9:15
1/6/2015

Microsoft udostępnił rozwiązanie, które pomoże ustrzec się przed atakami Pass the Hash w przypadku kont lokalnych administratorów. Jest nim LAPS (Local Administrator Password Solution), umożliwiający łatwą zmianę i zarządzanie hasłami lokalnych administratorów.

Wskazówki konfiguracyjne znajdziecie tutaj, a jeśli chcielibyście dowiedzieć się jak zabezpieczyć i bezpiecznie administrować systemem Windows, zapraszamy na nasze szkolenie “Bezpieczeństwo Systemu Windows“.

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

4 komentarzy

Dodaj komentarz
  1. Polecam też wersję Enterprise dostępną w ramach usługi Microsoft Premiere lub poprzez MCS.

    RÓŻNICE:
    Hasło składowane w postaci zaszyfrowanej przy użyciu klucza asymetrycznego
    Dedykowany model bezpieczeństwa (brak niedogodności w przypadku Extended rights)
    Wymuszone szyfrowanie w ruchu sieciowym
    Dedykowany mechanizm audytu i acountability
    Interfejs Webowy i pełna integracja z konsolą ADUC
    Password history (przydatne dla maszyn wirtualnych)
    Dedykowane konto admina, możliwe do wykorzystania przez HelpDesk

  2. Nareszcie ;-) Po tylu latach ;-)

  3. Ale to chyba nie jest zabezpieczenie przed atakiem Pass the hash… to jest “tylko” sposób zarządzania hasłami lokalnych administratorów. Owszem, przy bardzo częstej zmianie (co przestanie być problemem jak ma się automat) hash lokalnego administratora będzie miał krótki czas życia, a co za tym idzie jego “przydatność” maleje… ale to dotyczy tylko hasha hasła wbudowanego, domyślnego administratora.. pozostałe cashowane hasła pozostają niezmienione.. a przecież większość czynności w firmie wykonuje się delegowanymi kontami domenowymi z uprawnieniami administratora lokalnego, które będą się odkładać i nie będą podlegać pod mechanizm LAPSa..

  4. Hasło jest inne na każdej maszynie, wiec temat PtH możesz sobie w ogóle darować. A cała zabawa przy dedykowanym koncie lokalnym polega na tym, żeby właśnie przestać używać globalnych kont domenowych z uprawnieniami lokalnymi. Zamiast tego konto lokalnego, którego hasło jest inne dla każdej maszyny. Cokolwiek wydarzy się na tej maszynie, nie pociąga to konsekwencji dla innych maszyn. Tego niestety nie da się powiedzieć w przypadku zalogowania się kogoś z helpdesku, gdzie konto domenowe ma prawdopodobnie uprawnienia administratora lokalnego na wszystkich workstacjach. Nie musisz nawet walczyć z hasłami, tokenami, bo możesz po prostu wykorzystać istniejąca sesje i dostać się do pozostałych maszyn w ramach których to konto jest administratorem.
    LAPS i LAPS Enterprise są zdecydowanie mechanizmami, która są w stanie znacznie podnieść bezpieczeństwo w zakresie ataków Pass The Hash, Pass the Token, Pass the Session.

Odpowiadasz na komentarz Z

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: