セキュリティ評価: Microsoft LAPS の使用状況

  • [アーティクル]

Microsoft LAPS とは

Microsoft の「ローカル管理者パスワード ソリューション」 (LAPS) では、ドメインに参加しているコンピューターのローカル管理者アカウントのパスワードを管理できます。 パスワードはランダム化され、ACL によって保護されている Active Directory (AD) に保存されるため、資格のあるユーザーのみがパスワードを読み取ったり、リセットを要求したりできます。

このセキュリティ評価では、従来の Microsoft LAPS のみがサポートされます

LAPS を実装しないことが組織に与えるリスクには何がありますか。

LAPS は、doメイン 内のすべてのコンピューターで同じパスワードで共通のローカル アカウントを使用する問題に対する解決策を提供します。 LAPS は、doメイン 内のすべてのコンピューターで共通のローカル管理者アカウントに対して、別のローテーションされたランダム パスワードを設定することで、この問題を解決します。

LAPS を使用すると、お客様がサイバー攻撃に対してより推奨される防御を実装するのに役立つ一方で、パスワード管理が簡素化されます。 特に、このソリューションは、お客様が自分のコンピューターで同じ管理ローカル アカウントとパスワードの組み合わせを使用する場合に発生する横エスカレーションのリスクを軽減します。 LAPS は、各コンピューターのローカル管理者アカウントのパスワードを AD に格納し、コンピューターの対応する AD オブジェクトの機密属性で保護します。 コンピューターは AD で独自のパスワード データを更新できます。管理者はメインワークステーションのヘルプデスク管理者などの承認されたユーザーまたはグループに読み取りアクセス権を付与できます。

このセキュリティ評価はどのように使用できますか。

  1. https://security.microsoft.com/securescore?viewid=actions で推奨されるアクションを確認し、LAPS で保護されていないか、また過去 60 日間に LAPS で管理されたパスワードが変更されていないような互換性のある Windows デバイス(一部またはすべて)がどのドメインにあるかを検出します。

    See which domains have devices unprotected by LAPS.

  2. 部分的に保護されているドメインの場合は、関連する行を選択して、LAPS によって保護されていないデバイスの一覧を表示します。

    Select domain with devices unprotected by LAPS.

    Note

    ドメイン全体が LAPS で保護されていない場合、保護されていないすべてのデバイスの一覧は表示されません。

  3. ダウンロードに記載されているドキュメントを使用して、Microsoft LAPS をダウンロード、インストール、構成、またはトラブルシューティングすることで、これらのデバイスに対して適切なアクションを実行します。

    Remediate devices unprotected by LAPS.

Note

評価はほぼリアルタイムで更新されますが、スコアと状態は 24 時間ごとに更新されます。 影響を受けるエンティティの一覧は、推奨事項を実装してから数分以内に更新されますが、状態が完了としてマークされるまでに時間がかかる場合があります。

関連項目