Avaliação de segurança: uso do Microsoft LAPS
O que é o Microsoft LAPS?
A "Local Administrator Password Solution" (LAPS) da Microsoft fornece gerenciamento de senhas de contas de administrador local para computadores que ingressaram no domínio. As senhas são aleatórias e armazenadas no Ative Directory (AD), protegidas por ACLs, para que apenas usuários qualificados possam lê-las ou solicitar sua redefinição.
Esta avaliação de segurança suporta apenas Microsoft LAPS herdado.
Qual o risco que a não implementação do LAPS representa para uma organização?
O LAPS fornece uma solução para o problema do uso de uma conta local comum com uma senha idêntica em todos os computadores de um domínio. O LAPS resolve esse problema definindo uma senha aleatória diferente e girada para a conta de administrador local comum em todos os computadores do domínio.
O LAPS simplifica o gerenciamento de senhas enquanto ajuda os clientes a implementar defesas mais recomendadas contra ataques cibernéticos. Em particular, a solução reduz o risco de escalonamento lateral que resulta quando os clientes usam a mesma conta local administrativa e combinação de senha em seus computadores. O LAPS armazena a senha da conta de administrador local de cada computador no AD, protegida em um atributo confidencial no objeto AD correspondente do computador. O computador pode atualizar seus próprios dados de senha no AD e os administradores de domínio podem conceder acesso de leitura a usuários ou grupos autorizados, como administradores de helpdesk de estação de trabalho.
Como posso utilizar esta avaliação de segurança?
Reveja a ação recomendada para https://security.microsoft.com/securescore?viewid=actions descobrir quais dos seus domínios têm alguns (ou todos) os dispositivos Windows compatíveis que não estão protegidos pelo LAPS ou que não tiveram a palavra-passe gerida pelo LAPS alterada nos últimos 60 dias.
Para domínios parcialmente protegidos, selecione a linha relevante para exibir a lista de dispositivos não protegidos pelo LAPS nesse domínio.
Nota
Se todo o domínio não estiver protegido com LAPS, você não verá a lista de todos os dispositivos desprotegidos.
Tome as medidas apropriadas nesses dispositivos baixando, instalando e configurando ou solucionando problemas do Microsoft LAPS usando a documentação fornecida no download.
Nota
Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.