・LAPS の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• ・LAPS へ行く。
• ・LAPS の差分を削除

#author("2020-08-28T10:03:38+09:00","","")
#author("2020-08-28T10:04:02+09:00","","")
[[・Windows の 管理者の設定]]~
[[・Pass the Hash]]~
[[・L1 コントロール]]~
[[・レベル1セキュリティ構成（Windows Server 2016)]]~
[[・Windowsタスクスケジューラ at, schtasks の悪用]]~

[[・Pass the Hash]]~
*ローカル管理者の課題 [#t63871d6]
企業内で PC を展開する際に、将来のトラブル解決のために、ローカルの管理者の ID、Password を全社共有にして、配布するケースはよく見受けられます。管理者にとって管理が容易になり、素早い対応が可能となります。~
一方で、ローカルの管理者の ID、Password が共通であれば、一台の PC への攻撃が成功すれば、全社を一斉に攻撃できる可能性が飛躍的に高まります。大規模な水平展開がされた場合のリスクは大変高いといえますが、他方で、展開済みの PC のローカル管理者の  ID、Password を変更するには、膨大な手間と対応完了には時間がかかり、展開後の ID、Password の管理は、管理者負担を増大させます。

*LAPSとは (出典: https://www.microsoft.com/en-us/download/details.aspx?id=46899) [#b8930c6c]
ローカル管理者パスワードソリューション（LAPS）は、ドメイン内のすべての PC で同一のパスワードを持つ共通のローカル管理者の課題に対するソリューションを提供します。LAPSは、ドメイン内のすべてのコンピューターで共通のローカル管理者アカウントに異なるランダムパスワードを設定することにより、この問題を解決します。
-LAPSはどのように機能しますか？
--LAPSソリューションの中核は、次のタスクを実行し、GPOの更新中に次のアクションを実行できるGPOクライアント側拡張機能（CSE）です。
---ローカル管理者アカウントのパスワードの有効期限が切れているかどうかを確認します。
---古いパスワードの有効期限が切れているか、有効期限が切れる前に変更する必要がある場合、新しいパスワードを生成します。
---パスワードポリシーに対して新しいパスワードを検証します。
---パスワードをActive Directoryに報告し、Active Directoryのコンピューターアカウントに機密属性と共に保存します。
---パスワードの次回の有効期限をActive Directoryに報告し、Active Directoryのコンピューターアカウントの属性とともに保存します。
---管理者アカウントのパスワードを変更します。
---その後、パスワードは、許可されたユーザーがActive Directoryから読み取ることができます。資格のあるユーザーは、コンピューターのパスワード変更を要求できます。

-LAPSの機能は何ですか？
LAPSには次の機能が含まれます。
--セキュリティ
---管理対象マシンで自動的に変更されるパスワードをランダムに生成します。
---同一のローカルアカウントパスワードに依存するPtH攻撃を効果的に軽減します。
---Kerberosバージョン5プロトコルを使用した暗号化による転送中のパスワード保護の強化。
---アクセス制御リスト（ACL）を使用してActive Directoryのパスワードを保護し、詳細なセキュリティモデルを簡単に実装します。
--管理機能
---年齢、複雑さ、長さなどのパスワードパラメータを設定します。
---マシンごとにパスワードを強制的にリセットします。
---Active DirectoryのACLと統合されたセキュリティモデルを使用します。
---選択したActive Directory管理ツールを使用します。Windows PowerShellなどのカスタムツールが提供されます。
---コンピューターアカウントの削除から保護します。
---最小限の設置面積でソリューションを簡単に実装します。



*LAPSの構築 [#lb494a12]
以下のサイトから日本語ドキュメントが入手できます。~
ローカル管理者パスワードソリューション（LAPS）導入ガイド（日本語版）~
https://msrc-blog.microsoft.com/2020/08/26/20200827_laps/