安全评估:Microsoft LAPS 使用情况
什么是 Microsoft LAPS?
Microsoft 的“本地管理员管理员密码解决方案”(LAPS)为已加入域的计算机提供本地管理员帐户密码的管理。 密码随机化并存储在 Active Directory(AD)中,受 ACL 保护,因此只有符合条件的用户可以读取密码或请求其重置。
此安全评估仅支持 旧版 Microsoft LAPS 。
实施 LAPS 会给组织带来哪些风险?
LAPS 提供了一种解决方案,用于在域中的每台计算机上使用具有相同密码的通用本地帐户的问题。 LAPS 通过为域中的每台计算机上通用本地管理员帐户设置不同的轮换随机密码来解决此问题。
LAPS 简化了密码管理,同时帮助客户实施针对网络攻击的更多建议防御措施。 具体而言,该解决方案可降低横向升级的风险,当客户在其计算机上使用相同的管理本地帐户和密码组合时,会导致横向升级。 LAPS 将每台计算机的本地管理员帐户的密码存储在 AD 中,该帐户在计算机的相应 AD 对象中的机密属性中受到保护。 计算机可以在 AD 中更新其自己的密码数据,域管理员可以授予对授权用户或组(例如工作站支持管理员)的读取访问权限。
如何实现使用此安全评估?
查看建议的操作, https://security.microsoft.com/securescore?viewid=actions 发现哪些域具有某些(或全部)兼容的 Windows 设备,这些设备不受 LAPS 保护,或者在过去 60 天内未更改其 LAPS 托管密码。
对于部分保护的域,请选择相关行以查看该域中不受 LAPS 保护的设备列表。
注意
如果整个域未使用 LAPS 进行保护,则看不到所有未受保护的设备的列表。
使用下载中提供的文档下载、安装和配置或排查 Microsoft LAPS 问题,对这些设备采取适当的操作。
注意
虽然评估几乎实时更新,但分数和状态每 24 小时更新一次。 虽然受影响的实体列表在实施建议后的几分钟内更新,但状态可能需要一段时间才能将其标记为 “已完成”。