Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yukyu2nd
November 16, 2024
0
40
Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた
yukyu2nd
November 16, 2024
Tweet
Share
More Decks by yukyu2nd
See All by yukyu2nd
KomeKaigi企画セッション 新潟テック米俵リレー
yukyu2nd
0
35
新潟の技術コミュニティNiigata5分Techについて
yukyu2nd
0
130
個人的新潟駅周辺の推しラーメン
yukyu2nd
0
120
Niigata5分Tech#18_Android端末の管理方法っていくつあるか知っている?
yukyu2nd
0
37
Niigata5分Tech#14_監査ログの保存どうしてます?
yukyu2nd
0
57
Niigata5分Tech#9_十徳ナイフのような便利ツールDevToys ver2を使ってみた
yukyu2nd
0
28
Niigata5分Tech#10_最近のLaravelってどんな感じか
yukyu2nd
0
25
Niigata5分Tech#4_逸般の誤家庭で 一般のご家庭の機器を使う
yukyu2nd
0
38
ベンチャーの情シスも悪くないよ?
yukyu2nd
0
73
Featured
See All Featured
How to Think Like a Performance Engineer
csswizardry
28
2.5k
Redefining SEO in the New Era of Traffic Generation
szymonslowik
1
230
The Art of Delivering Value - GDevCon NA Keynote
reverentgeek
16
1.9k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.6k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
mfonobong
2
300
Leading Effective Engineering Teams in the AI Era
addyosmani
9
1.7k
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
150
For a Future-Friendly Web
brad_frost
183
10k
コードの90%をAIが書く世界で何が待っているのか / What awaits us in a world where 90% of the code is written by AI
rkaga
60
42k
Code Review Best Practice
trishagee
74
20k
End of SEO as We Know It (SMX Advanced Version)
ipullrank
3
4k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
Transcript
最小権限の原則のために WindowsLAPSを使ってみた Niigata5分Tech#8 髙橋悠 @yukyu2nd
自己紹介 Yu Takahashi @yukyu2nd 株式会社モニクル コーポレートエンジニア Niigata5分Tech 実行委員会のメンバーやってます。
普段WindowsのローカルPCの権限管 理ってどうしていますか?
組織の管理下にあるPCについて • 勝手にアプリを入れたりできないようにしたい。 • マルウェア等が勝手にインストールされないようにUACはきっちり稼働させたい。
その際にやる方法として • ローカル管理者権限を剥奪 • 管理者・一般ユーザーでアプリをインストールしようとした際に「 セキュリティで保護されたデスクトップで資格情報を要求する」ように設定
でも、アプリ更新とか個人にやらせたい ですよね?
そんな都合の良いことができないか?
ということでWindowsLAPS
WindowsLAPS • ローカル管理者パスワードソリューション • Microsoft Entraに参加している端末の、デバイス上のローカル管理者アカウントの パスワードを自動的に管理し、バックアップする Windows の機能です
WindowsLAPSだと何がうれしい?
メリット • pass-the-hash と lateral-traversal の攻撃に対する保護 • リモート ヘルプ デスク
シナリオのセキュリティの強化 • アクセスできないデバイスにサインインして回復できる
どうやって導入するのか
Intuneでポリシーを作成 WindowsLAPSの設定をON
Intuneでポリシーを作成 ポリシーとしては • ローカル管理者パスワードを EntraID内にのみ保存 • ローカル管理者のパスワードの 有効期限を指定 • ローカル管理者名の定義
• ローカル管理者のパスワード認 証後のアクション • 認証後のパスワードリセット猶予 時間
Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加
Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加
どんな動きをするのか
Intuneからローカル管理者アカウントを各PCに作成 Intune • WindowsLAPSの有効化 • ローカル管理者権限を所有者から剥奪 • ローカル管理者アカウントを作成 PC
ローカルPCに作成されたローカル管理者のパスワードを EntraIDへ PC Intune • パスワードはEntraIDで管理
ローカル管理者権限を利用する場合は
EntraIDの管理者へパスワード発行を要求 PC Intune • 依頼は管理者に直接聞いてくださいw
EntraIDでのローカル管理者アカウントの表示 こんな感じでEntraID上で表 示されます。
EntraIDでのローカル管理者アカウントの表示 こんな感じでパスワードが表 示されます。
取得したパスワードでローカルPC上で 認証すると
パスワード発行から指定時間後にリセットが走る PC Intune • 自動でタスクがローカルPC上に設定さ れ、起動していなくても次回起動時にパス ワードがリセットされます。
パスワード発行から指定時間後にリセットが走る PC Intune • パスワードリセットされると自動的に EntraIDに同期されます。
このように最小限の特権原則に沿った PC管理を進めてはいかがでしょうか?
ちなみにMacだと?
Jamf等を使ってLAPSを実行可能 Windows同様にローカル管理者のパスワードをローテーションしてセキュリティレベルを 上げることが可能です。
ご清聴ありがとうございました。
Your Podcast. Everywhere. Effortlessly.
yukyu2nd
csswizardry
szymonslowik
reverentgeek
philnash
mfonobong
addyosmani
ryanjones
brad_frost
rkaga
trishagee
ipullrank
kevinliebholz
