Windows 11'de yerel hesapları güvenli bir şekilde yönetmek için en iyi uygulamalar

  • Kullanıcı ve yönetici hesaplarını ayırmak, en az ayrıcalık ilkesini uygulamak ve "Farklı Çalıştır" seçeneğini kullanmak, kötü amaçlı yazılımların ve insan hatalarının etkisini önemli ölçüde azaltır.
  • LAPS, AD'deki okuma izinlerinin son derece kısıtlı ve denetlenmiş olması koşuluyla, yerel yönetici hesaplarını benzersiz ve güçlü parolalarla korur.
  • Windows'taki parola ve hesap kilitleme politikaları, uzun, karmaşık ve kontrollü bir şekilde değiştirilen parolaların kullanılmasını sağlayarak, kaba kuvvet saldırılarını ve parola tekrar kullanımını zorlaştırır.
  • Ayrıcalıklı hesapların giriş yapabileceği yerleri kısıtlamak, akıllı kartlar kullanmak ve kritik kimlik bilgilerinin kullanımını denetlemek, ağ genelinde güvenliği ve izlenebilirliği güçlendirir.
Joaquin Romero

14 minutos

Windows 11'de yerel hesapları yönetme

Windows 11'de yerel ve yönetici hesaplarını korumak artık isteğe bağlı değil: hesaplarınızın tehlikeye girmesini istemiyorsanız bugün zorunlu. Tek bir tehlikeye girmiş makine, tüm alan adınızı çökertebilir.Ayrıca, hesaplarınızın ele geçirilip geçirilmediğini kontrol etmekte fayda var.

Buradaki püf nokta, tüm parçaları iyi bir şekilde bir araya getirmektir: Yerel yöneticiler LAPS ile yönetilir, en az ayrıcalıklı etki alanı hesapları, güçlü parolalar ve tutarlı kilitlenme politikaları kullanılır.Buna net prosedürler eklerseniz (kimin neyi, nereden ve nasıl yapabileceği ve denetimin nasıl yapılacağı), Windows 11'de yerel hesapları güvenli bir şekilde yönetmek için çok sağlam bir temel oluşturmuş olursunuz.

Yöneticiler ve yerel hesaplar neden bu kadar tehlikeli?

Yüksek ayrıcalıklara sahip hesaplar, herhangi bir saldırgan için kolay hedeftir çünkü Bilgisayara ve çoğu zaman tüm etki alanına tam erişimleri vardır.Bu durum hem klasik yerel yönetici hem de Active Directory'deki üst düzey gruplar için geçerlidir.

Tipik bir etki alanı ortamında, güvenlik üzerinde yüksek etkiye sahip en az şu tür hesaplar ve gruplar bulunur:

Yeni kurulan sistemlerin daha hızlı olduğu doğrudur.
İlgili makale:
Hesaplarınızın ele geçirilip geçirilmediğini kontrol edin ve kendinizi hızla koruyun.
  • Yerel yönetici hesapları: her takımın entegre olanı (yapabilirsiniz) gizli yönetici hesabını etkinleştir) ve yerel Yöneticiler grubuna eklenen herhangi bir kullanıcı. Bulundukları sistemde mutlak kontrole sahiptirler.
  • Etki alanı yöneticileri: Etki Alanı Yöneticileri grubunun hesapları, bu etki alanındaki tüm üye bilgisayarlar üzerinde yetkiye sahiptir.
  • Orman yöneticileriOrman kök etki alanında, tüm etki alanları ve pratikte tüm AD altyapısı üzerinde kontrol sahibi.
  • Plan yöneticileri ve diğer özel gruplarAD şemasını değiştirebilir, orman düzeyinde GPO'ları yönetebilir, sertifikalar düzenleyebilirler vb. Burada yapılacak herhangi bir hata zincirleme etkiye sahiptir.

