Évaluation de la sécurité : Utilisation de Microsoft LAPS

  • Article

Qu’est-ce que Microsoft LAPS ?

La solution de mot de passe de Microsoft « Local Administration istrator Password Solution » (LAPS) fournit la gestion des mots de passe de compte d’administrateur local pour les ordinateurs joints à un domaine. Les mots de passe sont aléatoires et stockés dans Active Directory (AD), protégés par les listes de contrôle d’accès. Seuls les utilisateurs éligibles peuvent le lire ou demander sa réinitialisation.

Cette évaluation de la sécurité prend uniquement en charge l’héritage de Microsoft LAPS .

Quel risque n’implémente pas LAPS pour une organisation ?

LAPS fournit une solution au problème d’utilisation d’un compte local commun avec un mot de passe identique sur chaque ordinateur d’un domaine. LAPS résout ce problème en définissant un mot de passe aléatoire différent et pivoté pour le compte d’administrateur local commun sur chaque ordinateur du domaine.

LAPS simplifie la gestion des mots de passe tout en aidant les clients à implémenter des défenses plus recommandées contre les cyberattaques. En particulier, la solution atténue le risque d’escalade latérale qui se produit lorsque les clients utilisent la même combinaison de compte local et de mot de passe administratifs sur leurs ordinateurs. LAPS stocke le mot de passe du compte d’administrateur local de chaque ordinateur dans AD, sécurisé dans un attribut confidentiel dans l’objet AD correspondant de l’ordinateur. L’ordinateur peut mettre à jour ses propres données de mot de passe dans AD, et les administrateurs de domaine peuvent accorder l’accès en lecture aux utilisateurs ou groupes autorisés, tels que les administrateurs du support technique de station de travail.

Comment faire utiliser cette évaluation de sécurité ?

  1. Passez en revue l’action recommandée pour https://security.microsoft.com/securescore?viewid=actions découvrir quels domaines ont des appareils Windows compatibles (ou tous) qui ne sont pas protégés par LAPS ou qui n’ont pas changé leur mot de passe managé LAPS au cours des 60 derniers jours.

    See which domains have devices unprotected by LAPS.

  2. Pour les domaines partiellement protégés, sélectionnez la ligne appropriée pour afficher la liste des appareils non protégés par LAPS dans ce domaine.

    Select domain with devices unprotected by LAPS.

    Remarque

    Si l’ensemble du domaine n’est pas protégé par LAPS, vous ne verrez pas la liste de tous les appareils non protégés.

  3. Prenez les mesures appropriées sur ces appareils en téléchargeant, en installant et en configurant ou en dépannant Microsoft LAPS à l’aide de la documentation fournie dans le téléchargement.

    Remediate devices unprotected by LAPS.

Remarque

Bien que les évaluations soient mises à jour en quasi temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités affectées soit mise à jour dans les quelques minutes suivant l’implémentation des recommandations, l’état peut prendre du temps jusqu’à ce qu’il soit marqué comme terminé.

Voir aussi