Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Ocena zabezpieczeń: Użycie usługi Microsoft LAPS

Co to jest microsoft LAPS?

Rozwiązanie LAPS (Local Administrator Password Solution) firmy Microsoft umożliwia zarządzanie hasłami konta administratora lokalnego dla komputerów przyłączonych do domeny. Hasła są losowe i przechowywane w usłudze Active Directory (AD), chronione przez listy ACL, więc tylko uprawnieni użytkownicy mogą je odczytać lub zażądać jego zresetowania.

Ta ocena zabezpieczeń obsługuje tylko starsze usługi Microsoft LAPS .

Jakie ryzyko nie stwarza implementacja usługi LAPS dla organizacji?

Usługa LAPS zapewnia rozwiązanie problemu z używaniem wspólnego konta lokalnego z identycznym hasłem na każdym komputerze w domenie. Usługa LAPS rozwiązuje ten problem, ustawiając inne, obrócone losowe hasło dla wspólnego konta administratora lokalnego na każdym komputerze w domenie.

Usługa LAPS upraszcza zarządzanie hasłami, jednocześnie pomagając klientom wdrożyć bardziej zalecaną ochronę przed cyberatakami. W szczególności rozwiązanie zmniejsza ryzyko eskalacji bocznej, która powoduje, że klienci korzystają z tej samej kombinacji administracyjnego konta lokalnego i hasła na swoich komputerach. Usługa LAPS przechowuje hasło dla konta administratora lokalnego każdego komputera w usłudze AD, zabezpieczone w poufnym atrybucie w odpowiednim obiekcie usługi AD komputera. Komputer może aktualizować własne dane haseł w usłudze AD, a administratorzy domeny mogą udzielić dostępu do odczytu autoryzowanym użytkownikom lub grupom, takim jak administratorzy pomocy technicznej stacji roboczej.

Jak mogę użyć tej oceny zabezpieczeń?

  1. Przejrzyj zalecaną akcję pod adresem https://security.microsoft.com/securescore?viewid=actions , aby dowiedzieć się, które domeny mają niektóre (lub wszystkie) zgodne urządzenia z systemem Windows, które nie są chronione przez usługę LAPS lub które nie zmieniły hasła zarządzanego przez usługę LAPS w ciągu ostatnich 60 dni.

    Zobacz, które domeny mają urządzenia niechronione przez usługę LAPS.

  2. W przypadku domen, które są częściowo chronione, wybierz odpowiedni wiersz, aby wyświetlić listę urządzeń, które nie są chronione przez usługę LAPS w tej domenie.

    Wybierz domenę z urządzeniami niechronionymi przez usługę LAPS.

    Uwaga

    Jeśli cała domena nie jest chroniona za pomocą usługi LAPS, nie będzie widoczna lista wszystkich niechronionych urządzeń.

  3. Wykonaj odpowiednie działania na tych urządzeniach, pobierając, instalując i konfigurując lub rozwiązając problemy z usługą Microsoft LAPS , korzystając z dokumentacji udostępnionej w pobieraniu.

    Korygowanie urządzeń niechronionych przez usługę LAPS.

Uwaga

Podczas gdy oceny są aktualizowane niemal w czasie rzeczywistym, wyniki i stany są aktualizowane co 24 godziny. Mimo że lista jednostek, których dotyczy problem, zostanie zaktualizowana w ciągu kilku minut od zaimplementowania zaleceń, stan może zająć trochę czasu, dopóki nie zostanie oznaczony jako Ukończono.

Zobacz też