ReLAPS: Trazendo visibilidade a uma necessidade de segurança negligenciada

Microsoft LAPS (Solução de senha de administrador local) existe há vários anos e sabemos que muitas organizações ainda não a implementaram. A boa notícia é que muitos têm. Felizmente, é simples de configurar e reduz bastante um vetor de ataque anteriormente explorável. LAPS… atenua o risco de escalonamento lateral que resulta quando os clientes usam a mesma conta administrativa local e combinação de senha em seus computadores . – Microsoft

LAPS Twitter Survey

Se você é um daqueles que ainda não configurou o LAPS, veja nosso Visão geral de Microsoft LAPS publicar. A postagem orienta você pelo processo de configuração. Quanto ao resto, muitos seguiram em frente com tarefas operacionais e combatendo os problemas que seu gerente lança a você hoje. Por que é que? Quem realmente fez a saúde do cliente para LAPS uma vez que foi configurado? Quem confirmou que estava funcionando em todos os endpoints? Como em qualquer implementação, você precisa verificar de tempos em tempos. Isso não deve ser uma surpresa, pois você faz isso com o cliente ConfigMgr, monitora a integridade do cliente e talvez até implemente scripts de correção automática. Você provavelmente monitora seu sistema AV/Anti-Malware, IDS, Criptografia de Disco, etc. Então, por que não LAPS?  

A equipe do Recast Software criou um painel bacana para você monitorar a saúde do LAPS. Isso está incluído no Versão empresarial do Right Click Tools. Aqui está uma imagem deles Documentação, mostrando os dados adicionais descobertos por este recurso:

Captura de tela das ferramentas de segurança ReLAPS

A maioria de nós está no Console ConfigMgr todos os dias. Ter este painel LAPS o mantém visível e na frente de nossas mentes, o que é muito útil. Leva apenas alguns segundos para puxá-lo, verificar as estatísticas e seguir em frente. Se existir uma anomalia, a equipe pode começar a investigá-la.

As equipes também podem procurar as senhas aqui. Não há necessidade de fazer um pacote especial para que os Técnicos de Central de Serviços possam pesquisar senhas. A maioria dos Técnicos de Central de Serviços já possui o Console ConfigMgr, então agora você pode conceder a eles permissões para esse recurso e eles têm uma ferramenta poderosa para procurar essas senhas para suas necessidades de suporte.

Além disso, você pode exportar os resultados do painel LAPS para um arquivo CSV. Isso facilita o fornecimento para a equipe de segurança/pessoas de auditoria, que desejam confirmar a conformidade.

Então, como você configura isso? Primeiro, pegue seu Licença Right Click Tools Enterprise e configure o Servidor de Gerenciamento Recast.

Quais permissões são necessárias para permitir que meu Service Desk visualize as senhas?
Vamos passar por cima disso, construindo a partir do último post onde configuramos o LAPS e criamos AD Groups com permissões diferentes para o LAPS. Suposições antes de continuar: você tem grupos específicos do AD aos quais deseja conceder permissões.

Primeiro, no laboratório, temos posições de suporte de nível 1 a 3 do Service Desk que têm acesso diferente ao console ConfigMgr. Queremos que todos eles tenham a capacidade de ver os painéis e obter as senhas.
Em ConfigMgr / SCCM:

As posições de suporte do Service Desk Tier 1 -3 têm diferentes acessos ao console ConfigMgr

Antes de adicionar qualquer permissão, é assim que o Dashboard ficaria sem as permissões adequadas: (Usando o usuário de nível 1 do Service Desk)

Sem as permissões adequadas

Vamos adicionar algumas permissões. No Recast Management Server, criamos uma função ReLAPS com apenas permissões para o console ReLAPS.  
Testando com 3 “Direitos” das opções .. chegando perto…

Servidor de gerenciamento Recast cria uma função ReLAPS

Ok, parece melhor: (ainda usando um usuário de nível 1 do Service Desk)

Configuração da conta ReLAPS

Então, como isso se parece no console do servidor de gerenciamento Recast?

Usuários Recast - LAPS somente leitura

Criou uma função ReLAPS com requisitos mínimos para o console ReLAPS.

Permissões de função

Em seguida, adicionou o grupo LAPS somente leitura e atribuiu-o à função ReLAPS:

Editar atribuições de função e escopo

Ok, agora você pode ficar tranquilo sabendo que seu Service Desk tem a capacidade de realizar as tarefas que você deseja que eles façam e nada mais. 

Informações Adicionais LAPS

Veja como Right Click Tools está mudando a forma como os sistemas são gerenciados.

Aumente imediatamente a produtividade com o nosso limitado e gratuito, Community Edition.

Comece com Right Click Tools hoje:

Suporte

  • Este campo é para fins de validação e não deve ser alterado.

Contato

  • Este campo é para fins de validação e não deve ser alterado.

Ao enviar este formulário, você entende que o Recast Software pode processar seus dados conforme descrito no Recast Software Política de Privacidade.

pt_BRPortuguese