Udostępnij za pośrednictwem


Podejście i najlepsze rozwiązania dotyczące oprogramowania wymuszającego okup zespołu reagowania na zdarzenia firmy Microsoft

Oprogramowanie wymuszane przez człowieka nie jest problemem złośliwego oprogramowania - jest to problem przestępczy. Rozwiązania używane do rozwiązywania problemów towarowych nie są wystarczające, aby zapobiec zagrożeniu, które bardziej przypomina aktora zagrożenia dla państwa narodu, który:

  • Wyłącza lub odinstalowuje oprogramowanie antywirusowe przed szyfrowaniem plików
  • Wyłącza usługi zabezpieczeń i rejestrowanie, aby uniknąć wykrywania
  • Lokalizuje i usuwa kopie zapasowe przed wysłaniem żądania okupu

Te działania są często wykonywane z legalnymi programami , takimi jak Szybka pomoc w maju 2024 r., które mogą już znajdować się w twoim środowisku do celów administracyjnych. W rękach przestępczych te narzędzia są używane złośliwie do przeprowadzania ataków.

Reagowanie na rosnące zagrożenie oprogramowaniem wymuszającym okup wymaga połączenia nowoczesnej konfiguracji przedsiębiorstwa, aktualnych produktów zabezpieczeń oraz czujności wyszkolonych pracowników zabezpieczeń w celu wykrywania zagrożeń i reagowania na nie przed utratą danych.

Zespół reagowania na zdarzenia firmy Microsoft (dawniej DART/CRSP) reaguje na naruszenia zabezpieczeń, aby pomóc klientom stać się cyberodpornym. Reagowanie na zdarzenia firmy Microsoft zapewnia reaktywną reakcję na zdarzenia i zdalne proaktywne badania. Reagowanie na zdarzenia firmy Microsoft korzysta ze strategicznych partnerstw firmy Microsoft z organizacjami zabezpieczeń na całym świecie i wewnętrznymi grupami produktów firmy Microsoft, aby zapewnić najbardziej kompletne i dokładne badanie.

W tym artykule opisano sposób, w jaki reagowanie na zdarzenia firmy Microsoft obsługuje ataki wymuszające okup dla klientów firmy Microsoft, dzięki czemu można rozważyć zastosowanie elementów ich podejścia i najlepszych rozwiązań dotyczących własnego podręcznika operacji zabezpieczeń.

Jak reagowanie na zdarzenia firmy Microsoft korzysta z usług zabezpieczeń firmy Microsoft

Reagowanie na zdarzenia firmy Microsoft w dużym stopniu opiera się na danych dla wszystkich badań i korzysta z istniejących wdrożeń usług zabezpieczeń firmy Microsoft, takich jak Ochrona usługi Office 365 w usłudze Microsoft Defender, Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender for Identity i Microsoft Defender dla Chmury Apps.

Usługa Microsoft Defender dla punktu końcowego

Defender for Endpoint to platforma zabezpieczeń punktu końcowego przedsiębiorstwa firmy Microsoft, która ułatwia analitykom zabezpieczeń sieci przedsiębiorstwa zapobieganie zaawansowanym zagrożeniom, wykrywanie, badanie i reagowanie na nie. Usługa Defender for Endpoint może wykrywać ataki przy użyciu zaawansowanej analizy behawioralnej i uczenia maszynowego. Analitycy mogą używać usługi Defender for Endpoint do analizy behawioralnej atakującej.

Analitycy mogą również wykonywać zaawansowane zapytania dotyczące wyszukiwania zagrożeń, aby przerzucić wskaźniki naruszenia (IOC) lub wyszukać znane zachowanie, jeśli zidentyfikują grupę aktorów zagrożeń.

W usłudze Defender dla punktu końcowego masz dostęp do usługi monitorowania i analizy na poziomie ekspertów na poziomie ekspertów w czasie rzeczywistym w celu uzyskania ciągłej aktywności podejrzanego aktora. Możesz również współpracować z ekspertami na żądanie, aby uzyskać więcej informacji na temat alertów i zdarzeń.

Microsoft Defender for Identity

Usługa Defender for Identity służy do badania znanych kont z naruszonym zabezpieczeniami i znajdowania potencjalnie naruszonych kont w organizacji. Usługa Defender for Identity wysyła alerty o znanych złośliwych działaniach, których aktorzy często używają, takich jak ataki DCSync, próby zdalnego wykonywania kodu i ataki typu pass-the-hash. Usługa Defender for Identity umożliwia wskazanie podejrzanych działań i kont w celu zawężenia badania.

