日本マイクロソフトは5月14日、「Local Administrator Password Solution(LAPS)」についてTechNetブログで解説した。
LAPSとは、Active Directory(AD)に参加しているコンピューターにおいて、ローカル管理者アカウントのパスワードをADにて管理できる無償のツール。
サイバー犯罪者による組織への攻撃で、ドメイン端末に侵入してアクセス権を取得し、続いて同一のパスワードが設定されているほかのドメイン端末へと次々と侵入するケースが増えている。この場合、攻撃側にとっては、最初に侵入したドメイン端末のパスワードを取得すればよい。後は、正規の認証によって比較的容易に別の端末のアクセス権を取得できる。
LAPSツールでは、ドメイン端末のローカル管理者アカウントのパスワードをランダムにして管理する機能を備える。これを利用することで、万一組織内への攻撃者の侵入があった場合でも、組織内への侵入拡大を防げるという。
また、各ドメイン端末のローカル管理者アカウントに、自動でランダムなパスワードを設定・定期的に更新し、ADに保存する機能を搭載。特定の端末のローカル管理者アカウントのパスワードをリセットを行えるほか、Administrator以外のローカル管理者アカウントも管理できる。
さらに、AD環境でグループポリシーを利用でき、端末からADへパスワードを保存する際に、Kerberos V5のプロトコルを利用し、AESで暗号化できる。ADに保存されたパスワードの情報は、特定の権限を持ったユーザーでないと閲覧することができないようACLで管理することができる。
LAPSツールは、ダウンロードセンターで公開されており、利用方法や展開方法、アーキテクチャを説明したドキュメント(英語) も同時にダウンロードできる。