ReLAPS : Apporter de la visibilité à une nécessité de sécurité négligée

Microsoft LAPS (Local Admin Password Solution) existe depuis plusieurs années, et nous savons que de nombreuses organisations ne l'ont pas encore implémenté. La bonne nouvelle est que beaucoup l'ont fait. Heureusement, il est simple à configurer et réduit considérablement un vecteur d'attaque auparavant exploitable. LAPS … atténue le risque d'escalade latérale qui se produit lorsque les clients utilisent la même combinaison de compte local administratif et de mot de passe sur leurs ordinateurs . – Microsoft

Sondage Twitter LAPS

Si vous faites partie de ceux qui n'ont pas encore configuré LAPS, consultez notre Présentation du Microsoft LAPS Publier. Le message vous guide tout au long du processus de configuration. Pour le reste, beaucoup sont passés à des tâches opérationnelles et à la lutte contre les incendies pour les problèmes que votre responsable vous pose aujourd'hui. Pourquoi donc? Qui s'est sérieusement occupé de la santé du client pour LAPS une fois qu'il a été configuré ? Qui a confirmé que cela fonctionnait sur tous les points de terminaison ? Comme pour toute implémentation, vous devez la vérifier de temps en temps. Cela ne devrait pas être une surprise, car vous faites cela avec le client ConfigMgr, vous surveillez la santé du client et peut-être même implémentez des scripts de correction automatique. Vous surveillez probablement votre système AV / Anti-Malware, IDS, Disk Encryption, etc. Alors pourquoi pas LAPS ?  

L'équipe de Recast Software a créé un tableau de bord astucieux pour vous permettre de surveiller la santé de votre LAPS. Ceci est inclus dans le Version entreprise du Right Click Tools. Voici une image de leur Documentation, présentant les données supplémentaires découvertes par cette fonctionnalité :

Capture d'écran des outils de sécurité ReLAPS

La plupart d'entre nous sommes tous les jours dans la console ConfigMgr. Avoir ce tableau de bord LAPS le garde visible et à l'avant de nos esprits, ce qui est très utile. Cela ne prend que quelques secondes pour le relever, vérifier les statistiques et passer à autre chose. Si une anomalie existe, l'équipe peut commencer à l'examiner.

Les équipes peuvent également rechercher les mots de passe ici. Pas besoin de créer un package spécial pour que les techniciens du centre de services puissent rechercher des mots de passe. La plupart des techniciens du Service Desk disposent déjà de la console ConfigMgr. Vous pouvez donc désormais leur accorder des autorisations pour cette fonctionnalité et ils disposent d'un outil puissant pour rechercher ces mots de passe pour leurs besoins d'assistance.

De plus, vous pouvez exporter les résultats du tableau de bord LAPS dans un fichier CSV. Cela facilite la fourniture à l'équipe de sécurité / aux personnes chargées de l'audit, qui souhaitent confirmer la conformité.

Alors, comment configurez-vous cela ? Tout d'abord, obtenez votre 1Licence Entreprise TP4T et configurez le serveur de gestion Recast.

Quelles sont les autorisations requises pour permettre à mon Service Desk d'afficher les mots de passe ?
Nous y reviendrons, en nous appuyant sur dernier message où nous avons configuré LAPS et créé des groupes AD avec différentes autorisations pour LAPS. Hypothèses avant de continuer : Vous avez des groupes AD spécifiques auxquels vous souhaitez accorder des autorisations.

Tout d'abord, dans le laboratoire, nous avons des postes de support de niveau 1 à 3 du centre de services qui ont un accès différent à la console ConfigMgr. Nous voulons qu'ils aient tous la possibilité de voir les tableaux de bord et d'extraire les mots de passe.
Dans ConfigMgr / SCCM :

Les postes de support de niveau 1 à 3 du Service Desk ont un accès différent à la console ConfigMgr

Avant d'ajouter des autorisations, voici à quoi ressemblerait le tableau de bord sans les autorisations appropriées : (Utilisation de l'utilisateur de niveau 1 du Service Desk)

Sans les autorisations appropriées

Ajoutons quelques autorisations. Dans Recast Management Server, nous avons créé un rôle ReLAPS avec uniquement des autorisations pour la console ReLAPS.  
Test avec 3 « Droits » parmi les options.. se rapprocher…

Recast Management Server crée un rôle ReLAPS

D'accord, cela a l'air mieux : (en utilisant toujours un utilisateur de niveau 1 du centre de services)

Configuration du compte ReLAPS

Alors, à quoi cela ressemble-t-il dans la console du serveur de gestion Recast ?

Utilisateurs Recast - LAPS Lecture seule

Création d'un rôle ReLAPS avec des exigences minimales pour la console ReLAPS.

Autorisations de rôle

Puis ajouté le groupe en lecture seule LAPS et attribué au rôle ReLAPS :

Modifier les attributions de rôles et la portée

Ok, maintenant vous pouvez être tranquille en sachant que votre Service Desk a la capacité de faire les tâches que vous voulez qu'il fasse, et rien de plus. 

Informations supplémentaires sur le LAPS

Découvrez comment Right Click Tools change la façon dont les systèmes sont gérés.

Augmentez immédiatement votre productivité grâce à notre version Community Edition limitée et gratuite.

Commencez dès aujourd'hui avec Right Click Tools :

Assistance

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

Contact

  • Ce champ n’est utilisé qu’à des fins de validation et devrait rester inchangé.

En soumettant ce formulaire, vous comprenez que Recast Software peut traiter vos données comme décrit dans le Recast Software Politique de confidentialité.

fr_FRFrench