Microsoft Defender for Cloud Apps

Defender dla Chmury Apps (wcześniej znane jako Microsoft Cloud App Security) umożliwia analitykom wykrywanie nietypowego zachowania w aplikacjach w chmurze w celu identyfikowania oprogramowania wymuszającego okup, naruszonych użytkowników lub nieautoryzowanych aplikacji. Defender dla Chmury Apps to rozwiązanie brokera zabezpieczeń dostępu do chmury (CASB) firmy Microsoft, które umożliwia monitorowanie usług w chmurze i dostępu do danych w usługach w chmurze przez użytkowników.

Wskaźnik bezpieczeństwa Microsoft

Zestaw usług Microsoft Defender XDR udostępnia zalecenia dotyczące korygowania na żywo w celu zmniejszenia obszaru ataków. Wskaźnik bezpieczeństwa firmy Microsoft to pomiar stanu zabezpieczeń organizacji z wyższą liczbą wskazującą, że podjęto więcej akcji poprawy. Zapoznaj się z dokumentacją wskaźnika bezpieczeństwa, aby dowiedzieć się więcej o tym, jak organizacja może używać tej funkcji do określania priorytetów akcji korygujących opartych na ich środowisku.

Podejście reagowania na zdarzenia firmy Microsoft do przeprowadzania dochodzeń dotyczących zdarzeń oprogramowania wymuszającego okup

Należy dokładać wszelkich starań, aby określić, w jaki sposób przeciwnik uzyskał dostęp do zasobów, aby można było skorygować luki w zabezpieczeniach. W przeciwnym razie istnieje duże prawdopodobieństwo ponownego wystąpienia tego samego typu ataku w przyszłości. W niektórych przypadkach aktor zagrożenia podejmuje kroki w celu zakrycia śladów i zniszczenia dowodów, więc istnieje możliwość, że cały łańcuch zdarzeń może nie być widoczny.

Poniżej przedstawiono trzy kluczowe kroki w badaniach oprogramowania wymuszającego okup reagowania na zdarzenia firmy Microsoft:

Krok Goal Pytania wstępne
1. Ocena bieżącej sytuacji Omówienie zakresu Co początkowo wiedziało o ataku wymuszającym okup?

O której godzinie/dacie po raz pierwszy dowiedziałeś się o zdarzeniu?

Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?
2. Identyfikowanie aplikacji biznesowych ,których dotyczy problem Pobieranie systemów z powrotem w tryb online Czy aplikacja wymaga tożsamości?

Czy są dostępne kopie zapasowe aplikacji, konfiguracji i danych?

Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania?
3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń (CR) Usuwanie kontroli osoby atakującej ze środowiska Nie dotyczy

Krok 1. Ocena bieżącej sytuacji

Ocena obecnej sytuacji ma kluczowe znaczenie dla zrozumienia zakresu zdarzenia oraz określenia najlepszych osób, które mają pomóc, oraz zaplanować i ograniczyć zadania badania i korygowania. Zadawanie następujących początkowych pytań ma kluczowe znaczenie dla ustalenia sytuacji.

Co początkowo uświadomiło Ci atak wymuszającego okup?

Jeśli pracownicy IT zidentyfikowali początkowe zagrożenie, takie jak zauważenie usunięcia kopii zapasowych, alertów antywirusowych, alertów wykrywanie i reagowanie w punktach końcowych (EDR) lub podejrzanych zmian systemu— często można podjąć szybkie zdecydowane środki w celu udaremnienia ataku, zazwyczaj przez wyłączenie całej przychodzącej i wychodzącej komunikacji internetowej. To zagrożenie może tymczasowo wpłynąć na operacje biznesowe, ale zwykle byłoby to znacznie mniej wpływające niż atakujący wdrażający oprogramowanie wymuszające okup.

Jeśli użytkownik zadzwoni do działu pomocy technicznej IT zidentyfikował zagrożenie, może być wystarczające ostrzeżenie przed podjęciem środków obronnych, aby zapobiec lub zminimalizować skutki ataku. Jeśli jednostka zewnętrzna, taka jak organy ścigania lub instytucja finansowa zidentyfikowała zagrożenie, prawdopodobnie szkody zostały już wykonane i zobaczysz dowody w twoim środowisku, że aktor zagrożenia ma kontrolę administracyjną nad siecią. Te dowody mogą wahać się od notatek okupu, zablokowanych ekranów lub żądań okupu.

