Delen via

Beveiligingsevaluatie: Microsoft LAPS-gebruik

  • Artikel

Wat is Microsoft LAPS?

De 'Local Administrator Password Solution' (LAPS) van Microsoft biedt beheer van lokale beheerdersaccountwachtwoorden voor computers die lid zijn van een domein. Wachtwoorden worden gerandomiseerd en opgeslagen in Active Directory (AD), beveiligd door ACL's, zodat alleen in aanmerking komende gebruikers het kunnen lezen of het opnieuw instellen kunnen aanvragen.

Deze beveiligingsevaluatie ondersteunt alleen verouderde Microsoft LAPS .

Welk risico vormt het niet implementeren van LAPS voor een organisatie?

LAPS biedt een oplossing voor het probleem van het gebruik van een gemeenschappelijk lokaal account met een identiek wachtwoord op elke computer in een domein. LAPS lost dit probleem op door op elke computer in het domein een ander, geroteerd willekeurig wachtwoord in te stellen voor het algemene lokale beheerdersaccount.

LAPS vereenvoudigt het wachtwoordbeheer en helpt klanten bij het implementeren van meer aanbevolen beveiliging tegen cyberaanvallen. De oplossing vermindert met name het risico van laterale escalatie die ontstaat wanneer klanten dezelfde combinatie van lokaal beheerdersaccount en wachtwoord op hun computers gebruiken. LAPS slaat het wachtwoord op voor het lokale beheerdersaccount van elke computer in AD, beveiligd met een vertrouwelijk kenmerk in het bijbehorende AD-object van de computer. De computer kan de eigen wachtwoordgegevens in AD bijwerken en domeinbeheerders kunnen leestoegang verlenen aan geautoriseerde gebruikers of groepen, zoals helpdeskbeheerders van werkstations.

Hoe kan ik deze beveiligingsevaluatie gebruiken?

  1. Bekijk de aanbevolen actie op https://security.microsoft.com/securescore?viewid=actions om te ontdekken welke van uw domeinen een aantal (of alle) compatibele Windows-apparaten hebben die niet worden beveiligd met LAPS of waarvoor het beheerde LAPS-wachtwoord in de afgelopen 60 dagen niet is gewijzigd.

    Bekijk voor welke domeinen apparaten niet zijn beveiligd door LAPS.

  2. Voor domeinen die gedeeltelijk zijn beveiligd, selecteert u de relevante rij om de lijst met apparaten weer te geven die niet door LAPS zijn beveiligd in dat domein.

    Selecteer domein met apparaten die niet zijn beveiligd door LAPS.

    Opmerking

    Als het hele domein niet is beveiligd met LAPS, ziet u niet de lijst met alle niet-beveiligde apparaten.

  3. Neem de juiste actie op deze apparaten door Microsoft LAPS te downloaden, installeren en configureren of problemen met Microsoft LAPS op te lossen met behulp van de documentatie in de download.

    Herstel apparaten die niet zijn beveiligd door LAPS.

Opmerking

Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen enkele minuten na het implementeren van de aanbevelingen wordt bijgewerkt, kan de status nog steeds enige tijd duren totdat deze is gemarkeerd als Voltooid.

Zie ook