ReLAPS, trazendo visibilidade para uma necessidade de segurança negligenciada.

Bom gancho de um título certo? É por isso que digo que LAPS (Solução de senha de administrador local) existe há vários anos, e eu aposto que muitas organizações ainda não o implementaram (estimativa total aqui, sem dados reais, exceto minha pesquisa do Twitter mostrada abaixo). Boas notícias, muitos sim, como eu tive em um empregador anterior. É simples de configurar e reduz bastante um vetor de anexo facilmente explorável.  LAPS… atenua o risco de escalonamento lateral que resulta quando os clientes usam a mesma conta administrativa local e combinação de senha em seus computadores . -Microsoft

LAPS Twitter Survey

Então aí está, você configurou, senão veja o post anterior, agora você segue em frente com suas funções operacionais e foca no fogo que seu gerente joga em você hoje. Por que é que? Quem realmente cuidou da saúde do cliente para LAPS depois de configurado? Quem confirmou que estava funcionando em todos os pontos finais? Certamente não, eu tinha “peixes maiores para fritar”. Mas, como acontece com qualquer implementação, você precisa verificar de vez em quando. Isso não deveria ser uma surpresa, você faz isso com o Cliente ConfigMgr, monitora a saúde do Cliente e talvez até implementa scripts de correção automática. Você provavelmente monitora seu sistema AV / Anti-Malware, IDS, Criptografia de disco, etc. Então, por que não LAPS?  

Portanto, a equipe da Recast Software criou um painel bacana para você monitorar sua “saúde” do LAPS. Isso está incluído na versão Enterprise do Right Click Tools. Aqui está uma imagem de seu Documentação, tem um pouco mais de data do que meu pequeno laboratório:

Captura de tela das ferramentas de segurança ReLAPS

Eu gosto disso porque já estou no CM Console todos os dias, para ter um painel para LAPS, para mantê-lo visível e na frente de nossas mentes, acho isso muito útil. Leva apenas alguns segundos, puxe-o para cima, verifique minhas estatísticas e siga em frente. Se eu encontrar uma anomalia, posso começar a investigá-la.

O que mais eu gosto? Que bom que você perguntou, gosto de poder procurar as senhas aqui. Não há necessidade de fazer um pacote especial para que os técnicos do meu Service Desk possam pesquisar as senhas, eles já têm o CM Console, agora apenas concedo a eles permissões para esse recurso e eles agora têm uma ferramenta poderosa para quando precisarem pesquisar essas senhas para suas necessidades de suporte.

Isso é tudo? Não, gosto de poder exportar esta lista para um arquivo CSV e fornecê-la à equipe de segurança / pessoal de auditoria, que deseja confirmar a conformidade.

Obtenha preços.

Então, como você configura isso? Tenho a licença Right Click Tools Enterprise e configurei o servidor de gerenciamento Recast. Quais são as permissões necessárias para permitir que meu Service Desk veja este painel? Quais permissões são necessárias para permitir que meu Service Desk veja as senhas?
Eu vou repassar isso, construindo a partir do meu última postagem em que configurei LAPS e criei grupos de AD com diferentes permissões para LAPS. Suposições antes de continuar: Você tem grupos específicos de AD aos quais deseja conceder permissões.

Primeiro, em meu laboratório, tenho minhas posições de suporte de nível 1 a 3 do Service Desk com acesso diferente ao CM Console. Quero que todos eles tenham a capacidade de ver os painéis e obter as senhas.
No CM:

As posições de suporte do Service Desk Tier 1 -3 têm diferentes acessos ao console ConfigMgr

Antes de adicionar qualquer permissão, o painel ficaria assim sem as permissões adequadas: (usando o usuário de nível 1 do Service Desk)

Sem as permissões adequadas

Agora que sabemos como fica quando você não tem direitos, vamos adicionar algumas permissões. No servidor de gerenciamento Recast, criei uma função ReLAPS apenas com permissões para o console ReLAPS.  
Testando com 3 “Direitos” das opções .. chegando perto…

Servidor de gerenciamento Recast cria uma função ReLAPS

Ok, parece melhor: (ainda usando um usuário de nível 1 do Service Desk)

Configuração da conta ReLAPS

Então, como isso se parece no console do servidor de gerenciamento Recast?

Usuários Recast - LAPS somente leitura

Criou uma função ReLAPS com requisitos mínimos para o console ReLAPS.

Permissões de função

Em seguida, adicionou o grupo LAPS somente leitura e atribuiu-o à função ReLAPS:

Editar atribuições de função e escopo

Ok, agora você pode ficar tranquilo sabendo que seu Service Desk tem a capacidade de fazer as únicas tarefas que você deseja que eles façam, e nada mais. Claro, você provavelmente já concedeu a eles muito mais direitos para usar outras ferramentas, mas, ei, se você achar que precisa apenas permitir que os usuários vejam esse painel, agora você saberá como.

Veja como Right Click Tools está mudando a forma como os sistemas são gerenciados.

Aumente imediatamente a produtividade com o nosso limitado e gratuito, Community Edition.

Comece com Right Click Tools hoje:

Compartilhar isso:

Suporte

  • Este campo é para fins de validação e não deve ser alterado.

Contato

  • Este campo é para fins de validação e não deve ser alterado.
pt_BRPortuguese