Jaka data/godzina po raz pierwszy dowiedziała się o zdarzeniu?

Ustanowienie początkowej daty i godziny działania jest ważne, ponieważ pomaga zawęzić zakres początkowego klasyfikacji w celu szybkiego zwycięstwa przez osobę atakującą. Dodatkowe pytania mogą obejmować:

  • Jakich aktualizacji brakowało w tej dacie? Ważne jest, aby zrozumieć, jakie luki w zabezpieczeniach mogły zostać wykorzystane przez przeciwnika.
  • Jakie konta były używane w tej dacie?
  • Jakie nowe konta zostały utworzone od tej daty?

Jakie dzienniki są dostępne i czy istnieje jakiekolwiek wskazanie, że aktor uzyskuje obecnie dostęp do systemów?

Dzienniki — takie jak oprogramowanie antywirusowe, EDR i wirtualna sieć prywatna (VPN) — są wskaźnikiem podejrzanego naruszenia. Pytania dotyczące działań następczych mogą obejmować:

  • Czy dzienniki są agregowane w rozwiązaniu do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak Microsoft Sentinel, Splunk, ArcSight i inne? Jaki jest okres przechowywania tych danych?
  • Czy istnieją jakieś podejrzane systemy, na których występują nietypowe działania?
  • Czy istnieją podejrzane konta, które wydają się być aktywnie używane przez przeciwnika?
  • Czy istnieją jakieś dowody na aktywne polecenia i kontrolki (C2s) w EDR, zaporze, sieci VPN, internetowym serwerze proxy i innych dziennikach?

W ramach oceny bieżącej sytuacji może być potrzebny kontroler domeny usługi domena usługi Active Directory Services (AD DS), który nie został naruszony, niedawna kopia zapasowa kontrolera domeny lub ostatni kontroler domeny przełączony w tryb offline na potrzeby konserwacji lub uaktualnień. Określ również, czy uwierzytelnianie wieloskładnikowe (MFA) było wymagane dla wszystkich użytkowników w firmie i czy użyto identyfikatora Entra firmy Microsoft.

Krok 2. Identyfikowanie aplikacji biznesowych, które są niedostępne z powodu zdarzenia

Ten krok ma kluczowe znaczenie w określaniu najszybszego sposobu na powrót systemów do trybu online podczas uzyskiwania wymaganych dowodów.

Czy aplikacja wymaga tożsamości?

  • Jak jest przeprowadzane uwierzytelnianie?
  • W jaki sposób poświadczenia, takie jak certyfikaty lub wpisy tajne, są przechowywane i zarządzane?

Czy są dostępne przetestowane kopie zapasowe aplikacji, konfiguracji i danych?

  • Czy zawartość i integralność kopii zapasowych są regularnie weryfikowane przy użyciu ćwiczenia przywracania? Ta kontrola jest szczególnie ważna po zmianie zarządzania konfiguracją lub uaktualnieniach wersji.

Krok 3. Określanie procesu odzyskiwania po naruszeniu zabezpieczeń

Ten krok może być konieczny, jeśli ustalisz, że płaszczyzna sterowania, która jest zazwyczaj usługami AD DS, została naruszona.

Badanie powinno zawsze mieć na celu zapewnienie danych wyjściowych, które są przekazywane bezpośrednio do procesu CR. Cr to proces, który usuwa kontrolę osoby atakującej ze środowiska i taktycznie zwiększa stan zabezpieczeń w określonym przedziale czasu. Cr odbywa się po naruszeniu zabezpieczeń. Aby dowiedzieć się więcej na temat cr, przeczytaj zespół crSP zespołu ds. praktyk zabezpieczeń odzyskiwania zabezpieczeń firmy Microsoft: Zespół ratowniczy walczący z cyberatakami obok artykułu na blogu klientów .

Po zebraniu odpowiedzi na pytania w krokach 1 i 2 można utworzyć listę zadań i przypisać właścicieli. Kluczowym czynnikiem pomyślnego zaangażowania w reagowanie na zdarzenia jest szczegółowa, szczegółowa dokumentacja każdego elementu roboczego (na przykład właściciel, stan, wyniki, data i godzina), dzięki czemu kompilacja wyników na końcu zakontraktowania jest prosta.

