Freigeben über

Sicherheitsbewertung: Microsoft LAPS-Nutzung

  • Artikel

Was ist Microsoft LAPS?

Microsofts "Lösung für lokale Administratorkennwörter" (LAPS) bietet die Verwaltung von Kennwörtern für lokale Administratorkonten für computer, die in die Domäne eingebunden sind. Kennwörter werden zufällig festgelegt und in Active Directory (AD) gespeichert, geschützt durch ACLs, sodass nur berechtigte Benutzer sie lesen oder die Zurücksetzung anfordern können.

Diese Sicherheitsbewertung unterstützt nur Älteres Microsoft LAPS .

Welches Risiko stellt die Implementierung von LAPS für eine organization dar?

LAPS bietet eine Lösung für das Problem der Verwendung eines gemeinsamen lokalen Kontos mit einem identischen Kennwort auf jedem Computer in einer Domäne. LAPS behebt dieses Problem, indem ein anderes, rotiertes zufälliges Kennwort für das allgemeine lokale Administratorkonto auf jedem Computer in der Domäne festgelegt wird.

LAPS vereinfacht die Kennwortverwaltung und hilft Kunden dabei, weitere empfohlene Schutzmaßnahmen gegen Cyberangriffe zu implementieren. Insbesondere verringert die Lösung das Risiko einer lateralen Eskalation, die entsteht, wenn Kunden die gleiche Kombination aus lokalem Administratorkonto und Kennwort auf ihren Computern verwenden. LAPS speichert das Kennwort für das lokale Administratorkonto jedes Computers in AD, das in einem vertraulichen Attribut im entsprechenden AD-Objekt des Computers geschützt ist. Der Computer kann seine eigenen Kennwortdaten in AD aktualisieren, und Domänenadministratoren können autorisierten Benutzern oder Gruppen, z. B. Helpdeskadministratoren der Arbeitsstation, Lesezugriff gewähren.

Gewusst wie diese Sicherheitsbewertung verwenden?

  1. Überprüfen Sie die empfohlene Aktion unter https://security.microsoft.com/securescore?viewid=actions , um herauszufinden, welche Ihrer Domänen über einige (oder alle) kompatiblen Windows-Geräte verfügen, die nicht durch LAPS geschützt sind oder bei denen das von LAPS verwaltete Kennwort in den letzten 60 Tagen nicht geändert wurde.

    Sehen Sie sich an, in welchen Domänen Geräte nicht durch LAPS geschützt sind.

  2. Wählen Sie für Domänen, die teilweise geschützt sind, die relevante Zeile aus, um die Liste der Geräte anzuzeigen, die nicht durch LAPS in dieser Domäne geschützt sind.

    Wählen Sie Domäne mit Geräten aus, die von LAPS nicht geschützt sind.

    Hinweis

    Wenn die gesamte Domäne nicht mit LAPS geschützt ist, wird nicht die Liste aller nicht geschützten Geräte angezeigt.

  3. Ergreifen Sie geeignete Maßnahmen auf diesen Geräten, indem Sie Microsoft LAPS mithilfe der im Download bereitgestellten Dokumentation herunterladen, installieren und konfigurieren oder Problembehandlungen durchführen.

    Korrigieren von Geräten, die von LAPS nicht geschützt sind.

Hinweis

Während Bewertungen nahezu in Echtzeit aktualisiert werden, werden Bewertungen und Status alle 24 Stunden aktualisiert. Während die Liste der betroffenen Entitäten innerhalb weniger Minuten nach der Implementierung der Empfehlungen aktualisiert wird, kann die status noch einige Zeit dauern, bis sie als Abgeschlossen markiert ist.

Siehe auch