Dela via

Säkerhetsbedömning: Microsoft LAPS-användning

  • Artikel

Vad är Microsoft LAPS?

Microsofts "Local Administrator Password Solution" (LAPS) tillhandahåller hantering av lösenord för lokala administratörskonton för domänanslutna datorer. Lösenord randomiseras och lagras i Active Directory (AD), skyddas av ACL:er, så att endast berättigade användare kan läsa det eller begära återställning.

Den här säkerhetsbedömningen stöder endast äldre Microsoft LAPS .

Vilken risk utgör inte implementering av LAPS för en organisation?

LAPS ger en lösning på problemet med att använda ett vanligt lokalt konto med ett identiskt lösenord på varje dator i en domän. LAPS löser det här problemet genom att ange ett annat, roterat slumpmässigt lösenord för det gemensamma lokala administratörskontot på alla datorer i domänen.

LAPS förenklar lösenordshanteringen och hjälper kunderna att implementera fler rekommenderade skydd mot cyberattacker. I synnerhet minskar lösningen risken för lateral eskalering som uppstår när kunder använder samma administrativa lokala konto och lösenordskombination på sina datorer. LAPS lagrar lösenordet för varje dators lokala administratörskonto i AD, skyddat i ett konfidentiellt attribut i datorns motsvarande AD-objekt. Datorn kan uppdatera sina egna lösenordsdata i AD och domänadministratörer kan bevilja läsbehörighet till behöriga användare eller grupper, till exempel administratörer för arbetsstationshjälpavdelningen.

Hur gör jag för att använda den här säkerhetsbedömningen?

  1. Granska den rekommenderade åtgärden för https://security.microsoft.com/securescore?viewid=actions att identifiera vilka av dina domäner som har vissa (eller alla) kompatibla Windows-enheter som inte skyddas av LAPS, eller som inte har fått sina LAPS-hanterade lösenord ändrade under de senaste 60 dagarna.

    See which domains have devices unprotected by LAPS.

  2. För domäner som är delvis skyddade väljer du relevant rad för att visa listan över enheter som inte skyddas av LAPS i domänen.

    Select domain with devices unprotected by LAPS.

    Kommentar

    Om hela domänen inte är skyddad med LAPS visas inte listan över alla oskyddade enheter.

  3. Vidta lämpliga åtgärder på dessa enheter genom att ladda ned, installera och konfigurera eller felsöka Microsoft LAPS med hjälp av dokumentationen i nedladdningen.

    Remediate devices unprotected by LAPS.

Kommentar

Utvärderingar uppdateras nästan i realtid, men poäng och status uppdateras var 24:e timme. Även om listan över berörda entiteter uppdateras inom några minuter efter implementeringen av rekommendationerna kan statusen fortfarande ta tid tills den har markerats som Slutförd.

Se även