Protege tus contraseñas de computadoras unidas a un dominio con la Solución de Contraseña del Administrador Local de Windows

Una de las mejores formas de defender tu red es asumir que no serás capaz de protegerla completamente y que en algún momento será violada por atacantes. Este enfoque de "asumir la violación" te obliga a proteger los activos de tu red, especialmente los objetivos de alto valor como los servidores de dominio.

En un mundo ideal, siempre utilizarías cuentas de dominio para iniciar sesión en los servidores cuando necesites ejecutar tareas administrativas que requieran escalada de privilegios, ya que entonces puedes administrarlas con reglas de contraseña. Pero eso no funciona para las máquinas de solución de problemas que han perdido su conexión a la red o al dominio, y en la práctica, incluso los equipos unidos al dominio a menudo tienen una cuenta de administrador local. Para simplificar las cosas para los equipos de TI ocupados, la contraseña de esas cuentas suele ser la misma para todas esas máquinas, pero a menudo es una contraseña más débil que es fácil de recordar y nunca se cambia.

Esto se debe a que cambiar las contraseñas debe hacerse manual e individualmente, además, tienes que encontrar una manera de mantener a todos actualizados sobre la última contraseña fuerte única para cada servidor sin guardar esas contraseñas en algún lugar donde un atacante también pueda encontrarlas, como una hoja de cálculo PASSWORDS.XLS.

Local Administrator Password Solution es una herramienta que Microsoft ha ofrecido desde 2015 para hacer frente exactamente a ese problema. Genera contraseñas fuertes y únicas para la cuenta de administrador local en cada equipo de tu dominio utilizando tu política de complejidad de contraseña, las almacena en Active Directory y las reemplaza automáticamente por contraseñas nuevas, nuevamente utilizando tu política de caducidad de contraseñas. Por defecto, son contraseñas de 14 caracteres que cambian cada 30 días, pero puedes elegir contraseñas más largas con reglas específicas como números, letras mayúsculas y caracteres especiales, una programación de cambios diferente y puedes forzar un cambio para un sistema individual sin necesidad de iniciar sesión.

Índice de Contenido
  1. LAPS viene integrado y listo
  2. Nuevas funcionalidades de LAPS

LAPS viene integrado y listo

Útil como es LAPS, siempre debía ser instalado en cada computadora, junto con la extensión del lado del cliente para la directiva de grupo y el módulo de PowerShell, además tenías que agregar la plantilla ADMX que extendía el esquema de AD con nuevos atributos para almacenar la contraseña y la marca de tiempo de caducidad de la contraseña para cada equipo. Esto podría dar lugar a administradores inexpertos creyendo que habían implementado LAPS en todas las máquinas cuando en realidad solo estarían protegiendo la cuenta de administrador.

Ahora, Microsoft finalmente está integrando LAPS tanto en Windows 11 como en la próxima versión de Windows Server: la versión preliminar forma parte de Windows 11 Insider Preview Build 25145 y Windows Server Preview Build 25151.

Cómo garantizar la validación local de los clientes en un dominio multi-sitio

Ahora ya no verás la aplicación de LAPS en las PC administradas: ahora trabajarás con ella a través de PowerShell (y el Editor de directivas de grupo). Esto probablemente sea algo bueno, ya que la fuente en la aplicación bastante antigua podría dificultar la distinción entre una mayúscula I y una minúscula l, y muchos administradores rutinariamente copiaban la contraseña y la pegaban en el Bloc de notas. Si ya estás acostumbrado a usar LAPS con PowerShell, algunos de los comandos tienen nombres nuevos.

Todavía necesitas actualizar el esquema de AD, pero puedes hacerlo ejecutando el cmdlet Update-LapsADSchema en el nuevo módulo de PowerShell de LAPS que solía ser Update-AdmPwdADSchema.Para dar acceso a usuarios y grupos autorizados para ver las contraseñas almacenadas, ejecuta el cmdlet Set-LapsADComputerSelfPermission en las computadoras que vas a administrar y crea la directiva de grupo con la configuración que deseas para la administración de contraseñas.

Encontrarás todas las configuraciones en el Editor de directivas de grupo en Configuración del equipo > Plantillas administrativas > Sistema > LAPS. Comienza agregando un nuevo objeto de directiva de grupo de LAPS, habilitando la configuración de directorio de respaldo de contraseñas y haciendo que el almacén de respaldo sea Active Directory.

Si no quieres esperar el intervalo de actualización habitual de GPO, puedes ejecutar el comando gpupdate /target:computer /force o usar el cmdlet Invoke-LapsPolicyProcessing de PowerShell para generar y respaldar una nueva contraseña, que puedes recuperar con el cmdlet Get-LapsADPassword.

