Beveiligingsevaluatie: Microsoft LAPS-gebruik
Wat is Microsoft LAPS?
Laps (Local Beheer istrator Password Solution) van Microsoft biedt beheer van wachtwoorden voor lokale beheerdersaccounts voor computers die lid zijn van een domein. Wachtwoorden worden gerandomiseerd en opgeslagen in Active Directory (AD), beveiligd door ACL's, zodat alleen in aanmerking komende gebruikers deze kunnen lezen of opnieuw instellen kunnen aanvragen.
Deze beveiligingsevaluatie ondersteunt alleen verouderde Microsoft LAPS .
Welk risico vormt het implementeren van LAPS niet voor een organisatie?
LAPS biedt een oplossing voor het probleem van het gebruik van een gemeenschappelijk lokaal account met een identiek wachtwoord op elke computer in een domein. LAPS lost dit probleem op door een ander, geroteerd willekeurig wachtwoord in te stellen voor het algemene lokale beheerdersaccount op elke computer in het domein.
LAPS vereenvoudigt wachtwoordbeheer en helpt klanten meer aanbevolen verdediging tegen cyberaanvallen te implementeren. Met name de oplossing beperkt het risico op laterale escalatie die resulteert wanneer klanten dezelfde combinatie van lokale beheerdersaccounts en wachtwoorden op hun computers gebruiken. LAPS slaat het wachtwoord op voor het lokale beheerdersaccount van elke computer in AD, beveiligd in een vertrouwelijk kenmerk in het bijbehorende AD-object van de computer. De computer kan zijn eigen wachtwoordgegevens bijwerken in AD en domeinbeheerders kunnen leestoegang verlenen aan geautoriseerde gebruikers of groepen, zoals helpdeskbeheerders van werkstations.
Hoe kan ik deze beveiligingsevaluatie gebruiken?
Bekijk de aanbevolen actie om https://security.microsoft.com/securescore?viewid=actions te ontdekken welke van uw domeinen een aantal (of alle) compatibele Windows-apparaten hebben die niet zijn beveiligd door LAPS of die hun beheerde LAPS-wachtwoord in de afgelopen 60 dagen niet hebben gewijzigd.
Voor domeinen die gedeeltelijk zijn beveiligd, selecteert u de relevante rij om de lijst met apparaten weer te geven die niet zijn beveiligd door LAPS in dat domein.
Notitie
Als het hele domein niet is beveiligd met LAPS, ziet u niet de lijst met alle niet-beveiligde apparaten.
Neem de juiste actie op deze apparaten door Microsoft LAPS te downloaden, te installeren en te configureren of problemen op te lossen met behulp van de documentatie in de download.
Notitie
Terwijl evaluaties in bijna realtime worden bijgewerkt, worden scores en statussen elke 24 uur bijgewerkt. Hoewel de lijst met betrokken entiteiten binnen een paar minuten na de implementatie van de aanbevelingen wordt bijgewerkt, kan de status nog steeds even duren totdat deze is gemarkeerd als Voltooid.