보안 평가: Microsoft LAPS 사용량
Microsoft LAPS란?
Microsoft의 "LAPS(로컬 관리자 암호 솔루션)"는 도메인에 가입된 컴퓨터에 대한 로컬 관리자 계정 암호를 관리합니다. 암호는 ACL로 보호되는 AD(Active Directory)에 임의로 저장되므로 적격 사용자만 암호를 읽거나 재설정을 요청할 수 있습니다.
이 보안 평가는 레거시 Microsoft LAPS 만 지원합니다.
LAPS를 구현하지 않으면 organization 어떤 위험이 발생하나요?
LAPS는 도메인의 모든 컴퓨터에서 동일한 암호를 가진 공통 로컬 계정을 사용하는 문제에 대한 솔루션을 제공합니다. LAPS는 도메인의 모든 컴퓨터에서 공통 로컬 관리자 계정에 대해 다른 회전된 임의 암호를 설정하여 이 문제를 해결합니다.
LAPS는 암호 관리를 간소화하는 동시에 고객이 사이버 공격에 대해 더 권장되는 방어를 구현할 수 있도록 지원합니다. 특히 솔루션은 고객이 컴퓨터에서 동일한 관리 로컬 계정 및 암호 조합을 사용할 때 발생하는 횡적 에스컬레이션의 위험을 완화합니다. LAPS는 컴퓨터의 해당 AD 개체에서 기밀 특성으로 보호되는 AD에 각 컴퓨터의 로컬 관리자 계정에 대한 암호를 저장합니다. 컴퓨터는 AD에서 자체 암호 데이터를 업데이트할 수 있으며 도메인 관리자는 워크스테이션 기술 지원팀 관리자와 같은 권한 있는 사용자 또는 그룹에 읽기 권한을 부여할 수 있습니다.
이 보안 평가를 사용할 어떻게 할까요? 있나요?
에서 https://security.microsoft.com/securescore?viewid=actions 권장되는 작업을 검토하여 LAPS로 보호되지 않거나 지난 60일 동안 LAPS 관리 암호를 변경하지 않은 일부(또는 모든) 호환되는 Windows 디바이스가 있는 도메인을 확인합니다.
부분적으로 보호되는 도메인의 경우 관련 행을 선택하여 해당 도메인의 LAPS로 보호되지 않는 디바이스 목록을 확인합니다.
참고
전체 도메인이 LAPS로 보호되지 않으면 보호되지 않는 모든 디바이스 목록이 표시되지 않습니다.
다운로드에 제공된 설명서를 사용하여 Microsoft LAPS 를 다운로드, 설치 및 구성하거나 문제를 해결하여 해당 디바이스에 대해 적절한 조치를 취합니다.
참고
평가는 거의 실시간으로 업데이트되지만 점수와 상태는 24시간마다 업데이트됩니다. 영향을 받은 엔터티 목록은 권장 사항을 구현한 후 몇 분 이내에 업데이트되지만 상태 완료됨으로 표시될 때까지 시간이 걸릴 수 있습니다.