・LAPS のバックアップ(No.1)
ローカル管理者の課題 †
企業内で PC を展開する際に、将来のトラブル解決のために、ローカルの管理者の ID、Password を全社共有にして、配布するケースはよく見受けられます。管理者にとって管理が容易になり、素早い対応が可能となります。
一方で、ローカルの管理者の ID、Password が共通であれば、一台の PC への攻撃が成功すれば、全社を一斉に攻撃できる可能性が飛躍的に高まります。大規模な水平展開がされた場合のリスクは大変高いといえますが、他方で、展開済みの PC のローカル管理者の ID、Password を変更するには、膨大な手間と対応完了には時間がかかり、展開後の ID、Password の管理は、管理者負担を増大させます。
LAPSとは (出典: https://www.microsoft.com/en-us/download/details.aspx?id=46899) †
ローカル管理者パスワードソリューション(LAPS)は、ドメイン内のすべての PC で同一のパスワードを持つ共通のローカル管理者の課題に対するソリューションを提供します。LAPSは、ドメイン内のすべてのコンピューターで共通のローカル管理者アカウントに異なるランダムパスワードを設定することにより、この問題を解決します。
- LAPSはどのように機能しますか?
- LAPSソリューションの中核は、次のタスクを実行し、GPOの更新中に次のアクションを実行できるGPOクライアント側拡張機能(CSE)です。
- ローカル管理者アカウントのパスワードの有効期限が切れているかどうかを確認します。
- 古いパスワードの有効期限が切れているか、有効期限が切れる前に変更する必要がある場合、新しいパスワードを生成します。
- パスワードポリシーに対して新しいパスワードを検証します。
- パスワードをActive Directoryに報告し、Active Directoryのコンピューターアカウントに機密属性と共に保存します。
- パスワードの次回の有効期限をActive Directoryに報告し、Active Directoryのコンピューターアカウントの属性とともに保存します。
- 管理者アカウントのパスワードを変更します。
- その後、パスワードは、許可されたユーザーがActive Directoryから読み取ることができます。資格のあるユーザーは、コンピューターのパスワード変更を要求できます。
- LAPSソリューションの中核は、次のタスクを実行し、GPOの更新中に次のアクションを実行できるGPOクライアント側拡張機能(CSE)です。
- LAPSの機能は何ですか?
- LAPSには次の機能が含まれます。
- 次の機能を提供するセキュリティ。
- 管理対象マシンで自動的に変更されるパスワードをランダムに生成します。
- 同一のローカルアカウントパスワードに依存するPtH攻撃を効果的に軽減します。
- Kerberosバージョン5プロトコルを使用した暗号化による転送中のパスワード保護の強化。
- アクセス制御リスト(ACL)を使用してActive Directoryのパスワードを保護し、詳細なセキュリティモデルを簡単に実装します。
- 次の機能を提供する管理性。
- 年齢、複雑さ、長さなどのパスワードパラメータを設定します。
- マシンごとにパスワードを強制的にリセットします。
- Active DirectoryのACLと統合されたセキュリティモデルを使用します。
- 選択したActive Directory管理ツールを使用します。Windows PowerShellなどのカスタムツールが提供されます。
- コンピューターアカウントの削除から保護します。
- 最小限の設置面積でソリューションを簡単に実装します。
- LAPSには次の機能が含まれます。
LAPSの構築 †
LAPS のダウンロード †
https://www.microsoft.com/en-us/download/details.aspx?id=46899