Local Administrator Password Solution (LAPS) の提供を開始 - 日本のセキュリティチーム - Site Home - TechNet Blogs

(情報元のブックマーク数

MSさんが素晴らしいツールを出してくれています。Pass the Hash攻撃に対策にもなるし面白いツール、特にパソコンのイメージ展開の際にローカルAdminのパスワードが一つで展開している企業(ってほとんどだろ・・・)に使えるツールですな

このツールは、Active Directory (AD) に参加しているコンピューターの、ローカル管理者アカウントのパスワードを AD にて管理することができる無償のツールです。
攻撃者が組織に侵入する際、マルウェアなどを利用してまずはひとつのドメイン端末に侵入し、その後、Pass the Hash などの手法で同一のパスワードが設定されているその他のドメイン端末へ侵入を試みるなど、徐々に認証サーバーへ侵入するのに必要な高い権限を取得保持している可能性の高いアプリケーション・サービスを狙います。企業ではマスター イメージから複製展開する手法や、ヘルプデスク業務の効率化のために端末毎の管理者アカウントが同一になることが多く、このような場合は、一台がマルウェア感染すると他のすべての端末が侵害される可能性が高くなります。このように侵害を広げていく場合、脆弱性は不要であり、正規の認証を行い、正規の方法で不正なファイルが仕掛けられます。このような組織への侵入を阻止するためには、端末ごとの管理者アカウント パスワードの使い回しをしないことが重要になります。
この LAPS ツールを利用する事で、ドメイン端末のローカル管理者アカウントのパスワードをランダムなものにし、管理を行うことができます。これにより、万が一組織内への攻撃者の侵入があった場合でも、組織内への攻撃の広がりや侵入拡大を防ぐためのセキュリティを強化することができます。

Local Administrator Password Solution (LAPS) の提供を開始 – 日本のセキュリティチーム

screenshot