Zalecenia i najlepsze rozwiązania dotyczące reagowania na zdarzenia firmy Microsoft

Poniżej przedstawiono zalecenia i najlepsze rozwiązania dotyczące ograniczania i działań po zdarzeniu firmy Microsoft.

Zamknięcia

Zawieranie może się zdarzyć tylko wtedy, gdy określisz, co należy zawierać. W przypadku oprogramowania wymuszającego okup celem przeciwnika jest uzyskanie poświadczeń, które umożliwiają kontrolę administracyjną nad serwerem o wysokiej dostępności, a następnie wdrożenie oprogramowania wymuszającego okup. W niektórych przypadkach aktor zagrożeń identyfikuje poufne dane i eksfiltruje je do lokalizacji, którą kontroluje.

Odzyskiwanie taktyczne jest unikatowe dla środowiska, branży i poziomu wiedzy i doświadczenia IT w organizacji. Kroki opisane poniżej są zalecane w przypadku krótkoterminowych i taktycznych kroków, które organizacja może wykonać. Aby dowiedzieć się więcej na temat długoterminowych wskazówek, zobacz Zabezpieczanie uprzywilejowanego dostępu. Aby zapoznać się z kompleksowym omówieniem oprogramowania wymuszającego okup i wymuszeniami oraz sposobem przygotowania i ochrony organizacji, zobacz Oprogramowanie wymuszane przez człowieka oprogramowanie wymuszane przez człowieka.

Następujące kroki zawierania można wykonać jednocześnie, gdy zostaną odnalezione nowe wektory zagrożeń.

Krok 1. Ocena zakresu sytuacji

  • Które konta użytkowników zostały naruszone?
  • Których urządzeń dotyczy problem?
  • Których aplikacji dotyczy problem?

Krok 2. Zachowanie istniejących systemów

  • Wyłącz wszystkie uprzywilejowane konta użytkowników z wyjątkiem niewielkiej liczby kont używanych przez administratorów, aby ułatwić resetowanie integralności infrastruktury usług AD DS. Jeśli uważasz, że konto użytkownika zostało naruszone, wyłącz je natychmiast.
  • Odizolowanie systemów z sieci, ale ich wyłączenie nie jest wyłączone.
  • Izolowanie co najmniej jednego znanego dobrego kontrolera domeny w każdej domenie-dwa jest jeszcze lepsze. Odłącz je od sieci lub całkowicie je zamknij. Obiektem jest zatrzymanie rozprzestrzeniania się oprogramowania wymuszającego okup na tożsamość systemów krytycznych wśród najbardziej narażonych. Jeśli wszystkie kontrolery domeny są wirtualne, upewnij się, że system platformy wirtualizacji i dyski danych są kopiami zapasowymi nośników zewnętrznych w trybie offline, które nie są połączone z siecią, na wypadek naruszenia zabezpieczeń samej platformy wirtualizacji.
  • Izolowanie krytycznych znanych dobrych serwerów aplikacji, na przykład sap, bazy danych zarządzania konfiguracją (CMDB), rozliczeń i systemów księgowych.

Te dwa kroki można wykonać jednocześnie, gdy zostaną odnalezione nowe wektory zagrożeń. Wyłącz te wektory zagrożeń, a następnie spróbuj znaleźć znany dobry system, aby odizolować się od sieci.

Inne działania taktyczne zawierania mogą obejmować:

  • Zresetuj hasło krbtgt, dwa razy z rzędu. Rozważ użycie skryptowego , powtarzalnego procesu. Ten skrypt umożliwia zresetowanie hasła konta krbtgt i powiązanych kluczy przy jednoczesnym zminimalizowaniu prawdopodobieństwa problemów z uwierzytelnianiem Kerberos powodowanych przez operację. Aby zminimalizować potencjalne problemy, okres istnienia krbtgt można zmniejszyć co najmniej jeden raz przed pierwszym zresetowanie hasła, aby dwa resetowanie zostało wykonane szybko. Należy pamiętać, że wszystkie kontrolery domeny, które mają być utrzymywane w środowisku, muszą być w trybie online.

