f.eks. administratorer af arbejdsstation helpdesk.
Hvordan gør jeg bruge denne sikkerhedsvurdering?
Gennemse den anbefalede handling for https://security.microsoft.com/securescore?viewid=actions at finde ud af, hvilke af dine domæner der har nogle (eller alle) kompatible Windows-enheder, der ikke er beskyttet af LAPS, eller som ikke har fået ændret deres LAPS-administrerede adgangskode inden for de sidste 60 dage.
For domæner, der er delvist beskyttet, skal du vælge den relevante række for at få vist listen over enheder, der ikke er beskyttet af LAPS i det pågældende domæne.
Bemærk!
Hvis hele domænet ikke er beskyttet med LAPS, kan du ikke se listen over alle de ubeskyttede enheder.
Udfør de nødvendige handlinger på disse enheder ved at downloade, installere og konfigurere eller foretage fejlfinding af Microsoft LAPS ved hjælp af den dokumentation, der er angivet i downloaden.
Bemærk!
Selvom vurderinger opdateres i næsten realtid, opdateres scorer og statusser hver 24. time. Selvom listen over påvirkede enheder opdateres inden for få minutter efter, at du har implementeret anbefalingerne, kan status stadig tage tid, indtil den er markeret som Fuldført.