ReLAPS, das eine übersehene Sicherheitsnotwendigkeit sichtbar macht.

Guter Haken von einem Titel, oder? Aus diesem Grund sage ich, dass LAPS (Local Admin Password Solution) seit mehreren Jahren auf dem Markt ist, und ich würde wetten, dass viele Organisationen es noch nicht implementiert haben (gesamte Vermutung hier, keine tatsächlichen Daten, außer meine Twitter-Umfrage unten gezeigt). Gute Nachrichten haben viele, wie ich es bei einem früheren Arbeitgeber hatte. Es ist einfach einzurichten und reduziert einen zuvor leicht ausnutzbaren Attach-Vektor erheblich.  LAPS … mindert das Risiko einer seitlichen Eskalation, die entsteht, wenn Kunden auf ihren Computern dieselbe Kombination aus lokalem Administratorkonto und Kennwort verwenden . -Microsoft

LAPS Twitter-Umfrage

Da haben Sie es also, Sie haben es eingerichtet, wenn nicht, siehe vorheriger Beitrag, jetzt fahren Sie mit Ihren operativen Aufgaben fort und konzentrieren sich auf das Feuer, das Ihr Manager heute auf Sie wirft. Warum ist das so? Wer hat ernsthaft die Client-Gesundheit für LAPS gemacht, nachdem es eingerichtet wurde? Wer hat bestätigt, dass es an allen Endpunkten funktioniert? Das hatte ich bestimmt nicht, ich hatte „größeren Fisch zum Braten“. Aber wie bei jeder Implementierung müssen Sie sie von Zeit zu Zeit überprüfen. Dies sollte keine Überraschung sein, Sie tun dies mit dem ConfigMgr-Client, überwachen den Client-Zustand und implementieren möglicherweise sogar automatische Korrekturskripte. Sie überwachen wahrscheinlich Ihr AV-/Anti-Malware-System, IDS, Festplattenverschlüsselung usw. Warum also nicht LAPS?  

Also hat das Team von Recast Software ein raffiniertes Dashboard erstellt, mit dem Sie Ihren LAPS „Gesundheit“ überwachen können. Dies ist in der Enterprise-Version des Right Click Tools enthalten. Hier ist ein Bild von ihrem Dokumentation, hat etwas mehr Datum als mein kleines Labor:

Screenshot von ReLAPS-Sicherheitstools

Das gefällt mir, weil ich bereits jeden Tag in der CM-Konsole bin, um ein Dashboard für LAPS zu haben, um es sichtbar und im Vordergrund zu behalten, finde ich das sehr nützlich. Es dauert nur ein paar Sekunden, ziehen Sie es hoch, überprüfen Sie meine Statistiken und fahren Sie fort. Wenn ich eine Anomalie finde, kann ich damit beginnen.

Was mag ich noch? Schön, dass Sie gefragt haben, es gefällt mir, dass ich die Passwörter hier nachschlagen kann. Für meine Service Desk-Techniker muss kein spezielles Paket erstellt werden, um Passwörter nachschlagen zu können Passwörter für ihre Support-Anforderungen.

Ist das alles? Nein, ich mag es, dass ich diese Liste in eine CSV-Datei exportieren und dem Sicherheitsteam / den Audit-Mitarbeitern zur Verfügung stellen kann, die die Einhaltung bestätigen möchten.

Preise abrufen.

Wie stellt man das also ein? Ich habe die Right Click Tools Enterprise-Lizenz und habe den Recast Management Server eingerichtet. Welche Berechtigungen benötige ich, damit mein Service Desk dieses Dashboard anzeigen kann? Welche Berechtigungen sind erforderlich, damit mein Service Desk die Passwörter anzeigen kann?
Ich werde das durchgehen, aufbauend auf meinem letzter Beitrag, in dem ich LAPS eingerichtet und AD-Gruppen mit unterschiedlichen Berechtigungen für LAPS erstellt habe. Annahmen, bevor Sie fortfahren: Sie haben bestimmte AD-Gruppen, denen Sie Berechtigungen erteilen möchten.

Erstens habe ich in meinem Lab, dass meine Service Desk Tier 1 -3 Support-Positionen unterschiedlichen Zugriff auf die CM-Konsole haben. Ich möchte, dass alle die Dashboards sehen und die Passwörter abrufen können.
Im CM:

Service Desk Tier 1-3 Support-Positionen haben unterschiedlichen Zugriff auf die ConfigMgr-Konsole

Bevor ich Berechtigungen hinzufüge, sieht das Dashboard wie folgt ohne die entsprechenden Berechtigungen aus: (Verwenden von Service Desk Tier 1-Benutzer)

Ohne die entsprechenden Berechtigungen

Jetzt wissen wir also, wie es aussieht, wenn Sie keine Rechte haben. Fügen Sie einige Berechtigungen hinzu. In Recast Management Server habe ich eine ReLAPS-Rolle mit nur Berechtigungen für die ReLAPS-Konsole erstellt.  
Testen mit 3 „Rechten“ aus den Optionen.. nah dran…

Recast Management Server erstellt eine ReLAPS Rolle

Ok, das sieht besser aus: (Verwendet immer noch einen Service Desk Tier 1-Benutzer)

ReLAPS-Kontoeinrichtung

Wie sieht das in der Recast Management Server Console aus?

Recast-Benutzer - LAPS schreibgeschützt

Erstellt eine ReLAPS-Rolle mit Mindestanforderungen für die ReLAPS-Konsole.

Rollenberechtigungen

Fügen Sie dann die schreibgeschützte LAPS-Gruppe hinzu und weisen Sie sie der ReLAPS-Rolle zu:

Rollenzuweisungen und Umfang bearbeiten

Ok, jetzt können Sie sich beruhigt zurücklehnen und wissen, dass Ihr Service Desk die einzigen Aufgaben ausführen kann, die Sie von ihm möchten, und nicht mehr. Sicher, Sie haben ihnen wahrscheinlich bereits weit mehr Rechte zur Verwendung anderer Tools eingeräumt, aber hey, wenn Sie feststellen, dass Sie Benutzern nur erlauben müssen, dieses Dashboard anzuzeigen, wissen Sie jetzt wie.

Sehen Sie, wie Right Click Tools die Art und Weise verändert, wie Systeme verwaltet werden.

Steigern Sie sofort die Produktivität mit unserer limitierten, kostenlos nutzbaren Community Edition.

Starten Sie noch heute mit Right Click Tools:

Teile das:

Support

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Kontakt

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
de_DEGerman