  • Wdróż zasady grupy w całej domenie, która uniemożliwia logowanie uprzywilejowane (administratorzy domeny) do dowolnych elementów, ale kontrolerów domeny i uprzywilejowanych stacji roboczych tylko dla administratorów (jeśli istnieją).

  • Zainstaluj wszystkie brakujące aktualizacje zabezpieczeń dla systemów operacyjnych i aplikacji. Każda brakująca aktualizacja jest potencjalnym wektorem zagrożeń, który może szybko identyfikować i wykorzystywać przeciwników. Ochrona punktu końcowego w usłudze Microsoft DefenderZarządzanie zagrożeniami i lukami w zabezpieczeniach umożliwia łatwe sprawdzenie, czego brakuje, a także potencjalnego wpływu brakujących aktualizacji.

    • W przypadku urządzeń z systemem Windows 10 (lub nowszym) upewnij się, że bieżąca wersja (lub n-1) jest uruchomiona na każdym urządzeniu.

    • Wdrażanie reguł zmniejszania obszaru ataków (ASR), aby zapobiec infekcji złośliwym oprogramowaniem.

    • Włącz wszystkie funkcje zabezpieczeń systemu Windows 10.

  • Sprawdź, czy każda zewnętrzna aplikacja, w tym dostęp do sieci VPN, jest chroniona przez uwierzytelnianie wieloskładnikowe, najlepiej przy użyciu aplikacji uwierzytelniania uruchomionej na zabezpieczonym urządzeniu.

  • W przypadku urządzeń, które nie używają usługi Defender dla punktu końcowego jako podstawowego oprogramowania antywirusowego, uruchom pełne skanowanie przy użyciu Skaner bezpieczeństwa Microsoft w izolowanych znanych dobrych systemach przed ponownym połączeniem ich z siecią.

  • W przypadku wszystkich starszych systemów operacyjnych uaktualnij do obsługiwanego systemu operacyjnego lub likwiduj te urządzenia. Jeśli te opcje nie są dostępne, wykonaj każdą możliwą miarę, aby odizolować te urządzenia, w tym izolację sieci/sieci VLAN, reguły zabezpieczeń protokołu internetowego (IPsec) i ograniczenia logowania, aby były dostępne tylko dla aplikacji przez użytkowników/urządzenia w celu zapewnienia ciągłości działania.

Najbardziej ryzykowne konfiguracje składają się z uruchamiania systemów o znaczeniu krytycznym w starszych systemach operacyjnych, tak jak System Windows NT 4.0 i aplikacje, wszystkie na starszym sprzęcie. Nie tylko te systemy operacyjne i aplikacje są niezabezpieczone i podatne na zagrożenia, jeśli ten sprzęt ulegnie awarii, kopie zapasowe zwykle nie mogą być przywracane na nowoczesnym sprzęcie. Jeśli nie jest dostępny zamiennik starszego sprzętu, te aplikacje przestaną działać. Zdecydowanie należy rozważyć przekonwertowanie tych aplikacji, aby były uruchamiane w bieżących systemach operacyjnych i sprzęcie.

Działania po zdarzeniu

Reagowanie na zdarzenia firmy Microsoft zaleca wdrożenie następujących zaleceń dotyczących zabezpieczeń i najlepszych rozwiązań po każdym zdarzeniu.

  • Upewnij się, że najlepsze rozwiązania są dostępne dla rozwiązań do obsługi poczty e-mail i współpracy, aby utrudnić osobom atakującym ich wykorzystywanie, umożliwiając użytkownikom wewnętrznym łatwe i bezpieczne uzyskiwanie dostępu do zawartości zewnętrznej.

  • Postępuj zgodnie z najlepszymi rozwiązaniami w zakresie zabezpieczeń zero trust dla rozwiązań dostępu zdalnego do wewnętrznych zasobów organizacyjnych.

  • Począwszy od administratorów o krytycznym wpływie, postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń kont, w tym przy użyciu uwierzytelniania bez hasła lub uwierzytelniania wieloskładnikowego .

  • Zaimplementuj kompleksową strategię, aby zmniejszyć ryzyko naruszenia uprzywilejowanego dostępu.

  • Zaimplementuj ochronę danych, aby zablokować techniki wymuszania oprogramowania wymuszającego okup oraz potwierdzić szybkie i niezawodne odzyskiwanie po ataku.