Sorun sadece dışarıdan gelen saldırganlarla sınırlı değil. Çok fazla yetkiye sahip veya çok az bilgiye sahip olan kurum içi kullanıcılar da çok büyük hasara yol açabilir.Kritik verilerin silinmesi, etki alanı denetleyicilerinin yanlış yapılandırılması, antivirüs programının devre dışı bırakılması veya istemeden kötü amaçlı yazılımlara kapı açılması gibi durumlar.

Ayrıca, sürekli yönetici olarak oturum açarak çalışma alışkanlığı edinirseniz, bilgisayarınızı neredeyse her türlü kötü amaçlı yazılımın eline teslim etmiş olursunuz: Kötü amaçlı yazılım, oturumunuzla aynı ayrıcalıklarla çalışacaktır.Kullanıcılar oluşturabilecek, hash'leri yayınlayabilecek, yatay olarak hareket edebilecek ve biraz şansla etki alanına yayılabilecektir. Fiziksel güvenlik açığı vektörlerini azaltmak için gözden geçirin. Bilgisayarınızı zararlı USB sürücülerden korumak için pratik önlemler.

Takip etmeniz gereken yönetimsel hesap türleri

Pratikte, kurumsal bir ortamda Windows 11'de güvenlik planlaması yaparken, ayrıcalıklı hesapların üç ana kategorisiyle ilgilenirsiniz:

  • Yerel yönetici hesapları Üye iş istasyonlarında ve sunucularda. Buna yerleşik Yönetici hesabı ve yerel Yöneticiler grubundaki diğer tüm kullanıcılar dahildir.
  • Etki alanı yöneticisi hesaplarıBunlar genellikle Etki Alanı Yöneticileri grubunun üyeleridir ve çoğu zaman birçok kritik sunucuda yerel ayrıcalıklara sahiptirler.
  • Orman yöneticileri (Organizasyon Yöneticileri ve bazı durumlarda Şema Yöneticileri üyeleri) ormanlara, etki alanlarına, CA'lara, akıllı kartlara vb. erişebilirler.

Bunlara çok hassas bir alt türü de eklememiz gerekiyor: Temsilci sertifikalarıyla ilişkili hesaplar (EFS kurtarma aracısı, kayıt, anahtar kurtarma vb.). Bunlar başkalarının kimliğine bürünmek, diğer kullanıcılar için akıllı kart kaydetmek veya verileri şifre çözmek için kullanılabilir. Bunlar, normal yönetici hesaplarından bile daha sıkı güvenlik politikalarına tabi olmalıdır.

Temel iyi uygulamalar: en az ayrıcalık ve görev ayrımı

En az çabayla en fazla güvenliği sağlayacak ilke şudur: en az ayrıcalıklarHer kullanıcı, hizmet veya ekip, ihtiyaç duyduğu kadar izne sahip olmalı, daha fazlasına değil. Ancak bu, sadece PowerPoint sunumlarında değil, gerçekten uygulanmalıdır.

Asgari ayrıcalıkların uygulanması, çeşitli pratik kararları içerir:

  • Yönetici başına iki hesapGünlük kullanım (e-posta, internette gezinme, ofis uygulamaları) için bir adet normal hesap ve yalnızca yönetimsel görevler için ayrı bir hesap kullanmalısınız. Yönetimsel hesap e-posta okumak veya internette gezinmek için kullanılmamalıdır.
  • Run as (Runas veya İkincil Oturum Açma Hizmeti) özelliğinin sistematik kullanımı Yönetici olarak oturum açıp çalışmak yerine, konsolu veya aracı yükseltilmiş yetkilerle başlatıyorsunuz ve işlem tamamlanıyor.
  • Gereksiz yere etki alanı ayrıcalıkları vermeyin.Bir ormanda hak sahibi olan bir işletme, aralarında güven ilişkisi olsa bile, başka bir ormanda da hak sahibi olmak zorunda değildir.
  • Ayrıcalıklı gruplara üyeliğin periyodik olarak gözden geçirilmesiArtık kullanılmayan veya aşırı yetkilere sahip hesapları ve grupları kaldırmak.
  Windows 11'de uygulama kararlılığını korurken telemetriyi nasıl sınırlandırabilirsiniz?

