Avaliação de segurança: uso do Microsoft LAPS

  • Artigo

O que é o Microsoft LAPS?

A "Solução de Senha de Administrador Local" (LAPS) da Microsoft fornece gerenciamento de senhas de contas de administrador local para computadores ingressados no domínio. As senhas são aleatórias e armazenadas no Active Directory (AD), protegidas por ACLs, para que apenas usuários qualificados possam lê-las ou solicitar sua redefinição.

Esta avaliação de segurança suporta apenas Microsoft LAPS herdados.

Que risco a não implementação do LAPS representa para uma organização?

O LAPS fornece uma solução para o problema de usar uma conta local comum com uma senha idêntica em todos os computadores de um domínio. O LAPS resolve esse problema definindo uma senha aleatória diferente e girada para a conta de administrador local comum em cada computador no domínio.

O LAPS simplifica o gerenciamento de senhas e, ao mesmo tempo, ajuda os clientes a implementar defesas mais recomendadas contra ataques cibernéticos. Em particular, a solução reduz o risco de escalonamento lateral que resulta quando os clientes usam a mesma combinação de conta local administrativa e senha em seus computadores. O LAPS armazena a senha da conta de administrador local de cada computador no AD, protegida em um atributo confidencial no objeto AD correspondente do computador. O computador pode atualizar seus próprios dados de senha no AD e os administradores de domínio podem conceder acesso de leitura a usuários ou grupos autorizados, como administradores de helpdesk de estação de trabalho.

Como faço para usar essa avaliação de segurança?

  1. Analise a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm alguns (ou todos) dispositivos Windows compatíveis que não estão protegidos pelo LAPS ou que não tiveram sua senha gerenciada pelo LAPS alterada nos últimos 60 dias.

    See which domains have devices unprotected by LAPS.

  2. Para domínios parcialmente protegidos, selecione a linha relevante para exibir a lista de dispositivos não protegidos por LAPS nesse domínio.

    Select domain with devices unprotected by LAPS.

    Observação

    Se todo o domínio não estiver protegido com LAPS, você não verá a lista de todos os dispositivos desprotegidos.

  3. Execute a ação apropriada nesses dispositivos baixando, instalando e configurando ou solucionando problemas do Microsoft LAPS usando a documentação fornecida no download.

    Remediate devices unprotected by LAPS.

Observação

Enquanto as avaliações são atualizadas quase em tempo real, as pontuações e os status são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada em poucos minutos após a implementação das recomendações, o status ainda pode levar tempo até ser marcado como Concluído.

Confira também