安全评估:Microsoft LAPS 使用情况
什么是Microsoft LAPS?
Microsoft的“本地管理员密码解决方案” (LAPS) 为已加入域的计算机提供本地管理员帐户密码的管理。 密码随机化并存储在 Active Directory (AD) 中,受 ACL 保护,因此只有符合条件的用户可以读取密码或请求重置密码。
此安全评估支持 旧Microsoft LAPS 和 Windows LAPS。
不实施 LAPS 会给组织带来什么风险?
LAPS 为在域中的每台计算机上使用具有相同密码的通用本地帐户提供了解决方案。 LAPS 通过在域中的每台计算机上为通用本地管理员帐户设置不同的轮换随机密码来解决此问题。
LAPS 简化了密码管理,同时帮助客户实施更多针对网络攻击的建议防御措施。 具体而言,该解决方案可降低当客户在其计算机上使用相同的管理本地帐户和密码组合时导致横向升级的风险。 LAPS 将每台计算机的本地管理员帐户的密码存储在 AD 中,该密码在计算机的相应 AD 对象中的机密属性中受到保护。 计算机可以在 AD 中更新自己的密码数据,域管理员可以向授权的用户或组(例如工作站支持管理员)授予读取访问权限。
如何实现使用此安全评估?
查看 中的建议作 https://security.microsoft.com/securescore?viewid=actions ,了解哪些域具有不受 LAPS 保护的一些 (或所有) 兼容的 Windows 设备,或者在过去 60 天内未更改其 LAPS 托管密码。
对于部分受保护的域,请选择相关行以查看该域中不受 LAPS 保护的设备列表。
通过下载、安装和配置 LAPS 或 Windows LAPS 或 Windows LAPSMicrosoft进行故障排除,在这些设备上采取适当的作。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表会在你实施建议后的几分钟内更新,但状态可能需要一段时间才能标记为 “已完成”。