Sikkerhetsvurdering: Microsoft LAPS-bruk
Hva er Microsoft LAPS?
Microsofts passordløsning for lokal administrator (LAPS) gir administrasjon av passord for lokal administratorkonto for domenetilknyttede datamaskiner. Passord er randomisert og lagret i Active Directory (AD), beskyttet av tilgangskontrollister, slik at bare kvalifiserte brukere kan lese det eller be om tilbakestilling.
Denne sikkerhetsvurderingen støtter bare eldre Microsoft LAPS .
Hvilken risiko utgjør ikke implementering av LAPS for en organisasjon?
LAPS gir en løsning på problemet med å bruke en felles lokal konto med et identisk passord på hver datamaskin i et domene. LAPS løser dette problemet ved å angi et annet, rotert tilfeldig passord for den vanlige lokale administratorkontoen på hver datamaskin i domenet.
LAPS forenkler passordbehandling samtidig som de hjelper kundene med å implementere mer anbefalte forsvar mot cyberangrep. Løsningen reduserer spesielt risikoen for lateral eskalering som resulterer når kunder bruker den samme administrative lokale kontoen og passordkombinasjonen på datamaskinene sine. LAPS lagrer passordet for hver datamaskins lokale administratorkonto i AD, sikret i et konfidensielt attributt i datamaskinens tilsvarende AD-objekt. Datamaskinen kan oppdatere sine egne passorddata i AD, og domeneadministratorer kan gi lesetilgang til autoriserte brukere eller grupper, for eksempel administratorer for brukerstøtte for arbeidsstasjon.
Hvordan bruke denne sikkerhetsvurderingen?
Se gjennom den anbefalte handlingen for https://security.microsoft.com/securescore?viewid=actions å finne ut hvilke av domenene som har noen (eller alle) kompatible Windows-enheter som ikke er beskyttet av LAPS, eller som ikke har fått det LAPS-administrerte passordet endret de siste 60 dagene.
For domener som er delvis beskyttet, velger du den relevante raden for å vise listen over enheter som ikke er beskyttet av LAPS i dette domenet.
Obs!
Hvis hele domenet ikke er beskyttet med LAPS, ser du ikke listen over alle de ubeskyttede enhetene.
Utfør nødvendige tiltak på disse enhetene ved å laste ned, installere og konfigurere eller feilsøke Microsoft LAPS ved hjelp av dokumentasjonen som er angitt i nedlastingen.
Obs!
Mens vurderingene oppdateres i nær sanntid, oppdateres resultater og statuser hver 24. time. Selv om listen over berørte enheter oppdateres innen få minutter etter at du implementerer anbefalingene, kan statusen fortsatt ta tid før den er merket som Fullført.