トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

・LAPS

Last-modified: 2020-08-28 (金) 10:04:02
Top/・LAPS

・Windows の 管理者の設定
・L1 コントロール
・レベル1セキュリティ構成(Windows Server 2016)
・Windowsタスクスケジューラ at, schtasks の悪用
・Pass the Hash

ローカル管理者の課題

企業内で PC を展開する際に、将来のトラブル解決のために、ローカルの管理者の ID、Password を全社共有にして、配布するケースはよく見受けられます。管理者にとって管理が容易になり、素早い対応が可能となります。
一方で、ローカルの管理者の ID、Password が共通であれば、一台の PC への攻撃が成功すれば、全社を一斉に攻撃できる可能性が飛躍的に高まります。大規模な水平展開がされた場合のリスクは大変高いといえますが、他方で、展開済みの PC のローカル管理者の ID、Password を変更するには、膨大な手間と対応完了には時間がかかり、展開後の ID、Password の管理は、管理者負担を増大させます。

LAPSとは (出典: https://www.microsoft.com/en-us/download/details.aspx?id=46899)

ローカル管理者パスワードソリューション(LAPS)は、ドメイン内のすべての PC で同一のパスワードを持つ共通のローカル管理者の課題に対するソリューションを提供します。LAPSは、ドメイン内のすべてのコンピューターで共通のローカル管理者アカウントに異なるランダムパスワードを設定することにより、この問題を解決します。

  • LAPSはどのように機能しますか?
    • LAPSソリューションの中核は、次のタスクを実行し、GPOの更新中に次のアクションを実行できるGPOクライアント側拡張機能(CSE)です。
      • ローカル管理者アカウントのパスワードの有効期限が切れているかどうかを確認します。
      • 古いパスワードの有効期限が切れているか、有効期限が切れる前に変更する必要がある場合、新しいパスワードを生成します。
      • パスワードポリシーに対して新しいパスワードを検証します。
      • パスワードをActive Directoryに報告し、Active Directoryのコンピューターアカウントに機密属性と共に保存します。
      • パスワードの次回の有効期限をActive Directoryに報告し、Active Directoryのコンピューターアカウントの属性とともに保存します。
      • 管理者アカウントのパスワードを変更します。
      • その後、パスワードは、許可されたユーザーがActive Directoryから読み取ることができます。資格のあるユーザーは、コンピューターのパスワード変更を要求できます。
  • LAPSの機能は何ですか? LAPSには次の機能が含まれます。
    • セキュリティ
      • 管理対象マシンで自動的に変更されるパスワードをランダムに生成します。
      • 同一のローカルアカウントパスワードに依存するPtH攻撃を効果的に軽減します。
      • Kerberosバージョン5プロトコルを使用した暗号化による転送中のパスワード保護の強化。
      • アクセス制御リスト(ACL)を使用してActive Directoryのパスワードを保護し、詳細なセキュリティモデルを簡単に実装します。
    • 管理機能
      • 年齢、複雑さ、長さなどのパスワードパラメータを設定します。
      • マシンごとにパスワードを強制的にリセットします。
      • Active DirectoryのACLと統合されたセキュリティモデルを使用します。
      • 選択したActive Directory管理ツールを使用します。Windows PowerShellなどのカスタムツールが提供されます。
      • コンピューターアカウントの削除から保護します。
      • 最小限の設置面積でソリューションを簡単に実装します。

LAPSの構築

以下のサイトから日本語ドキュメントが入手できます。
ローカル管理者パスワードソリューション(LAPS)導入ガイド(日本語版)
https://msrc-blog.microsoft.com/2020/08/26/20200827_laps/