  • Przejrzyj systemy krytyczne. Sprawdź ochronę i kopie zapasowe przed celowym wymazywaniem lub szyfrowaniem przez osobę atakującą. Ważne jest, aby okresowo testować i weryfikować te kopie zapasowe.

  • Zapewnij szybkie wykrywanie i korygowanie typowych ataków na punkt końcowy, pocztę e-mail i tożsamość.

  • Aktywnie odnajdywanie i ciągłe ulepszanie stanu zabezpieczeń środowiska.

  • Aktualizowanie procesów organizacyjnych w celu zarządzania głównymi zdarzeniami wymuszania oprogramowania wymuszającego okup i usprawnianie outsourcingu w celu uniknięcia problemów.

PAM

Użycie usługi PAM (wcześniej znanej jako model administracji warstwowej) zwiększa stan zabezpieczeń identyfikatora Entra firmy Microsoft, który obejmuje:

  • Podział kont administracyjnych w "zaplanowanym" koncie środowiska jeden dla każdego poziomu, zwykle cztery:

  • Płaszczyzna sterowania (dawniej Warstwa 0): Administrowanie kontrolerami domeny i innymi kluczowymi usługami tożsamości, takimi jak Usługi federacyjne Active Directory (ADFS) lub Microsoft Entra Connect, która obejmuje również aplikacje serwerów, które wymagają uprawnień administracyjnych do usług AD DS, takich jak Exchange Server.

  • Dwa następne samoloty były wcześniej warstwą 1:

    • Płaszczyzna zarządzania: zarządzanie zasobami, monitorowanie i zabezpieczenia.

    • Płaszczyzna danych/obciążenia: aplikacje i serwery aplikacji.

  • Dwa następne samoloty były wcześniej warstwą 2:

    • Dostęp użytkowników: prawa dostępu dla użytkowników (takich jak konta).

    • Dostęp do aplikacji: prawa dostępu dla aplikacji.

  • Każda z tych płaszczyzn ma oddzielną stację roboczą administracyjną dla każdej płaszczyzny i ma dostęp tylko do systemów w tej płaszczyźnie. Inne konta z innych płaszczyzn są blokowane dostęp do stacji roboczych i serwerów w innych płaszczyznach za pośrednictwem przypisań praw użytkownika ustawionych na te maszyny.

Wynikiem netto usługi PAM jest to, że:

  • Naruszone konto użytkownika ma dostęp tylko do płaszczyzny, do której należy.

  • Bardziej wrażliwe konta użytkowników nie będą logować się do stacji roboczych i serwerów z poziomem zabezpieczeń niższej płaszczyzny, co zmniejsza ruch boczny.

OKRĄŻEŃ

Domyślnie systemy Microsoft Windows i AD DS nie mają scentralizowanego zarządzania lokalnymi kontami administracyjnymi na stacjach roboczych i serwerach członkowskich. Może to spowodować typowe hasło podane dla wszystkich tych kont lokalnych lub przynajmniej w grupach maszyn. Taka sytuacja umożliwia osobom atakującym naruszenie zabezpieczeń jednego konta administratora lokalnego, a następnie użycie tego konta w celu uzyskania dostępu do innych stacji roboczych lub serwerów w organizacji.

Rozwiązanie LAPS firmy Microsoft ogranicza to za pomocą rozszerzenia po stronie klienta zasad grupy, które zmienia lokalne hasło administracyjne w regularnych odstępach czasu na stacjach roboczych i serwerach zgodnie z zestawem zasad. Każde z tych haseł jest inne i przechowywane jako atrybut w obiekcie komputera usług AD DS. Ten atrybut można pobrać z prostej aplikacji klienckiej, w zależności od uprawnień przypisanych do tego atrybutu.

LAPS wymaga rozszerzenia schematu usług AD DS, aby umożliwić dodatkowe atrybuty, szablony zasad grupy LAPS do zainstalowania i małe rozszerzenie po stronie klienta, które ma być zainstalowane na każdej stacji roboczej i serwerze członkowskim, aby zapewnić funkcjonalność po stronie klienta.

Możesz uzyskać usługę LAPS z Centrum pobierania Microsoft.

Dodatkowe zasoby oprogramowania wymuszającego okup

Kluczowe informacje od firmy Microsoft:

Microsoft 365:

Microsoft Defender XDR:

Microsoft Azure:

aplikacje Microsoft Defender dla Chmury: