Delen via

Beveiligingsevaluatie: Microsoft LAPS-gebruik

  • Artikel

Wat is Microsoft LAPS?

De 'Local Administrator Password Solution' (LAPS) van Microsoft biedt beheer van lokale beheerdersaccountwachtwoorden voor computers die lid zijn van een domein. Wachtwoorden worden gerandomiseerd en opgeslagen in Active Directory (AD), beveiligd door ACL's, zodat alleen in aanmerking komende gebruikers het kunnen lezen of het opnieuw instellen kunnen aanvragen.

Deze beveiligingsevaluatie ondersteunt verouderde Microsoft LAPS en Windows LAPS.

Welk risico vormt het implementeren van LAPS voor een organisatie?

LAPS biedt een oplossing voor het probleem van het gebruik van een gemeenschappelijk lokaal account met een identiek wachtwoord op elke computer in een domein. LAPS lost dit probleem op door op elke computer in het domein een ander, geroteerd willekeurig wachtwoord in te stellen voor het algemene lokale beheerdersaccount.

LAPS vereenvoudigt het wachtwoordbeheer en helpt klanten bij het implementeren van meer aanbevolen beveiliging tegen cyberaanvallen. De oplossing vermindert met name het risico van laterale escalatie die ontstaat wanneer klanten dezelfde combinatie van lokaal beheerdersaccount en wachtwoord op hun computers gebruiken. LAPS slaat het wachtwoord op voor het lokale beheerdersaccount van elke computer in AD, beveiligd met een vertrouwelijk kenmerk in het bijbehorende AD-object van de computer. De computer kan de eigen wachtwoordgegevens in AD bijwerken en domeinbeheerders kunnen leestoegang verlenen aan geautoriseerde gebruikers of groepen, zoals helpdeskbeheerders van werkstations.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw domeinen een aantal (of alle) compatibele Windows-apparaten hebben die niet worden beveiligd met LAPS of waarvoor het beheerde LAPS-wachtwoord in de afgelopen 60 dagen niet is gewijzigd.

    Schermopname van welke domeinen apparaten niet zijn beveiligd door LAPS.

  2. Voor domeinen die gedeeltelijk zijn beveiligd, selecteert u de relevante rij om de lijst met apparaten weer te geven die niet door LAPS zijn beveiligd in dat domein.

    Selecteer domein met apparaten die niet zijn beveiligd door LAPS.

  3. Onderneem de juiste actie op deze apparaten door Microsoft LAPS of Windows LAPS te downloaden, te installeren en te configureren of problemen op te lossen.

    Herstel apparaten die niet zijn beveiligd door LAPS.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met beïnvloede entiteiten binnen een paar minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren voordat deze wordt gemarkeerd als Voltooid.

Zie ook