ReLAPS, dando visibilità a una necessità di sicurezza trascurata.

Buon gancio di un titolo giusto? Ecco perché dico che LAPS (Local Admin Password Solution) è in circolazione da diversi anni e sarei disposto a scommettere che molte organizzazioni non l'hanno ancora implementato (ipotesi totale qui, nessun dato reale, a parte il mio sondaggio su Twitter mostrato di seguito). Buone notizie, molti lo hanno fatto, come ho avuto in un precedente datore di lavoro. È semplice da configurare e riduce notevolmente un vettore di collegamento precedentemente facilmente sfruttabile.  LAPS … mitiga il rischio di escalation laterale che si verifica quando i clienti utilizzano la stessa combinazione di account e password amministrativa locale sui propri computer . -Microsoft

Sondaggio Twitter LAPS

Quindi il gioco è fatto, l'hai impostato, in caso contrario, vedi il post precedente, ora vai avanti con i tuoi doveri operativi e ti concentri su quale fuoco ti lancia il tuo manager oggi. Perché? Chi ha seriamente curato la salute del client per LAPS una volta che è stato configurato? Chi ha confermato che stava funzionando su tutti i punti finali? Io di certo no, avevo “pesce più grosso da friggere”. Ma come con qualsiasi implementazione, è necessario controllarla di tanto in tanto. Questa non dovrebbe essere una sorpresa, lo fai con il client ConfigMgr, monitori la salute del client, forse anche implementando script di riparazione automatica. Probabilmente monitori il tuo sistema AV / Anti-Malware, IDS, Crittografia disco, ecc. Quindi perché non LAPS?  

Quindi il team di Recast Software ha creato un'elegante dashboard per monitorare la "salute" del tuo LAPS. Questo è incluso nella versione Enterprise del Right Click Tools. Ecco un'immagine dal loro Documentazione, ha un po' più di data rispetto al mio piccolo laboratorio:

Schermata degli strumenti di sicurezza ReLAPS

Il motivo per cui mi piace è perché sono già nella CM Console ogni giorno, per avere un dashboard per LAPS, per tenerlo visibile e in primo piano, lo trovo molto utile. Ci vogliono solo pochi secondi, tiralo su, controlla le mie statistiche e vai avanti. Se trovo un'anomalia, posso iniziare a cercarla.

Cos'altro mi piace? Sono contento che tu l'abbia chiesto, mi piace che posso cercare le password qui. Non c'è bisogno di creare un pacchetto speciale per i miei tecnici del Service Desk per poter cercare le password, hanno già la console CM, ora concedo loro solo le autorizzazioni per questa funzione e ora hanno uno strumento potente per quando hanno bisogno di cercare queste password per le loro esigenze di supporto.

È tutto? No, mi piace poter esportare questo elenco in un file CSV e fornirlo al team di sicurezza/persone di controllo, che vogliono confermare la conformità.

Ottieni prezzi.

Quindi come lo imposti? Ho la licenza Right Click Tools Enterprise e ho configurato il server di gestione Recast, quali sono le autorizzazioni necessarie per consentire al mio Service Desk di visualizzare questa dashboard? Quali autorizzazioni sono necessarie per consentire al mio Service Desk di visualizzare le password?
Ho intenzione di andare oltre, costruendo sulla mia ultimo post in cui ho configurato LAPS e creato gruppi AD con autorizzazioni diverse per LAPS. Presupposti prima di continuare: si dispone di gruppi AD specifici a cui si desidera concedere le autorizzazioni.

Innanzitutto, nel mio laboratorio, le mie posizioni di supporto di livello 1-3 del Service Desk hanno accesso diverso alla console CM. Voglio che tutti abbiano la possibilità di vedere i dashboard e recuperare le password.
In CM:

Service Desk Tier 1 -3 Le posizioni di supporto hanno un accesso diverso alla console ConfigMgr

Prima di aggiungere qualsiasi autorizzazione, ecco come apparirebbe il dashboard senza le autorizzazioni appropriate: (Utilizzo di Service Desk Tier 1 User)

Senza i permessi appropriati

Quindi ora sappiamo come appare quando non hai i diritti, aggiungiamo alcune autorizzazioni. In Recast Management Server, ho creato un ruolo ReLAPS con le sole autorizzazioni per la console ReLAPS.  
Test con 3 “Diritti” dalle opzioni.. avvicinarsi…

Recast Management Server crea un ruolo ReLAPS

Ok, questo sembra migliore: (usando ancora un utente di livello 1 di Service Desk)

Configurazione dell'account ReLAPS

Che aspetto ha nella console del server di gestione Recast?

Utenti Recast - Sola lettura LAPS

Creato un ruolo ReLAPS con requisiti minimi per la console ReLAPS.

Permessi di ruolo

Quindi ha aggiunto il gruppo di sola lettura LAPS e lo ha assegnato al ruolo ReLAPS:

Modifica assegnazioni ruolo e ambito

Ok, ora puoi stare tranquillo sapendo che il tuo Service Desk ha la capacità di svolgere le uniche attività che desideri che svolgano e non di più. Certo, probabilmente hai già concesso loro molti più diritti per utilizzare altri strumenti, ma ehi, se ritieni di aver bisogno di consentire solo agli utenti di visualizzare quella Dashboard, ora saprai come.

Scopri come Right Click Tools sta cambiando il modo in cui vengono gestiti i sistemi.

Aumenta immediatamente la produttività con la nostra Community Edition limitata e gratuita.

Inizia oggi con Right Click Tools:

Condividi questo:

Supporto

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.

Contatti

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.
it_ITItalian