Valutazione della sicurezza: utilizzo di Microsoft LAPS
Che cos'è Microsoft LAPS?
Microsoft "Local Administrator Password Solution" (LAPS) fornisce la gestione delle password dell'account amministratore locale per i computer aggiunti a un dominio. Le password vengono casualizzate e archiviate in Active Directory (AD), protette dagli ACL, quindi solo gli utenti idonei possono leggerle o richiederne la reimpostazione.
Questa valutazione della sicurezza supporta solo microsoft laps legacy .
Quale rischio non comporta l'implementazione di LAPS per un'organizzazione?
LAPS offre una soluzione al problema dell'uso di un account locale comune con una password identica in ogni computer di un dominio. LAPS risolve questo problema impostando una password casuale diversa e ruotata per l'account amministratore locale comune in ogni computer del dominio.
LAPS semplifica la gestione delle password consentendo ai clienti di implementare difese più consigliate contro gli attacchi informatici. In particolare, la soluzione riduce il rischio di escalation laterale che si verifica quando i clienti usano la stessa combinazione di account locale amministrativo e password nei computer. LAPS archivia la password per l'account amministratore locale di ogni computer in Active Directory, protetta in un attributo riservato nell'oggetto AD corrispondente del computer. Il computer può aggiornare i propri dati delle password in Active Directory e gli amministratori di dominio possono concedere l'accesso in lettura a utenti o gruppi autorizzati, ad esempio gli amministratori del supporto per le workstation.
Ricerca per categorie usare questa valutazione della sicurezza?
Esaminare l'azione consigliata all'indirizzo https://security.microsoft.com/securescore?viewid=actions per individuare quali dei domini hanno alcuni (o tutti) dispositivi Windows compatibili che non sono protetti da LAPS o che non hanno avuto la password gestita laps modificata negli ultimi 60 giorni.
Per i domini parzialmente protetti, selezionare la riga pertinente per visualizzare l'elenco dei dispositivi non protetti da LAPS in tale dominio.
Nota
Se l'intero dominio non è protetto con LAPS, non verrà visualizzato l'elenco di tutti i dispositivi non protetti.
Eseguire le azioni appropriate su tali dispositivi scaricando, installando e configurando o risolvendo i problemi di Microsoft LAPS usando la documentazione fornita nel download.
Nota
Mentre le valutazioni vengono aggiornate quasi in tempo reale, i punteggi e gli stati vengono aggiornati ogni 24 ore. Anche se l'elenco delle entità interessate viene aggiornato entro pochi minuti dall'implementazione delle raccomandazioni, lo stato potrebbe richiedere tempo fino a quando non viene contrassegnato come Completato.