Hesla pro správce IT aneb co dokáže LAPS

Autor: Michal Princ (Consultant Business Developement Konica Minolta IT Solutions Czech)

LAPS je pojem, který by měl znát každý administrátor. Je to totiž jedna z těch kouzelných utilit pro lenochy, které vám zároveň ušetří práci a zvýší zabezpečení ve vaší firmě. Díky němu dokážete předcházet mnoha bezpečnostním incidentům. Co to tedy je a v čem vám může pomoci? Minulý článek jsem věnoval bezpečnosti hesla ze strany uživatele. Pojďme se nyní zaměřit na hesla z pohledu správy počítače.

Co je LAPS?

V dnešní době by se nabízel i překlad „Líný Administrátor Porušuje Security“. Oficiální zkratka nicméně znamená „Local Administrator Password Solution“. Jde o řešení pro administrátory a jejich správu hesel místních počítačů připojených k doméně vaší organizace.

Máte lokální infrastrukturu? Máte zařízení připojená do lokální domény Active Directory? Pak na každém počítači máte účet lokálního správce. Někdo jej zakazuje, někdo ignoruje.

V čem je problém s lokální správou

Problém nastává, jestliže máte účet lokálního správce zapnutý a máte k němu jediné heslo. V celé vaší síti můžete přistupovat na všechny počítače a provádět libovolnou činnost. I škodlivou. Představte si tento scénář.

• Vžijte se do situace, kdy máte ve své firmě například 100 počítačů.
• Každý počítač má lokálního správce, třeba „lokalni.admin“ s heslem „XYZ“.
• Hacker přistoupí na počítač běžného zaměstnance. Obejde zabezpečení a dostane se k heslu tohoto lokálního admina. Tím pádem má přístup i k heslům všech dalších uživatelů, kteří se na tomto PC přihlašují.
• V tento moment získal přístup do všech počítačů ve firmě. Na nich udělá to stejné a dostává se nakonec třeba i k heslům neopatrných doménových správců.

Jak pomůže LAPS?

Právě tady vstupuje znovu zkratka LAPS. LAPS je tu dlouho a je to skutečně prověřená utilita. Můžete si ji navíc stáhnout od Microsoftu zcela zdarma. Jak funguje?

Pomocí nástrojů administrátora pro centrální správu počítačů GPO (Group Policy), nebo dnes i nově jednodušeji přes Intune, nastavíte na koncových stanicích, že je tam lokální administrátor se jménem „lokalni.admin“ a systém mu náhodně generuje hesla. Hesla generuje pro každý počítač, takže nelze se dostat na ostatní počítače přes jeden přístup, jak ukazoval náš scénář výše.

Krok navíc, který se vyplatí

Zároveň je ale nutné mít pro správce aplikaci LAPS nebo dostupný Intune, kde se vždy dozví aktuální heslo. Ano je to o krok navíc a správci musí se koukat na současné heslo, ale…?

Vezměte si, že váš kolektiv nechtěně opustí kolega z IT, který heslo znal. Tak pracně na všech počítačích měníte heslo, aby se nestalo, že naštvaný bývalý kolega se vám do nich dostane a upraví jejich konfiguraci. A to právě nemusíte.

Pro tuto ochranu vám v Microsoft Intune stačí zapnout a nastavit funkci LAPS. Vše je hotovo do 5 minut a možnost napadení lokální infrastruktury klesne o 50 %. Když si k tomu přidáte Antivirus, XDR a aktualizace systému, tak zbývá cca 1 %, což už je jen hloupost uživatele.

Nepřehlížejte základní bezpečnostní standardy. Vyplatí se vám to. A pokud potřebujete pomoci nejen s touto konfigurací, ale i dalšími oblastmi zabezpečení a ochrany IT vaší organizace, obraťte se na nás v Konica Minolta IT Solutions. Jsme vám k dispozici.

Potřebujete informací k Microsoft Security? Podívejte se na další zdroje nebo nás rovnou kontaktujte.

Online workshopy na téma Microsoft Security

Microsoft Security jako zásadní know-how pro bezpečí vaší firmy

Akademie Microsoft Azure

Chraňte svou firmu s Microsoft Security

Články na téma Microsoft Security

Hesla ve firmě. Měnit či neměnit? A jak často?

Chytré telefony aneb nepomáhejte hackerům k datům

Jak na zabezpečení identit v prostředí Microsoft 365

Máte zabezpečené e-maily nebo raději děláte, že to nevidíte?

Jak se bránit kreativitě útočníků? Se silným partnerem.

Váš průvodce zabezpečením sítě v prostředí Microsoft Azure

Na pomoc před kybernetickým útokem přivolejte Microsoft Security