安全性評估:Microsoft LAPS 使用量
什麼是 Microsoft LAPS?
Microsoft的「本機系統管理員密碼解決方案」 (LAPS) 提供已加入網域之計算機的本機系統管理員帳戶密碼管理。 密碼會隨機儲存在 Active Directory (AD) 中,並受到 ACL 保護,因此只有合格的使用者可以讀取或要求重設密碼。
此安全性評定僅支援 舊Microsoft LAPS 。
實作 LAPS 不會對組織造成什麼風險?
LAPS 提供一個解決方案來解決在網域中每部計算機上使用具有相同密碼的通用本機帳戶的問題。 LAPS 會為網域中每部計算機上的一般本機系統管理員帳戶設定不同的輪替隨機密碼,以解決此問題。
LAPS 可簡化密碼管理,同時協助客戶實作更建議的防禦網路攻擊。 特別是,當客戶在其計算機上使用相同的系統管理本機帳戶和密碼組合時,解決方案會降低橫向呈報的風險。 LAPS 會將每部電腦本機系統管理員帳戶的密碼儲存在 AD 中,並以電腦對應 AD 物件中的機密屬性保護。 計算機可以在AD中更新自己的密碼數據,而網域系統管理員可以將讀取許可權授與授權的使用者或群組,例如工作站技術服務台系統管理員。
如何? 使用此安全性評估嗎?
檢閱 中的建議動作 https://security.microsoft.com/securescore?viewid=actions ,以探索哪些網域有一些 (或所有) 相容的 Windows 裝置未受 LAPS 保護,或在過去 60 天內未變更其 LAPS 受控密碼。
針對部分受保護的網域,選取相關數據列以檢視該網域中未受LAPS保護的裝置清單。
注意事項
如果整個網域未受到 LAPS 保護,您將不會看到所有未受保護裝置的清單。
使用下載中提供的文件,下載、安裝及設定 LAPS Microsoft 進行疑難解答,以在這些裝置上採取適當的動作。
注意事項
當評量以近乎即時的方式更新時,每隔 24 小時就會更新一次分數和狀態。 雖然受影響的實體清單會在您實作建議的幾分鐘內更新,但狀態可能需要一些時間,直到標示為已 完成為止。