セキュリティ評価: Microsoft LAPS の使用状況
Microsoft LAPS とは
Microsoft の "ローカル管理者パスワード ソリューション" (LAPS) は、ドメインに参加しているコンピューターのローカル管理者アカウント パスワードの管理を提供します。 パスワードはランダム化され、ACL によって保護された Active Directory (AD) に格納されるため、対象ユーザーのみがパスワードを読み取ったり、リセットを要求したりできます。
このセキュリティ評価では、 従来の Microsoft LAPS のみがサポートされます。
LAPS を実装しないリスクがorganizationに与えるリスクは何ですか?
LAPS は、ドメイン内のすべてのコンピューターで同じパスワードで共通のローカル アカウントを使用する問題の解決策を提供します。 LAPS では、ドメイン内のすべてのコンピューターで共通のローカル管理者アカウントに対して異なるローテーションされたランダム パスワードを設定することで、この問題を解決します。
LAPS を使用すると、お客様がサイバー攻撃に対してより推奨される防御を実装するのに役立つ一方で、パスワード管理が簡素化されます。 特に、このソリューションは、お客様が自分のコンピューターで同じ管理ローカル アカウントとパスワードの組み合わせを使用する場合に発生する横エスカレーションのリスクを軽減します。 LAPS は、各コンピューターのローカル管理者アカウントのパスワードを AD に格納し、コンピューターの対応する AD オブジェクトの機密属性にセキュリティで保護します。 コンピューターは AD で独自のパスワード データを更新でき、ドメイン管理者は、ワークステーションのヘルプデスク管理者などの承認されたユーザーまたはグループに読み取りアクセスを許可できます。
このセキュリティ評価操作方法使用しますか?
https://security.microsoft.com/securescore?viewid=actionsで推奨されるアクションを確認して、LAPS によって保護されていない、または過去 60 日間に LAPS 管理パスワードが変更されていない、一部 (またはすべての) 互換性のある Windows デバイスを持つドメインを確認します。
部分的に保護されているドメインの場合は、関連する行を選択して、そのドメイン内の LAPS によって保護されていないデバイスの一覧を表示します。
注:
ドメイン全体が LAPS で保護されていない場合、保護されていないすべてのデバイスの一覧は表示されません。
ダウンロードに記載されているドキュメントを使用して、 Microsoft LAPS をダウンロード、インストール、構成、またはトラブルシューティングすることで、これらのデバイスに対して適切なアクションを実行します。
注:
評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態は 完了としてマークされるまで時間がかかる場合があります。