Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yukyu2nd
November 16, 2024
0
38
Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた
yukyu2nd
November 16, 2024
Tweet
Share
More Decks by yukyu2nd
See All by yukyu2nd
KomeKaigi企画セッション 新潟テック米俵リレー
yukyu2nd
0
35
新潟の技術コミュニティNiigata5分Techについて
yukyu2nd
0
130
個人的新潟駅周辺の推しラーメン
yukyu2nd
0
120
Niigata5分Tech#18_Android端末の管理方法っていくつあるか知っている?
yukyu2nd
0
37
Niigata5分Tech#14_監査ログの保存どうしてます?
yukyu2nd
0
57
Niigata5分Tech#9_十徳ナイフのような便利ツールDevToys ver2を使ってみた
yukyu2nd
0
27
Niigata5分Tech#10_最近のLaravelってどんな感じか
yukyu2nd
0
25
Niigata5分Tech#4_逸般の誤家庭で 一般のご家庭の機器を使う
yukyu2nd
0
37
ベンチャーの情シスも悪くないよ?
yukyu2nd
0
73
Featured
See All Featured
Claude Code のすすめ
schroneko
67
210k
No one is an island. Learnings from fostering a developers community.
thoeni
21
3.6k
Getting science done with accelerated Python computing platforms
jacobtomlinson
2
120
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
0
140
Google's AI Overviews - The New Search
badams
0
910
Efficient Content Optimization with Google Search Console & Apps Script
katarinadahlin
PRO
1
330
Fashionably flexible responsive web design (full day workshop)
malarkey
408
66k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
37
6.3k
Bioeconomy Workshop: Dr. Julius Ecuru, Opportunities for a Bioeconomy in West Africa
akademiya2063
PRO
1
57
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
25
1.7k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
240
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
333
22k
Transcript
最小権限の原則のために WindowsLAPSを使ってみた Niigata5分Tech#8 髙橋悠 @yukyu2nd
自己紹介 Yu Takahashi @yukyu2nd 株式会社モニクル コーポレートエンジニア Niigata5分Tech 実行委員会のメンバーやってます。
普段WindowsのローカルPCの権限管 理ってどうしていますか?
組織の管理下にあるPCについて • 勝手にアプリを入れたりできないようにしたい。 • マルウェア等が勝手にインストールされないようにUACはきっちり稼働させたい。
その際にやる方法として • ローカル管理者権限を剥奪 • 管理者・一般ユーザーでアプリをインストールしようとした際に「 セキュリティで保護されたデスクトップで資格情報を要求する」ように設定
でも、アプリ更新とか個人にやらせたい ですよね?
そんな都合の良いことができないか?
ということでWindowsLAPS
WindowsLAPS • ローカル管理者パスワードソリューション • Microsoft Entraに参加している端末の、デバイス上のローカル管理者アカウントの パスワードを自動的に管理し、バックアップする Windows の機能です
WindowsLAPSだと何がうれしい?
メリット • pass-the-hash と lateral-traversal の攻撃に対する保護 • リモート ヘルプ デスク
シナリオのセキュリティの強化 • アクセスできないデバイスにサインインして回復できる
どうやって導入するのか
Intuneでポリシーを作成 WindowsLAPSの設定をON
Intuneでポリシーを作成 ポリシーとしては • ローカル管理者パスワードを EntraID内にのみ保存 • ローカル管理者のパスワードの 有効期限を指定 • ローカル管理者名の定義
• ローカル管理者のパスワード認 証後のアクション • 認証後のパスワードリセット猶予 時間
Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加
Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加
どんな動きをするのか
Intuneからローカル管理者アカウントを各PCに作成 Intune • WindowsLAPSの有効化 • ローカル管理者権限を所有者から剥奪 • ローカル管理者アカウントを作成 PC
ローカルPCに作成されたローカル管理者のパスワードを EntraIDへ PC Intune • パスワードはEntraIDで管理
ローカル管理者権限を利用する場合は
EntraIDの管理者へパスワード発行を要求 PC Intune • 依頼は管理者に直接聞いてくださいw
EntraIDでのローカル管理者アカウントの表示 こんな感じでEntraID上で表 示されます。
EntraIDでのローカル管理者アカウントの表示 こんな感じでパスワードが表 示されます。
取得したパスワードでローカルPC上で 認証すると
パスワード発行から指定時間後にリセットが走る PC Intune • 自動でタスクがローカルPC上に設定さ れ、起動していなくても次回起動時にパス ワードがリセットされます。
パスワード発行から指定時間後にリセットが走る PC Intune • パスワードリセットされると自動的に EntraIDに同期されます。
このように最小限の特権原則に沿った PC管理を進めてはいかがでしょうか?
ちなみにMacだと?
Jamf等を使ってLAPSを実行可能 Windows同様にローカル管理者のパスワードをローテーションしてセキュリティレベルを 上げることが可能です。
ご清聴ありがとうございました。
Your Podcast. Everywhere. Effortlessly.
yukyu2nd
schroneko
thoeni
jacobtomlinson
baasie
badams
katarinadahlin
malarkey
kevinliebholz
akademiya2063
honnibal
greggifford
caitiem20
