Compartilhar via

Avaliação de segurança: utilização da Microsoft LAPS

  • Artigo

O que é a Microsoft LAPS?

A "Solução de Palavra-passe de Administrador Local" (LAPS) da Microsoft fornece a gestão de palavras-passe de conta de administrador local para computadores associados a um domínio. As palavras-passe são aleatórias e armazenadas no Active Directory (AD), protegidas por ACLs, pelo que apenas os utilizadores elegíveis podem lê-la ou pedir a reposição.

Esta avaliação de segurança suporta apenas a Microsoft LAPS legada .

Que risco não representa a implementação da LAPS para uma organização?

A LAPS fornece uma solução para o problema de utilização de uma conta local comum com uma palavra-passe idêntica em todos os computadores num domínio. A LAPS resolve este problema ao definir uma palavra-passe aleatória diferente e rodada para a conta de administrador local comum em todos os computadores do domínio.

A LAPS simplifica a gestão de palavras-passe ao mesmo tempo que ajuda os clientes a implementar defesas mais recomendadas contra ciberataques. Em particular, a solução mitiga o risco de escalamento lateral que resulta quando os clientes utilizam a mesma conta local administrativa e combinação de palavras-passe nos respetivos computadores. A LAPS armazena a palavra-passe da conta de administrador local de cada computador no AD, protegida num atributo confidencial no objeto do AD correspondente do computador. O computador pode atualizar os seus próprios dados de palavra-passe no AD e os administradores de domínio podem conceder acesso de leitura a utilizadores ou grupos autorizados, como administradores de suporte técnico da estação de trabalho.

Como fazer utilizar esta avaliação de segurança?

  1. Reveja a ação recomendada em https://security.microsoft.com/securescore?viewid=actions para descobrir quais dos seus domínios têm alguns (ou todos) dispositivos Windows compatíveis que não estão protegidos por LAPS ou que não tiveram a palavra-passe gerida da LAPS alterada nos últimos 60 dias.

    Veja que domínios têm dispositivos desprotegidos pela LAPS.

  2. Para domínios que estão parcialmente protegidos, selecione a linha relevante para ver a lista de dispositivos não protegidos por LAPS nesse domínio.

    Selecione domínio com dispositivos desprotegidos pela LAPS.

    Observação

    Se todo o domínio não estiver protegido com LAPS, não verá a lista de todos os dispositivos desprotegidos.

  3. Tome as medidas adequadas nesses dispositivos ao transferir, instalar e configurar ou resolver problemas da Microsoft LAPS com a documentação fornecida na transferência.

    Remediar dispositivos desprotegidos pela LAPS.

Observação

Embora as avaliações sejam atualizadas quase em tempo real, as classificações e os estados são atualizados a cada 24 horas. Embora a lista de entidades afetadas seja atualizada poucos minutos após a implementação das recomendações, a status ainda poderá demorar algum tempo até ser marcada como Concluída.

Confira também