Ayrıca, şiddetle tavsiye edilir Alan Yöneticisi ve Kuruluş Yöneticisi rollerini net bir şekilde ayırın.Kurum yöneticileri için tek, yüksek düzeyde korunan bir hesap tercih edebilirsiniz veya daha iyisi, yalnızca bir görev gerektirdiğinde oluşturup, kullanıp, hemen ardından silebilirsiniz.

LAPS: Doğru şekilde kurulmazsa gerçek avantajları ve riskleri

Windows 11'de yerel hesapları yönetme

LAPS (Yerel Yönetici Parola Çözümü ve modern versiyonu olan Windows LAPS), birçok ağın klasik zaaflarından birini çözüyor: tüm bilgisayarlarda aynı yerel yönetici parolasıBu uygulama, yatay hareket için mükemmel bir yöntemdir: bir bilgisayarı ele geçirirsiniz, hash'leri yayınlarsınız, hash'i başkalarına aktarırsınız ve bir makineden diğerine atlayabilirsiniz.

LAPS ile etki alanındaki her takım şunlara sahiptir: Yerel yönetici hesabınız için benzersiz, uzun ve rastgele bir parola.Active Directory'de şifrelenmiş olarak saklanır ve otomatik olarak döndürülür. Bu, çok açık avantajlar sunar:

  • "Pass-the-hash" ve "pass-the-ticket" saldırılarını hafifletir.Bir saldırgan bir makinenin yerel yönetici karma değerini çalarsa, bu yalnızca o makinede işe yarar.
  • Ekipmanların kurtarılmasını kolaylaştırır.Bir bilgisayar etki alanından çıkarılırsa veya kullanıcı profili bozulursa, oturum açıp sorunu düzeltmek için son derece güçlü bir yerel yönetici kimlik bilgisine sahipsiniz.
  • Yerel "ana" parolaları paylaşma ihtiyacını ortadan kaldırır. Teknisyenler arasında, beraberinde getirdiği tüm güvenlik felaketleriyle birlikte.

Ancak bu sihir değil. İşe yaraması için şunları yapmanız gerekiyor: Active Directory'de bu parolaları okuma iznine sahip hesaplar (veya gruplar) bulunmalıdır.İşte korku da burada başlıyor: Eğer birisi LAPS okuma izinleriyle bu kimlik bilgilerini çalarsa, tüm parkın yerel şifrelerini tek tek çıkarabilir.

LAPS'ı yeni bir güvenlik açığı değil, net bir avantaj haline getirmenin anahtarı, bu okuma izinlerine altın değerinde davranmakda yatıyor:

  • Yetkili teknisyenlerden oluşan çok küçük bir grup (İdeal olarak AD'de özel güvenlik grupları) LAPS özniteliğine yalnızca ihtiyaç duyulan OU'larda okuma izni verilmelidir.
  • Titiz denetim Hangi şifreyi kimin ne zaman okuduğunu takip edebilmenizi sağlar. Bu sayede, herhangi bir anda kimin yüksek ayrıcalıklara sahip olduğunu inceleyebilirsiniz.
  • LAPS izinlerine sahip bu hesapları günlük işler için asla kullanmayın.Ortamınız izin veriyorsa, özel yönetim hesapları veya Anlık/Yeterli Yönetim kullanın.

Ve önemli bir soru: LAPS, bilgisayarlarda artık yerel etki alanı yöneticilerine ihtiyaç duymayacağınız anlamına mı geliyor? Şart değilEn mantıklı olan şey şunları birleştirmektir:

  • Un LAPS ile yönetilen yerel yönetici Olaylar, kurtarma operasyonları ve çok özel görevler için.
  • Bir veya daha fazla GPO aracılığıyla yerel Yöneticiler grubuna atanan etki alanı grupları Destek görevleri, yazılım dağıtımı, güvenlik açığı taraması vb. için.

