ReLAPS, vilket ger synlighet till en förbisedd säkerhetsnödvändighet.

Bra titelkrok eller hur? Här är varför jag säger att LAPS (Local Admin Password Solution) har funnits i flera år, och jag skulle vara villig att satsa, många organisationer har inte implementerat det än (totalt gissning här, inga faktiska data, annat än min twitterundersökning som visas nedan). Goda nyheter, många har, som jag hade hos en tidigare arbetsgivare. Det är enkelt att installera och minskar kraftigt en tidigare lättanvändbar fästvektor.  LAPS ... minskar risken för lateral eskalering som uppstår när kunder använder samma administrativa lokala konto och lösenordskombination på sina datorer . -Microsoft

LAPS Twitter -undersökning

Så där har du det, du har det inställt, om inte, se tidigare inlägg, nu går du vidare med dina operativa uppgifter och fokuserar på vilken eld din chef kastar på dig idag. Varför är det så? Vem gjorde seriöst klienthälsan för LAPS när den installerades? Vem bekräftade att det fungerade på alla slutpunkter? Det gjorde jag verkligen inte, jag hade ”större fisk att steka”. Men som med alla implementeringar måste du kolla upp det då och då. Detta borde inte vara en överraskning, du gör det här med ConfigMgr -klienten, du övervakar klientens hälsa, kanske till och med implementerade automatiska avhjälpningsskript. Du övervakar förmodligen ditt AV / Anti-Malware-system, IDS, diskkryptering etc. Så varför inte LAPS?  

Så teamet på Recast Software skapade en fin instrumentpanel för dig att övervaka din LAPS "hälsa". Detta ingår i Enterprise -versionen av Right Click Tools. Här är en bild från deras Dokumentation, har lite mer datum än mitt lilla labb:

Skärmdump av ReLAPS Security Tools

Varför jag gillar det här är för att jag redan är i CM -konsolen varje dag, för att ha en instrumentpanel för LAPS, för att hålla den synlig och framför oss, tycker jag att detta är mycket användbart. Det tar bara några sekunder, dra upp den, kontrollera min statistik och gå vidare. Om jag hittar en avvikelse kan jag börja titta på det.

Vad tycker jag mer om? Kul att du frågade, jag gillar att jag kan leta upp lösenorden här. Inget behov av att göra ett speciellt paket för att mina Service Desk Techs ska kunna leta upp lösenord, de har redan CM -konsolen, nu ger jag dem bara behörighet till den här funktionen och de har nu ett kraftfullt verktyg för när de behöver leta upp dessa lösenord för deras supportbehov.

Är det allt? Nej, jag gillar att jag kan exportera den här listan till CSV -fil och ge den till säkerhetsteamet / granskningsfolket, som vill bekräfta överensstämmelse.

Få prissättning.

Så hur ställer du upp det här? Jag har Right Click Tools Enterprise -licensen och konfigurerar Recast Management Server. Vilka behörigheter behöver jag för att min Service Desk ska kunna se denna instrumentpanel? Vilka behörigheter krävs för att min Service Desk ska kunna se lösenorden?
Jag ska gå igenom det och bygga av mig senaste inlägget där jag konfigurerade LAPS och skapade annonsgrupper med olika behörigheter för LAPS. Antaganden innan du fortsätter: Du har specifika annonsgrupper som du vill ge behörighet till.

Först i mitt labb har jag mina Service Desk Tier 1 -3 Supportpositioner har olika åtkomst till CM -konsolen. Jag vill att alla ska ha möjlighet att se instrumentpaneler och dra upp lösenorden.
I CM:

Service Desk Tier 1 -3 Supportpositioner har olika åtkomst till ConfigMgr -konsolen

Innan jag lägger till några behörigheter så här skulle instrumentpanelen se ut utan rätt behörighet: (Använda Service Desk Tier 1 -användare)

Utan rätt behörighet

Så nu vet vi hur det ser ut när du inte har rättigheter, låt oss lägga till några behörigheter. I Recast Management Server har jag skapat en ReLAPS -roll med bara behörigheter för ReLAPS -konsolen.  
Testar med 3 "Rättigheter" från alternativen .. kommer nära ...

Recast Management Server skapar en ReLAPS -roll

Ok, det här ser bättre ut: (använder fortfarande en Service Desk Tier 1 -användare)

Konfiguration av ReLAPS -konto

Så hur ser detta ut i Recast Management Server Console?

Recast -användare - LAPS skrivskyddad

Skapade en ReLAPS -roll med minimikrav för ReLAPS -konsolen.

Rolltillstånd

Lägg sedan till LAPS Read Only Group och tilldelade den till ReLAPS -rollen:

Redigera rolluppgifter och omfattning

Ok, nu kan du vara lugn och veta att din Service Desk har möjlighet att utföra de enda uppgifter du vill att de ska utföra, och inte mer. Visst, du har förmodligen redan gett dem mycket fler rättigheter att använda andra verktyg redan, men hej, om du upptäcker att du bara behöver tillåta användare att se den instrumentpanelen, kommer du nu att veta hur.

Se hur Right Click Tools förändrar hur system hanteras.

Öka produktiviteten direkt med vår begränsade, kostnadsfria Community Edition.

Kom igång med Right Click Tools idag:

Dela detta:

Support

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.

Kontakt

  • Detta fält används för valideringsändamål och ska lämnas oförändrat.
sv_SESwedish