Dela via

Säkerhetsutvärdering: Microsoft LAPS-användning

  • Artikel

Vad är Microsoft LAPS?

Microsofts "Local Administrator Password Solution" (LAPS) tillhandahåller hantering av lösenord för lokala administratörskonton för domänanslutna datorer. Lösenord randomiseras och lagras i Active Directory (AD), skyddas av ACL:er, så att endast berättigade användare kan läsa det eller begära återställning.

Den här säkerhetsbedömningen stöder äldre Microsoft LAPS och Windows LAPS.

Vilken risk innebär inte LAPS för en organisation?

LAPS ger en lösning på problemet med att använda ett vanligt lokalt konto med ett identiskt lösenord på varje dator i en domän. LAPS löser problemet genom att ange ett annat roterat slumpmässigt lösenord för det gemensamma lokala administratörskontot på alla datorer i domänen.

LAPS förenklar lösenordshanteringen och hjälper kunderna att implementera mer rekommenderade skydd mot cyberattacker. I synnerhet minskar lösningen risken för lateral eskalering som resulterar när kunder använder samma administrativa lokala konto och lösenordskombination på sina datorer. LAPS lagrar lösenordet för varje dators lokala administratörskonto i AD, skyddat i ett konfidentiellt attribut i datorns motsvarande AD-objekt. Datorn kan uppdatera sina egna lösenordsdata i AD, och domänadministratörer kan ge läsbehörighet till behöriga användare eller grupper, till exempel administratörer för arbetsstationshjälpavdelningen.

Hur gör jag för att använda den här säkerhetsbedömningen?

  1. Granska den rekommenderade åtgärden på https://security.microsoft.com/securescore?viewid=actions för att identifiera vilka av dina domäner som har vissa (eller alla) kompatibla Windows-enheter som inte skyddas av LAPS, eller som inte har fått sina LAPS-hanterade lösenord ändrade under de senaste 60 dagarna.

    Skärmbild som visar vilka domäner som har enheter som inte skyddas av LAPS.

  2. För domäner som är delvis skyddade väljer du den relevanta raden för att visa listan över enheter som inte skyddas av LAPS i den domänen.

    Välj domän med enheter som inte skyddas av LAPS.

  3. Vidta lämpliga åtgärder på dessa enheter genom att ladda ned, installera och konfigurera eller felsöka Microsoft LAPS eller Windows LAPS.

    Åtgärda enheter som inte skyddas av LAPS.

Obs!

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över påverkade entiteter uppdateras inom några minuter efter att du implementerat rekommendationerna kan statusen fortfarande ta tid tills den markeras som Slutförd.

Se även