Local Administrator Password Solution (LAPS)

悩ましいアカウント管理。

MITREのテクニックで、「Valid Account」がある。

以下の４つについて、具体的な防止策、検知、具体例が挙げられている。

Default Accountsは停止しましょう、Domain Accounts・Cloud Accountsは集中管理や多要素認証で、とイメージはつきやすい。

Local Accountsは、どうするのか？組織で単一や安易なパスワードが設定されていたりしがちになる。

マルウェアとして猛威を振るうEmoteもLocal Accountsへのブルートフォース攻撃をするようだ。

MicroSoftはLocal Accountsを管理するLocal Administrator Password Solution (LAPS)を無償で提供している。

2015年には提供されていたらしいが、英語の情報のみで、日本では普及しなかったようです。

AD環境にLAPSのコンポーネントをセットアップして、LAPS管理者がローカルアカウントのパスワードを一元管理できる、というもの。

パスワードの管理、というのが、

・設定されたパスワードを確認できる

・パスワードを変更できる

・有効期限を変更

というもので、なんでも出来てしまう。

ドメイン環境下では、Local Accountsを使用する機会は少ないので、Domain Accounts以上に強権的な管理をしたところでユーザ影響はないのでしょう。

無償で利用できます、とのことだが、初めからサーバの機能として標準実装しておけばよいのに、と思う。

セキュリティ強化で導入したため、既存機能に影響が出ると、しんどいです。