Поделиться через

Оценка безопасности: использование Microsoft LAPS

  • Статья

Что такое Microsoft LAPS?

Решение microsoft Local Administrator Password Solution (LAPS) обеспечивает управление паролями учетных записей локального администратора для компьютеров, присоединенных к домену. Пароли рандомизированы и хранятся в Active Directory (AD), защищены списками управления доступом, поэтому только соответствующие пользователи могут прочитать их или запросить его сброс.

Эта оценка безопасности поддерживает только устаревшие microsoft LAPS .

Какой риск не представляет для организации реализация LAPS?

LAPS позволяет решить проблему использования общей локальной учетной записи с одинаковым паролем на каждом компьютере в домене. LAPS устраняет эту проблему, задавая другой сменяемый случайный пароль для общей учетной записи локального администратора на каждом компьютере в домене.

LAPS упрощает управление паролями, помогая клиентам реализовать более рекомендуемую защиту от кибератак. В частности, решение снижает риск боковой эскалации, которая приводит к тому, что клиенты используют одну и ту же комбинацию локальной учетной записи администратора и пароля на своих компьютерах. LAPS хранит пароль для учетной записи локального администратора каждого компьютера в AD, защищенный в конфиденциальном атрибуте в соответствующем объекте AD компьютера. Компьютер может обновлять собственные данные паролей в AD, а администраторы домена могут предоставлять доступ на чтение авторизованным пользователям или группам, таким как администраторы службы технической поддержки рабочих станций.

Разделы справки использовать эту оценку безопасности?

  1. Ознакомьтесь с рекомендуемыми действиями, https://security.microsoft.com/securescore?viewid=actions чтобы узнать, какие из ваших доменов имеют некоторые (или все) совместимые устройства с Windows, которые не защищены с помощью LAPS или на которых за последние 60 дней не был изменен управляемый пароль LAPS.

    Узнайте, какие домены имеют устройства, не защищенные LAPS.

  2. Для доменов, которые частично защищены, выберите соответствующую строку, чтобы просмотреть список устройств, не защищенных LAPS в этом домене.

    Выберите домен с устройствами, не защищенными LAPS.

    Примечание.

    Если весь домен не защищен с помощью LAPS, вы не увидите список всех незащищенных устройств.

  3. Выполните соответствующие действия на этих устройствах, скачав, установив и настроив или устранив неполадки Microsoft LAPS с помощью документации, приведенной в загрузке.

    Исправьте устройства, не защищенные LAPS.

Примечание.

Хотя оценки обновляются практически в реальном времени, оценки и состояния обновляются каждые 24 часа. Хотя список затронутых сущностей обновляется в течение нескольких минут после реализации рекомендаций, состояние по-прежнему может занять некоторое время, пока он не помечается как Завершено.

См. также