Kas sul on juba Microsoft Local Admin Password Solution (LAPS) juurutatud?

Viimasel paaril aastal on olnud liikvel väga palju erinevaid krüptoviiruseid, mis kasutaja andmed arvutis ära krüpteerib. Nii mõnelgi ettevõttel on läinud üsna halvasti just tänu sääraste rünnakute tõttu. Peale kasutaja andmete krüpteerimise tegelevad osa nendest ka kasutaja nimede ja paroolide varastamisega. Kui on juba pääsetud ettevõtte võrku, siis proovitakse edasi liikuda teistesse seadmetesse ja krüpteerida andmeid nii palju kui võimalik.

Selleks, et taolistel viirustel ei oleks nii lihtne liikuda ühest masinast teise on väga oluline, et igas arvutis ei oleks ühesugune Lokaalse Administraatori parool. Kahjuks ikka ja jälle kohtan ma ettevõtteid, kus lokaalse administraatori parool  on nt „Tere1234“ ning seda muidugi kõikides kasutajate tööjaamades. Mõne ettevõtte IT-tehnik ise veel naeratades huumoriga mainib, et ka meie eelmised praktikandid ja töötajad teavad neid paroole. Juhul, kui peaks juhtuma, et ühte masinasse pääseb sisse viirus ja sellel viirusel on oskus välja lugeda kohaliku administraatori parool, siis nii lihtsalt pääsebki viirus edasi teistesse arvutitesse ja keskkondadesse.

Microsoft LAPS on üks konkreetne meede taoliste rünnakute eest, kuid kindlasti mitte ainuke!

Kui te olete taolises seisus, siis tuleks seda muuta koheselt.

Kui nüüd küsida, et kust taoline olukord tekib?

Põhjus 1

Üks paljudest võimalustest, kuidas igasse masinasse on saanud üks parool on see, et IT-tehnik on seadistanud Configuration Manageris järgmise seadistuse Task Sequencis. Sellisel juhul süstitakse kõikidesse uutesse masinatesse samasugune Lokaalse Administraatori parool.

Põhjus 2

Kohaliku administraatori parooli muutmisi tehakse läbi grupipoliitikate. Sellest ma ei hakkaks üldsegi pikemalt rääkima, et kuidas seda teha saab või kuidas seda tehtud on. Kui Te täna seda säärasel kujul teete, siis palun lõpetage see tegevus koheselt ning minge üle LAPS lahendusele.

Kuidas peaks see teema korrektselt lahendatud olema

Microsoftil on nüüdseks juba väga pikalt väljas olnud lahendus nimega Local Administrator Password Solution ehk LAPS. Tegemist on lahendusega, mis automaatselt vahetab igas seadmes kohaliku administraatori parooli. Uus parool kirjutatakse Active Directory´s arvutikonto külge. Parooli vahetus poliitikaid saab seadistada grupipoliitika kaudu ja igas seadmes on agent, mis vastutab parooli vahetuse eest.

Teil on võimalus täpselt delegeerida kes nendele paroolidele ligi saab. LAPS lahendust ei ole keeruline juurutada ning see peaks olema juurutatud igas keskkonnas.

Microsoft LAPS lahenduse saab alla laadida siit

Kui soovite abi Microsoft LAPS juurutamisel, siis palun võtke ühendust.

Tunnuspilt on võetud siit