Niigata5分Tech#8_最小権限の原則のためにWindowsLAPSを使ってみた

Transcript

1. 最小権限の原則のために WindowsLAPSを使ってみた Niigata5分Tech#8 髙橋悠　@yukyu2nd

2. 自己紹介 Yu Takahashi @yukyu2nd 株式会社モニクル コーポレートエンジニア Niigata5分Tech　実行委員会のメンバーやってます。

3. 普段WindowsのローカルPCの権限管 理ってどうしていますか？

4. 組織の管理下にあるPCについて • 勝手にアプリを入れたりできないようにしたい。 • マルウェア等が勝手にインストールされないようにUACはきっちり稼働させたい。

5. その際にやる方法として • ローカル管理者権限を剥奪 • 管理者・一般ユーザーでアプリをインストールしようとした際に「 セキュリティで保護されたデスクトップで資格情報を要求する」ように設定

6. でも、アプリ更新とか個人にやらせたい ですよね？

7. そんな都合の良いことができないか？

8. ということでWindowsLAPS

9. WindowsLAPS • ローカル管理者パスワードソリューション • Microsoft Entraに参加している端末の、デバイス上のローカル管理者アカウントの パスワードを自動的に管理し、バックアップする Windows の機能です

10. WindowsLAPSだと何がうれしい？

11. メリット • pass-the-hash と lateral-traversal の攻撃に対する保護 • リモート ヘルプ デスク

    シナリオのセキュリティの強化 • アクセスできないデバイスにサインインして回復できる

12. どうやって導入するのか

13. Intuneでポリシーを作成 WindowsLAPSの設定をON

14. Intuneでポリシーを作成 ポリシーとしては • ローカル管理者パスワードを EntraID内にのみ保存 • ローカル管理者のパスワードの 有効期限を指定 • ローカル管理者名の定義

    • ローカル管理者のパスワード認 証後のアクション • 認証後のパスワードリセット猶予 時間

15. Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加

16. Intuneでポリシーを作成 ローカルPCの管理者権限はく奪と ローカル管理者アカウントを追加

17. どんな動きをするのか

18. Intuneからローカル管理者アカウントを各PCに作成 Intune • WindowsLAPSの有効化 • ローカル管理者権限を所有者から剥奪 • ローカル管理者アカウントを作成 PC

19. ローカルPCに作成されたローカル管理者のパスワードを EntraIDへ PC Intune • パスワードはEntraIDで管理

20. ローカル管理者権限を利用する場合は

21. EntraIDの管理者へパスワード発行を要求 PC Intune • 依頼は管理者に直接聞いてくださいｗ

22. EntraIDでのローカル管理者アカウントの表示 こんな感じでEntraID上で表 示されます。

23. EntraIDでのローカル管理者アカウントの表示 こんな感じでパスワードが表 示されます。

24. 取得したパスワードでローカルＰＣ上で 認証すると

25. パスワード発行から指定時間後にリセットが走る PC Intune • 自動でタスクがローカルＰＣ上に設定さ れ、起動していなくても次回起動時にパス ワードがリセットされます。

26. パスワード発行から指定時間後にリセットが走る PC Intune • パスワードリセットされると自動的に EntraIDに同期されます。

27. このように最小限の特権原則に沿った PC管理を進めてはいかがでしょうか？

28. ちなみにMacだと？

29. Jamf等を使ってLAPSを実行可能 Windows同様にローカル管理者のパスワードをローテーションしてセキュリティレベルを 上げることが可能です。

30. ご清聴ありがとうございました。