Bu size güvenlik açığı tarayıcıları veya dağıtım sistemleri gibi araçlar için ihtiyaç duyduğunuz esnekliği sağlar, ancak Ağ genelinde tek bir, kopyalanmış yerel kimlik bilgisine bağımlı değilsiniz..

Görünürlüğü nasıl korursunuz: ayrıcalıkları yükselttiklerinde kim ne yapar?

Akla şu soru geliyor: LAPS'ı bilgisayar başına yalnızca bir yerel yönetici hesabı ile kullanıyorsanız, kontrolü nasıl sağlarsınız? Bu hesabı kim kullandı?Muhasebe ve denetim açısından bakıldığında, herkesin aynı kimlikle giriş yapıp hiçbir iz bırakmadığı bir "herkese açık" sistem istemezsiniz.

Çözüm, çeşitli önlemlerin birleştirilmesinde yatıyor:

  • Son derece istisnai durumlar dışında, yerel yöneticiyle doğrudan etkileşimli oturumu kullanmayın.İdeal olarak, teknisyenler kendi adlandırılmış (alan adı) hesaplarıyla kimlik doğrulaması yapmalı ve yerel kimlik bilgilerini yalnızca gerektiren görevler için kullanmalıdır.
  • Oturum açma etkinliklerini denetle (Etkileşimli, RDP, Runas kullanımı vb.) iş istasyonlarında ve sunucularda kullanılabilir. Günlükleri bir SIEM'de veya bir olay toplama sunucusunda merkezileştirebilirsiniz.
  • LAPS parola okuma işlemini bir değişiklik talebi veya biletine bağlayın.Eğer dahili bir araç veya portal, bir cihazın şifresine neden erişildiğine dair gerekçe gerektiriyorsa, o zaman zaten izlenebilirlik özelliğine sahipsiniz demektir.

Sonuç olarak, bir teknisyenin AD'de LAPS şifresini görmesi gerekiyorsa, geriye bir iz bırakılmalıdır: Bunu kim talep etti, hangi takım için ve ne zaman?Bu durum, bilgisayarda daha sonra başlatılacak oturumun yerel "kişisel olmayan" hesapla yapılacak olmasını kısmen telafi eder.

  Windows Performans Kaydedici Eğitimi: Sistem Gecikmelerini Belirleme

Windows 11'de hesap stratejisi: çok kullanıcılı ve ayrı profiller

Kurumsal düzeyin ötesinde, ev ortamlarında veya küçük işletmelerde bile faydaları görülmektedir. Her kişi veya rol için farklı bir kullanıcı oluşturun.Aynı hesabı (hele ki yönetici hesabını) sürekli paylaşmak çeşitli nedenlerden dolayı kötü bir fikirdir:

  • Sıfır gizlilikHerkes dosyalarınızı, tarama geçmişinizi, yerel e-posta istemcilerinde açtığınız e-postaları vb. görebilir.
  • Kötü amaçlı yazılım riski ve yapılandırma değişiklikleriEğer herkes yönetici yetkisine sahipse, deneyimsiz bir kullanıcı kötü amaçlı yazılım yükleyebilir veya kritik seçenekleri devre dışı bırakabilir.
  • İzlenebilirlik eksikliğiİş ortamında herkes aynı hesapla "PCVentas" kullanıyorsa, hangi değişikliği kimin yaptığını bilmek imkansızdır.

