Güvenlik değerlendirmesi: Microsoft LAPS kullanımı

Microsoft LAPS nedir?

Microsoft'un "Yerel Yönetici Istrator Parola Çözümü" (LAPS), etki alanına katılmış bilgisayarlar için yerel yönetici hesabı parolalarının yönetimini sağlar. Parolalar rastgele oluşturulur ve ACL'ler tarafından korunan Active Directory'de (AD) depolanır, böylece yalnızca uygun kullanıcılar bu parolayı okuyabilir veya sıfırlamasını isteyebilir.

Bu güvenlik değerlendirmesi yalnızca eski Microsoft LAPS'i destekler.

LAPS'nin uygulanması kuruluş için hangi riski doğurmuyor?

LAPS, etki alanındaki her bilgisayarda aynı parolaya sahip ortak bir yerel hesap kullanma sorununa bir çözüm sağlar. LAPS, etki alanındaki her bilgisayarda ortak yerel yönetici hesabı için farklı, döndürülmüş rastgele bir parola ayarlayarak bu sorunu çözer.

LAPS, müşterilerin siber saldırılara karşı daha fazla önerilen savunma uygulamasına yardımcı olurken parola yönetimini basitleştirir. Özellikle çözüm, müşteriler bilgisayarlarında aynı yönetim yerel hesabını ve parola bileşimini kullandığında ortaya çıkar olan yanal yükseltme riskini azaltır. LAPS, her bilgisayarın yerel yönetici hesabının parolasını AD'de depolar ve bilgisayarın ilgili AD nesnesindeki gizli bir öznitelikte güvenli hale getirir. Bilgisayar AD'de kendi parola verilerini güncelleştirebilir ve etki alanı yöneticileri iş istasyonu yardım masası yöneticileri gibi yetkili kullanıcılara veya gruplara okuma erişimi verebilir.

Bu güvenlik değerlendirme Nasıl yaparım? kullanılır?

  1. LapS tarafından korunmayan veya LAPS tarafından yönetilen parolası son 60 gün içinde değiştirilmemiş olan bazı (veya tümü) uyumlu Windows cihazlarına sahip olan etki alanlarınızdan hangilerinin olduğunu öğrenmek için'de önerilen eylemi https://security.microsoft.com/securescore?viewid=actions gözden geçirin.

    See which domains have devices unprotected by LAPS.

  2. Kısmen korunan etki alanları için ilgili satırı seçerek bu etki alanındaki LAPS tarafından korunmayan cihazların listesini görüntüleyin.

    Select domain with devices unprotected by LAPS.

    Dekont

    Etki alanının tamamı LAPS ile korunmuyorsa tüm korumasız cihazların listesini görmezsiniz.

  3. İndirmede sağlanan belgeleri kullanarak Microsoft LAPS'yi indirerek, yükleyerek ve yapılandırarak veya sorun gidererek bu cihazlarda uygun eylemleri gerçekleştirin.

    Remediate devices unprotected by LAPS.

Dekont

Değerlendirmeler neredeyse gerçek zamanlı olarak güncelleştirilirken, puanlar ve durumlar 24 saatte bir güncelleştirilir. Etkilenen varlıkların listesi, önerileri uyguladıktan sonra birkaç dakika içinde güncelleştirilse de, durum Tamamlandı olarak işaretlenmesi yine de zaman alabilir.

Ayrıca bkz.