Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた
Search
Sponsored
·
Your Podcast. Everywhere. Effortlessly.
Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
→
yukyu2nd
November 16, 2024
51
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた
yukyu2nd
November 16, 2024
More Decks by yukyu2nd
See All by yukyu2nd
KomeKaigi企画セッション 新潟テック米俵リレー
yukyu2nd
0
40
新潟の技術コミュニティNiigata5分Techについて
yukyu2nd
0
150
個人的新潟駅周辺の推しラーメン
yukyu2nd
0
130
Niigata5分Tech#18_Android端末の管理方法っていくつあるか知っている?
yukyu2nd
0
49
Niigata5分Tech#14_監査ログの保存どうしてます?
yukyu2nd
0
64
Niigata5分Tech#9_十徳ナイフのような便利ツールDevToys ver2を使ってみた
yukyu2nd
0
32
Niigata5分Tech#10_最近のLaravelってどんな感じか
yukyu2nd
0
32
Niigata5分Tech#4_逸般の誤家庭で 一般のご家庭の機器を使う
yukyu2nd
0
55
ベンチャーの情シスも悪くないよ?
yukyu2nd
0
83
Featured
See All Featured
Believing is Seeing
oripsolob
1
150
Tell your own story through comics
letsgokoyo
1
960
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
12
1.2k
Automating Front-end Workflow
addyosmani
1370
210k
Collaborative Software Design: How to facilitate domain modelling decisions
baasie
1
250
Accessibility Awareness
sabderemane
1
140
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Why Our Code Smells
bkeepers
PRO
340
58k
Statistics for Hackers
jakevdp
799
230k
Build your cross-platform service in a week with App Engine
jlugia
234
18k
How Software Deployment tools have changed in the past 20 years
geshan
0
34k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
270
Transcript
最小権限の原則のために WindowsLAPSを使ってみた Niigata5分Tech#8 髙橋悠 @yukyu2nd
自己紹介 Yu Takahashi @yukyu2nd 株式会社モニクル コーポレートエンジニア Niigata5分Tech 実行委員会のメンバーやってます。
普段WindowsのローカルPCの権限管 理ってどうしていますか?
組織の管理下にあるPCについて • 勝手にアプリを入れたりできないようにしたい。 • マルウェア等が勝手にインストールされないようにUACはきっちり稼働させたい。
その際にやる方法として • ローカル管理者権限を剥奪 • 管理者・一般ユーザーでアプリをインストールしようとした際に「 セキュリティで保護されたデスクトップで資格情報を要求する」ように設定
でも、アプリ更新とか個人にやらせたい ですよね?
そんな都合の良いことができないか?
ということでWindowsLAPS
WindowsLAPS • ローカル管理者パスワードソリューション • Microsoft Entraに参加している端末の、デバイス上のローカル管理者アカウントの パスワードを自動的に管理し、バックアップする Windows の機能です
WindowsLAPSだと何がうれしい?
メリット • pass-the-hash と lateral-traversal の攻撃に対する保護 • リモート ヘルプ デスク
シナリオのセキュリティの強化 • アクセスできないデバイスにサインインして回復できる
どうやって導入するのか
Intuneでポリシーを作成 WindowsLAPSの設定をON
Intuneでポリシーを作成 ポリシーとしては • ローカル管理者パスワードを EntraID内にのみ保存 • ローカル管理者のパスワードの 有効期限を指定 • ローカル管理者名の定義
• ローカル管理者のパスワード認 証後のアクション • 認証後のパスワードリセット猶予 時間
Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加
Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加
どんな動きをするのか
Intuneからローカル管理者アカウントを各PCに作成 Intune • WindowsLAPSの有効化 • ローカル管理者権限を所有者から剥奪 • ローカル管理者アカウントを作成 PC
ローカルPCに作成されたローカル管理者のパスワードを EntraIDへ PC Intune • パスワードはEntraIDで管理
ローカル管理者権限を利用する場合は
EntraIDの管理者へパスワード発行を要求 PC Intune • 依頼は管理者に直接聞いてくださいw
EntraIDでのローカル管理者アカウントの表示 こんな感じでEntraID上で表 示されます。
EntraIDでのローカル管理者アカウントの表示 こんな感じでパスワードが表 示されます。
取得したパスワードでローカルPC上で 認証すると
パスワード発行から指定時間後にリセットが走る PC Intune • 自動でタスクがローカルPC上に設定さ れ、起動していなくても次回起動時にパス ワードがリセットされます。
パスワード発行から指定時間後にリセットが走る PC Intune • パスワードリセットされると自動的に EntraIDに同期されます。
このように最小限の特権原則に沿った PC管理を進めてはいかがでしょうか?
ちなみにMacだと?
Jamf等を使ってLAPSを実行可能 Windows同様にローカル管理者のパスワードをローテーションしてセキュリティレベルを 上げることが可能です。
ご清聴ありがとうございました。
Your Podcast. Everywhere. Effortlessly.
yukyu2nd
oripsolob
letsgokoyo
tammyeverts
addyosmani
baasie
sabderemane
sergeychernyshev
bkeepers
jakevdp
jlugia
geshan
techseoconnect