Windows 11, kullanıcı yönetimini çok daha kolay hale getiriyor:

  • Yerel hesaplarGizliliğe önem veriyorsanız ve her şeyin Microsoft'un çevrimiçi kimliği üzerinden geçmesini istemiyorsanız idealdir. Paylaşımlı bilgisayarlar, kendi politikalarına sahip ortamlar veya Microsoft 365 hizmetleriyle entegrasyona ihtiyaç duymadığınız durumlar için uygundur.
  • Microsoft hesaplarıAyarları, kimlik bilgilerini ve bulut hizmetlerine (OneDrive, Office, Xbox vb.) erişimi senkronize ederler. Şirket hizmetlerini günlük olarak kullanırken çok kullanışlıdır.
  • Aile hesaplarıÇocuklar için tasarlanmış olup, ebeveyn kontrolleri, zaman sınırlamaları, içerik filtreleri ve Microsoft Family Safety aracılığıyla merkezi izleme özelliklerine sahiptir.
Windows kullanıcılarını PowerShell ile yönetin
İlgili makale:
PowerShell ile Windows Kullanıcılarını Yönetmeye İlişkin Kapsamlı Kılavuz

Windows 11'de kullanıcı oluşturmak için birkaç seçeneğiniz vardır: Ayarlar > Hesaplar > Diğer kullanıcılar, bilgisayar yöneticisi (yerel kullanıcılar ve gruplar), araç. netplwiz veya doğrudan şu gibi komutlar net user Konsoldan. Önemli olan yol değil, sonuçtur: Herkesin kendi hesabı olacak ve Yöneticiler grubunda yalnızca yönetici yetkisine sahip kişiler bulunacak..

Windows'ta parola politikası: insan hatasını sınırlamanın anahtarı

Mimariyi ne kadar iyi tasarlarsanız tasarlayın, kullanıcıların "123456" veya "şifre" gibi parolalar belirlemesine izin verirseniz hiçbir önemi kalmaz. Windows parola politikası tam olarak bu amaç için vardır. asgari güvenlik kurallarını uygulamak ve saçmalıklardan kaçının.

Bu yönerge, yerel veya etki alanı güvenlik politikalarının bir parçasıdır ve aşağıdakiler gibi hususları ayarlamanıza olanak tanır:

  • Minimum uzunlukParolanın sahip olması gereken minimum karakter sayısı.
  • KarmaşıklıkBüyük harflerin, küçük harflerin, rakamların ve sembollerin dahil edilip edilmeyeceği.
  • kayıtKullanıcının aynı şifreleri tekrar kullanmasını önlemek için kaç önceki şifre hatırlanıyor?
  • Maksimum ve minimum geçerlilikNe sıklıkla değiştirilmesi gerekiyor ve tekrar değiştirilmeden önce ne kadar süre saklanması gerekiyor?
  • hesap kilitlemeBaşarısız deneme sayısı ve kaba kuvvet saldırılarını önlemek için engelleme süresi.

Bu, Grup İlkesi Düzenleyicisi (gpedit.msc) üzerinden veya etki alanı senaryolarında GPO aracılığıyla yapılandırılır: Bilgisayar yapılandırması > Windows ayarları > Güvenlik ayarları > Hesap politikaları > Parola politikası.

Günümüzde geçerli bir şifre nasıl olmalı?

Güncel saldırılara gerçekten dayanıklı şifreler istiyorsanız, temel teori hala geçerlidir, ancak titizlikle uygulanmalıdır. İyi bir şifre şu özelliklere sahip olmalıdır:

  • SadeceBaşka hizmetlerde veya cihazlarda yeniden kullanılmaz. Başka bir web sitesine veya uygulamaya sızması durumunda "domino etkisi"nden kaçınmış olursunuz.
  • uzun10-12 karakterden itibaren makul hale geliyor, ancak kritik hesaplar (alan adı yöneticileri gibi) için durum farklı olabilir. 15 veya daha fazla karakter bu ideal.
  • Karmaşık ama unutulmaz: büyük harfler, küçük harfler, rakamlar ve sembollerin birleşimi, ancak şu biçimde düzenlenmiş hali: geçici ifade Kolay hatırlanır ve sözlükle karıştırılması zordur.

Şifrelenmiş ifadeler çok kullanışlı bir yöntemdir: Hatırladığınız bir ifade seçersiniz ("Oğlum Juan, kızım Ana'dan üç yaş büyük") ve her kelimenin ilk harfini koruyarak araya sayılar ve semboller eklersiniz: MhJe3@mqmh@Bu, anlaşılmaz şeyler yazmanıza gerek kalmadan uzun ve güçlü şifreler oluşturur.

Daha da ciddi durumlarda, doğrudan şuradan çekebilirsiniz: şifre üreteçleri ve kimlik doğrulama yöneticileri gibi KeePassXCÇok faktörlü kimlik doğrulama ile birlikte. Her ne pahasına olursa olsun kaçınmanız gerekenler şunlardır:

  • Boş veya önemsiz şifreler (“yönetici”, “qwerty”, doğum tarihleri…).
  • Yapışkan notlara yazılmış şifreler Ekrana yapışmış halde kalmış veya şifrelenmemiş belgelere kaydedilmiş.
  • E-posta, sosyal medya, VPN ve Windows oturum açma işlemleri için aynı şifreyi tekrar kullanın..
  Microsoft, Windows 11'de Copilot entegrasyonunu azaltıyor.

Parola politikası ve hesap kilitleme özelliğinin birleştirilmesi

Parola politikası tek başına geçerli değildir; Bu durum, hesap bloke etme politikasıyla tamamlanmaktadır.Amaç, bir saldırganın bir kimlik bilgisine karşı art arda binlerce saldırı girişiminde bulunmasını engellemektir.

Windows'ta şunları tanımlayabilirsiniz:

  • Engelleme eşiğiHesabın kilitlenmesinden önce yapılan başarısız giriş denemelerinin sayısı.
  • Ablukanın süresiHesap şu süre boyunca bloke edilmiş olarak kalacaktır.
  • Sayım penceresiEngellenip engellenmediğini belirlemek için başarısız denemelerin sayıldığı zaman aralığı.

Windows'un önceki sürümlerinde, aşağıdaki gibi yardımcı programlar vardı: passprop.exe Hatta yerleşik Yönetici hesabını bile engelleme politikalarına tabi tutmak, başlangıçta yalnızca uzaktan başlatmalarda ve daha sonra etkileşimli başlatmalarda da geçerli olmak üzere. Bugün, Windows 11 ve mevcut Active Directory ile, Grup İlkesi Nesneleri (GPO'lar) kullanarak bu davranışları daha iyi düzenleyebilirsiniz, ancak fikir aynıdır: Klasik bir yöneticinin bile bu kontrollerden kaçamadığı.

Zayıf şifrelerin tespiti ve periyodik denetim

Kurallar koymak güzel, ancak gerçek şu ki, her zaman en az çabayı göstermeyi hedefleyen veya yıllardır aynı şifreyi kullanan kullanıcılar olacaktır. Bu nedenle, yönergeyi aşağıdakilerle desteklemek tavsiye edilir: parola analiz araçları:

  • MBSA gibi çevrimiçi (ağ bağlantılı) araçlar (Eski sistemlerde Microsoft Baseline Security Analyzer) boş parolaları, kullanıcı adıyla veya bilgisayar adıyla aynı olan parolaları kontrol eder.
  • Üçüncü taraf çevrimdışı araçlar Hesap kilitlemelerine neden olmadan hash'leri analiz eden ve zayıf şifreleri arayan yöntem (önerilen yöntem).

Zayıf bir parola tespit ettiğinizde, ideal çözüm yanıtı otomatikleştirmektir: Şifrenin güçlü bir şifreyle değiştirilmesini zorunlu kılın veya sahibine çok açık bir uyarı gönderin.Daha sıkı düzenlemelerin olduğu ortamlarda, acil geri yükleme ve güvenlik ekibine bildirim gerekebilir.

Denetim yalnızca şifrelerle sınırlı değildir; aynı zamanda şunları da kapsamalıdır: ayrıcalıklı hesapların kullanımıKim nerede oturum açıyor, kim grup üyeliklerini değiştiriyor, kim güvenlik politikalarını değiştiriyor vb. Olay görüntüleyici, uygun Grup İlkesi Nesneleri (GPO'lar) ve kuruluşun büyüklüğü gerektiriyorsa bir SIEM, burada en büyük yardımcılarınızdır.

Ayrıcalıklı hesaplar: Nerelerde kullanılabilirler ve nasıl daha fazla korunabilirler?

Bir diğer önemli unsur ise şudur: Yüksek ayrıcalıklara sahip etki alanı hesaplarının kullanılabileceği bilgisayarların sınırlarını belirleyin.Bir etki alanı yöneticisi, ne kadar aceleci olursa olsun, sıradan bir kullanıcının bilgisayarına asla giriş yapmamalıdır.

Çok etkili bazı önlemler şunlardır:

  • Etki alanı denetleyicilerinde ve özel yönetim iş istasyonlarında yalnızca etki alanı yöneticilerinin etkileşimli oturum açmalarına izin verin.Asla güvenilir olmayan kullanıcı ekipmanlarında veya sunucularında kullanmayın.
  • Yönetici hesaplarının hizmet veya toplu işlem amaçlı kullanımını yasaklayın.Son derece dikkatli bir şekilde yönetilmedikleri takdirde.
  • Ayrıcalıklı hesaplar için yetkilendirmeyi devre dışı bırakın.Bu işlem, hesapları "Hesap önemlidir ve devredilemez" şeklinde işaretleyerek, güvenilir sunucular aracılığıyla yetkilendirme yoluyla kimlik taklidi yapılmasını engeller.

Seviyeyi daha da yükseltmek için, aşağıdaki şartların yerine getirilmesi şiddetle tavsiye edilir: Yönetici girişleri akıllı kartlar kullanılarak yapılır. (Güçlü iki faktörlü kimlik doğrulama). Bu, paylaşılan, çalınan veya keylogger tarafından ele geçirilen şifrelerden kaynaklanan birçok sorunu önler ve oturum açan kişinin fiziksel olarak karta ve PIN koduna sahip olmasını sağlar.

Son derece hassas hesaplarda (örneğin, kuruluş yöneticilerinin hesaplarında), şunlar mümkündür: Hesabı iki kişi arasında kontrollü bir şekilde paylaşın.Bir kişi akıllı kartı, diğeri ise PIN kodunu tutuyor; dolayısıyla kullanmak için ikisinin de hazır bulunması gerekiyor. Bireysel sorumluluk açısından mükemmel olmasa da, oldukça sağlam bir fiziksel kontrol ve gözetim katmanı sağlıyor.

PsLoggedOn Windows
İlgili makale:
PsLoggedOn ile kullanıcı etkinliğini görüntüleme kılavuzu

İyi yapılandırılmış bir LAPS, katı ancak makul bir parola politikası, en az ayrıcalık ilkesi, denetim ve akıllı kartlarla güçlü kimlik doğrulama gibi önlemlerden oluşan bu çerçeve, şunlara olanak tanır: Windows 11'deki yerel ve yönetici hesapları, kendi ağınıza doğrultulmuş dolu bir silah değil, kontrollü bir araç olmalıdır.Kullanıcıların günlük yaşamlarını aksatmadan veya olay yönetimiyle sizi çıldırtmadan güvenliği, izlenebilirliği ve hızlı yanıt verme yeteneğini korumanıza yardımcı olur. Bilgiyi paylaşın, böylece diğer kullanıcılar da konu hakkında bilgi sahibi olsunlar..