Verás en el registro de eventos cuándo se ha almacenado la contraseña. Este nuevo registro de eventos es una mejora con respecto al enfoque anterior, que era bastante ruidoso y a menudo requería soluciones alternativas como enviar los eventos a una zona de almacenamiento.

Nuevas funcionalidades de LAPS

Hay algunas opciones nuevas útiles en LAPS, como poder restablecer la contraseña de administrador, reiniciar la computadora o cerrar la sesión de la cuenta administrador después de que un administrador ha iniciado sesión y realizado cambios, pero no de inmediato. No quieres dejar una computadora funcionando con credenciales elevadas por si se infecta, por lo que la política de acciones posteriores a la autenticación automatiza la limpieza. Tampoco quieres que la máquina en la que estás trabajando cierre la sesión o se reinicie cuando estás en medio de un proceso de solución de problemas, por lo que puedes establecer un período de gracia que realice la limpieza después de unas horas.

Cuál es la mejor opción de protocolo de enrutamiento para una red empresarial

No necesitas preocuparte por los trabajadores remotos que utilizan regularmente la cuenta de administrador local y pierden acceso si no están conectados cuando LAPS está configurado para cambiar su contraseña: la contraseña solo se cambiará si la PC puede alcanzar el controlador de dominio.

Ahora también puedes establecer el nombre de la cuenta de administrador local que quieres que LAPS administre.

Originalmente, Microsoft decidió no cifrar las contraseñas de administrador que LAPS almacena en AD debido a la complejidad que ello implicaría para los administradores en la gestión del esquema de cifrado y a la suposición de que AD normalmente está suficientemente seguro para proteger las contraseñas. Si estás buscando una defensa en profundidad, ahora puedes elegir cifrar esas contraseñas y elegir qué usuarios y grupos pueden descifrarlas.

Para que esto funcione, necesitas tener un controlador de dominio con funcionalidad de Windows Server 2016 para obtener la gestión de acceso privilegiado necesaria, aunque puede estar ejecutando una versión posterior de Windows Server). Si activas la directiva de grupo Enable Password Encryption con una configuración de controlador de dominio anterior que no pueda manejar el cifrado, no se guardarán en absoluto.

Con la protección adicional del cifrado, ahora puedes usar LAPS para manejar otros tipos de contraseñas de cuenta además de la administración local, en particular, la contraseña del administrador de modo de restauración de servicios de directorio, que te permite iniciar un controlador de dominio en un modo especial donde puedes reparar o restaurar Active Directory. Estableces la contraseña de DSRM cuando promocionas un servidor a controlador de dominio por primera vez, y es tanto muy poderosa como rara vez utilizada, lo que la convierte en una credencial en la que probablemente no pensarás hasta que tengas una emergencia.

Desde Windows Server 2008, has podido sincronizar la contraseña de administrador de DSRM con una cuenta de usuario de dominio, pero debías hacerlo manualmente con el comando NTDSUTIL. LAPS puede almacenar la contraseña y rotarla regularmente cuando configuras la directiva de grupo Enable Password Backup For DSRM Accounts, pero necesitas tener el cifrado habilitado.

Los 8 pasos para solucionar problemas de red y sistemas

Otra opción nueva útil que requiere cifrado te permite elegir cuántas contraseñas anteriores se almacenarán en AD para cada equipo. Si necesitabas regresar a una máquina usando una copia de seguridad realizada antes de que LAPS rotara la contraseña, no podías recuperar la antigua contraseña de administrador de AD si se había actualizado desde entonces a menos que también tuvieras una copia de seguridad de AD del mismo período. En ese caso, necesitabas una herramienta como la Microsoft Diagnostics and Recovery Toolset para recuperar la computadora. Ahora puedes usar Configure Size Of Encrypted Password History para que coincida el número de contraseñas antiguas que almacenas con tu política de copias de seguridad: si mantienes seis meses o un año de copias de seguridad para las computadoras, puedes asegurarte de almacenar esa cantidad de contraseñas también.

Pero el cambio más importante de LAPS es que ya no estarás restringido a usar AD local para almacenar contraseñas. Si utilizas Azure AD, podrás establecerlo como el almacén de respaldo para contraseñas, aunque actualmente eso solo está disponible para un pequeño número de organizaciones en el programa Windows Insiders.

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Redes, allí encontraras muchos artículos similares a Protege tus contraseñas de computadoras unidas a un dominio con la Solución de Contraseña del Administrador Local de Windows , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.