ReLAPS: portare visibilità a una necessità di sicurezza trascurata

Microsoft LAPS (Local Admin Password Solution) è in circolazione da diversi anni e sappiamo che molte organizzazioni non l'hanno ancora implementato. La buona notizia è che molti hanno. Per fortuna, è semplice da configurare e riduce notevolmente un vettore di attacco precedentemente sfruttabile. LAPS … mitiga il rischio di escalation laterale che si verifica quando i clienti utilizzano la stessa combinazione di account e password amministrativa locale sui propri computer . – Microsoft

Sondaggio Twitter LAPS

Se sei uno di quelli che devono ancora configurare LAPS, consulta il nostro Panoramica di Microsoft LAPS inviare. Il post ti guida attraverso il processo di configurazione. Per il resto, molti sono passati alle mansioni operative e alla lotta antincendio contro i problemi che il tuo manager ti presenta oggi. Perché? Chi ha fatto sul serio la salute del client per LAPS una volta impostato? Chi ha confermato che stava funzionando su tutti gli endpoint? Come per qualsiasi implementazione, è necessario verificarla di tanto in tanto. Questa non dovrebbe essere una sorpresa, poiché lo fai con il client ConfigMgr, monitori lo stato del client e forse implementi anche script di riparazione automatica. Probabilmente monitori il tuo sistema AV / Anti-Malware, IDS, Disk Encryption, ecc. Quindi perché non LAPS?  

Il team di Recast Software ha creato un'elegante dashboard per monitorare la salute dell'LAPS. Questo è incluso nel Versione Enterprise del Right Click Tools. Ecco un'immagine dal loro Documentazione, mostrando i dati aggiuntivi portati alla luce da questa funzione:

Schermata degli strumenti di sicurezza ReLAPS

La maggior parte di noi si trova nella console ConfigMgr ogni giorno. Avere questo dashboard LAPS lo mantiene visibile e in primo piano nelle nostre menti, il che è molto utile. Ci vogliono solo pochi secondi per tirarlo su, controllare le statistiche e andare avanti. Se esiste un'anomalia, il team può iniziare a esaminarla.

I team possono anche cercare le password qui. Non è necessario creare un pacchetto speciale per i tecnici di Service Desk per poter cercare le password. La maggior parte dei tecnici di Service Desk ha già la console ConfigMgr, quindi ora puoi concedere loro le autorizzazioni per questa funzione e hanno un potente strumento per cercare queste password per le loro esigenze di supporto.

Inoltre, puoi esportare i risultati del dashboard LAPS in un file CSV. Ciò semplifica la fornitura al team di sicurezza/addetto all'audit, che desidera confermare la conformità.

Quindi come lo configuri? Per prima cosa, prendi il tuo Licenza aziendale Right Click Tools e configurare il server di gestione Recast.

Quali autorizzazioni sono necessarie per consentire al mio Service Desk di visualizzare le password?
Lo esamineremo, costruendo a partire dal ultimo post in cui abbiamo configurato LAPS e creato gruppi AD con autorizzazioni diverse per LAPS. Presupposti prima di continuare: hai gruppi AD specifici a cui vuoi concedere le autorizzazioni.

Innanzitutto, nel laboratorio, abbiamo posizioni di supporto Service Desk di livello 1 -3 che hanno accesso diverso alla console ConfigMgr. Vogliamo che tutti abbiano la possibilità di vedere i dashboard e recuperare le password.
In ConfigMgr / SCCM:

Service Desk Tier 1 -3 Le posizioni di supporto hanno un accesso diverso alla console ConfigMgr

Prima di aggiungere qualsiasi autorizzazione, ecco come sarebbe il dashboard senza le autorizzazioni appropriate: (Utilizzo dell'utente di livello 1 di Service Desk)

Senza i permessi appropriati

Aggiungiamo alcune autorizzazioni. In Recast Management Server, abbiamo creato un ruolo ReLAPS con le sole autorizzazioni per la console ReLAPS.  
Test con 3 “Diritti” dalle opzioni.. avvicinarsi…

Recast Management Server crea un ruolo ReLAPS

Ok, questo sembra migliore: (usando ancora un utente di livello 1 di Service Desk)

Configurazione dell'account ReLAPS

Che aspetto ha nella console del server di gestione Recast?

Utenti Recast - Sola lettura LAPS

Creato un ruolo ReLAPS con requisiti minimi per la console ReLAPS.

Permessi di ruolo

Quindi ha aggiunto il gruppo di sola lettura LAPS e lo ha assegnato al ruolo ReLAPS:

Modifica assegnazioni ruolo e ambito

Ok, ora puoi stare tranquillo sapendo che il tuo Service Desk ha la capacità di svolgere le attività che desideri che svolgano e non di più. 

Ulteriori informazioni sull'LAPS

Scopri come Right Click Tools sta cambiando il modo in cui vengono gestiti i sistemi.

Aumenta immediatamente la produttività con la nostra Community Edition limitata e gratuita.

Inizia oggi con Right Click Tools:

Supporto

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Contatti

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Inviando questo modulo, comprendi che Recast Software può elaborare i tuoi dati come descritto nel Recast Software politica sulla riservatezza.

it_ITItalian