Jaa

Suojausarviointi: Microsoft LAPS -käyttö

  • Artikkeli

Mikä on Microsoft LAPS?

Microsoftin "Local Administrator Password Solution" (LAPS) tarjoaa toimialueeseen liitettyjen tietokoneiden paikallisen järjestelmänvalvojan tilin salasanojen hallinnan. Salasanat satunnaistetaan ja tallennetaan Active Directoryyn (AD), joka on suojattu käyttöoikeusluetteloilla, joten vain oikeutetut käyttäjät voivat lukea sen tai pyytää sen palauttamista.

Tämä suojausarviointi tukee vanhoja Microsoft LAPS- ja Windows LAPS -järjestelmiä.

Mitä riskejä LAPS-järjestelmiä ei toteuteta organisaatiolle?

LAPS tarjoaa ratkaisun yleisen paikallisen tilin käyttöön identtisen salasanan avulla jokaisessa toimialueen tietokoneessa. LAPS ratkaisee tämän ongelman asettamalla erilaisen, kierretyn salasanan yleiselle paikalliselle järjestelmänvalvojatilille jokaiselle toimialueen tietokoneelle.

LAPS yksinkertaistaa salasanojen hallintaa ja auttaa asiakkaita toteuttamaan suositeltuja puolustuskeinoja kyberhyökkäyksiä vastaan. Ratkaisu vähentää erityisesti sivuttaisten eskaloinnin riskiä, joka aiheuttaa sen, että asiakkaat käyttävät samaa paikallista järjestelmänvalvojatiliä ja salasanayhdistelmää tietokoneissaan. LAPS tallentaa jokaisen tietokoneen paikallisen järjestelmänvalvojan tilin salasanan AD:hen, joka on suojattu luottamuksellisella määritteellä tietokoneen vastaavassa AD-objektissa. Tietokone voi päivittää omat salasanatietonsa AD:ssä, ja toimialueen järjestelmänvalvojat voivat myöntää lukuoikeuden valtuutetuille käyttäjille tai ryhmille, kuten työaseman tukipalvelun järjestelmänvalvojille.

Ohjevalikko käyttää tätä suojausarviointia?

  1. Tutustu suositeltuihin toimiin osoitteessa https://security.microsoft.com/securescore?viewid=actions selvittääksesi, millä toimialueistasi on joitakin (tai kaikkia) yhteensopivia Windows-laitteita, joita LAPS ei ole suojannut tai joiden LAPS-hallittua salasanaa ei ole muutettu viimeisen 60 päivän aikana.

    Näyttökuvassa näkyy, millä toimialueilla LAPS ei ole suojaanut laitteita.

  2. Jos toimialue on osittain suojattu, valitse asianmukainen rivi, jotta näet luettelon laitteista, joita LAPS ei suojaa kyseisellä toimialueella.

    Valitse toimialue, jossa LAPS ei ole suojaanut laitteita.

  3. Suorita tarvittavat toimet kyseisissä laitteissa lataamalla, asentamalla ja määrittämällä Microsoft LAPS tai Windows LAPS tai vianmääritys.

    Korjaa laitteet, joita LAPS ei ole suojaanut.

Huomautus

Vaikka arviointeja päivitetään lähes reaaliajassa, pisteet ja tilat päivitetään 24 tunnin välein. Vaikutuskohteiden luettelo päivittyy muutaman minuutin kuluessa suositusten toteuttamisesta, mutta tilan merkitseminen Valmis-asetukseksi saattaa kestää kauan.

Tutustu myös seuraaviin ohjeartikkeleihin: