Una de las mejores maneras de defender su red es asumir que en realidad no podrá defenderla por completo y, en algún momento, los atacantes la violarán: ese enfoque de «asumir violación» lo obliga a proteger los activos. en su red, especialmente los objetivos de alto valor como los servidores de dominio.
En un mundo ideal, siempre usaría cuentas de dominio para iniciar sesión en los servidores cuando necesite ejecutar tareas administrativas que requieran una escalada de privilegios, porque entonces puede administrarlas con reglas de contraseña. Pero eso no funciona para solucionar problemas de máquinas que han perdido su conexión con la red o el dominio y, en la práctica, incluso las computadoras unidas al dominio a menudo tienen una cuenta de administrador local. Para hacerlo más simple para los equipos de TI ocupados, la contraseña de esas cuentas suele ser la misma para todas esas máquinas, pero a menudo es una contraseña más débil que es fácil de recordar y nunca se cambia.
VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)
Esto se debe a que el cambio de contraseñas debe hacerse de forma manual e individual, además de que debe encontrar una manera de mantener a todos actualizados sobre la última contraseña segura única para cada servidor sin guardar esas contraseñas en algún lugar donde un atacante también pueda encontrarlas, como CONTRASEÑAS. Hoja de cálculo .XLS.
La solución de contraseña de administrador local es una herramienta que Microsoft ha ofrecido desde 2015 que se ocupa exactamente de ese problema. Genera contraseñas únicas y seguras para la cuenta de administrador local en cada computadora de su dominio usando su política de complejidad de contraseña, las almacena en su Active Directory y las reemplaza automáticamente con nuevas contraseñas, nuevamente usando su política de antigüedad de contraseña. El valor predeterminado es contraseñas de 14 caracteres que cambian cada 30 días, pero puede elegir contraseñas más largas con reglas específicas como números, letras mayúsculas y caracteres especiales, un programa diferente para cambios y puede forzar un cambio para un sistema individual sin necesidad de iniciar sesión .
Siempre que formen parte del grupo de seguridad correcto en AD, el personal de TI puede usar un comando de PowerShell o la herramienta GUI de LAPS para recuperar la contraseña que necesitan para ejecutar tareas de administración, pero debido a que las contraseñas están protegidas por listas de acceso por atributo , los usuarios normales no pueden ver esos detalles. Incluso si un atacante logra ingresar a un servidor que está protegido por LAPS, no puede obtener su contraseña de administrador de AD, incluso si ejecuta la herramienta LAPS o algo como Herramientas de administración remota del servidor, y mucho menos leer contraseñas para otros sistemas.
LAPS está integrado y listo
Por muy útil que sea LAPS, siempre tenía que instalarse en cada computadora, junto con la extensión del lado del cliente para la Política de grupo y el módulo PowerShell, además necesitaba agregar la plantilla ADMX que amplía su esquema AD con nuevos atributos para almacenar la contraseña. y la marca de tiempo de caducidad de la contraseña para cada computadora. Eso podría hacer que los administradores inexpertos pensaran que habían implementado LAPS en todas las máquinas cuando, en realidad, solo estarían protegiendo la cuenta del administrador.
Ahora Microsoft finalmente está integrando LAPS tanto en Windows 11 como en la próxima versión de Windows Server: la vista previa es parte de Windows 11 Insider Preview Build 25145 y Windows Server Preview Build 25151.
Sin embargo, ya no verá la aplicación LAPS en las PC administradas: ahora trabaja con ella a través de PowerShell (y el Editor de directivas de grupo). Probablemente sea algo bueno, ya que la fuente en la aplicación bastante antigua podría dificultar distinguir una I mayúscula de una l minúscula, y muchos administradores copiaban rutinariamente la contraseña y la pegaban en el Bloc de notas. Si ya está acostumbrado a usar LAPS con PowerShell, algunos de los comandos tienen nuevos nombres.
Todavía necesita actualizar su esquema de AD, pero puede hacerlo ejecutando el cmdlet Update-LapsADSchema en el nuevo módulo LAPS PowerShell que solía ser Update-AdmPwdADSchema. También debe configurar permisos para esos atributos para dar acceso a usuarios y grupos autorizados para ver las contraseñas almacenadas, ejecutar el cmdlet Set-LapsADComputerSelfPermission en las computadoras que va a administrar y crear la política de grupo con la configuración que desea para la administración de contraseñas.
Encontrará todas las configuraciones en el Editor de políticas de grupo en Configuración de la computadora > Plantillas administrativas > Sistema > LAPS. Comience agregando un nuevo objeto de política de grupo LAPS, habilitando la configuración del directorio de copia de seguridad de contraseña y haciendo que el almacén de copia de seguridad sea Active Directory.
Si no desea esperar el intervalo habitual de actualización de GPO, puede ejecutar el comando gpupdate /target:computer /force o usar el cmdlet de PowerShell Invoke-LapsPolicyProcessing para generar y hacer una copia de seguridad de una nueva contraseña, que puede recuperar con el comando Get -Cmdlet LapsADPassword.
Verá en el registro de eventos cuando se haya almacenado la contraseña. Este nuevo registro de eventos es una mejora con respecto al enfoque de registro y auditoría anterior, bastante ruidoso, que a menudo necesitaba soluciones alternativas, como enviar los eventos a una tienda.
Nueva funcionalidad LAPS
Hay algunas opciones nuevas y útiles en LAPS, como poder restablecer la contraseña de administrador, reiniciar la computadora o cerrar la sesión de la cuenta de administrador después de que un administrador haya iniciado sesión y haya realizado cambios, pero no de inmediato. No desea dejar una computadora funcionando con credenciales elevadas en caso de que se infecte, por lo que la política de acciones posteriores a la autenticación automatiza la limpieza. Tampoco desea que la máquina en la que está trabajando lo desconecte o la reinicie cuando está en medio de la resolución de problemas, por lo que puede establecer un período de gracia que se limpia después de unas horas.
No necesita preocuparse de que los trabajadores remotos que usan la cuenta de administrador local pierdan acceso regularmente si no están conectados cuando LAPS está configurado para cambiar su contraseña: la contraseña solo se cambiará si la PC puede llegar al controlador de dominio.
Ahora también puede configurar el nombre de la cuenta de administrador local que desea que LAPS administre.
Originalmente, Microsoft decidió no encriptar las contraseñas de administrador que LAPS almacena en AD debido a la complejidad para los administradores al administrar el esquema de encriptación y debido a la suposición de que AD generalmente está lo suficientemente seguro como para proteger las contraseñas. Si está buscando una defensa en profundidad, ahora puede optar por cifrar esas contraseñas y elegir qué usuarios y grupos pueden descifrarlas.
Para que esto funcione, debe tener un controlador de dominio con la funcionalidad de Windows Server 2016 para obtener la administración de acceso privilegiado necesaria, aunque puede estar ejecutando una versión posterior de Windows Server). Si activa la política de grupo Habilitar cifrado de contraseña con una configuración de controlador de dominio anterior que no puede manejar el cifrado, no los guardará en absoluto.
Con la protección adicional del cifrado, ahora puede usar LAPS para manejar otros tipos de contraseñas de cuenta, así como el administrador local, en particular, la contraseña de administrador del modo de restauración de servicios de directorio que le permite iniciar un controlador de dominio en un modo especial donde puede reparar o restaurar Active Directory. Establece la contraseña de DSRM cuando promueve por primera vez un servidor a controlador de dominio, y es muy poderosa y rara vez se usa, lo que la convierte en una credencial en la que probablemente no pensará hasta que tenga una emergencia.
Desde Windows Server 2008, ha podido sincronizar la contraseña de administrador de DSRM con una cuenta de usuario de dominio, pero debe hacerlo manualmente con el comando NTDSUTIL. LAPS puede almacenar la contraseña y rotarla regularmente cuando configura la política de grupo Habilitar copia de seguridad de contraseña para cuentas DSRM, pero necesita tener el cifrado habilitado.
Otra nueva opción útil que requiere cifrado le permite elegir cuántas contraseñas anteriores se almacenarán en AD para cada computadora. Si necesitaba revertir una máquina usando una copia de seguridad realizada antes de que LAPS rotara la contraseña, no pudo recuperar la contraseña de administrador anterior de AD si se había actualizado desde entonces, a menos que también tuviera una copia de seguridad de AD del mismo período. En ese caso, necesitaba una herramienta como el conjunto de herramientas de diagnóstico y recuperación de Microsoft para recuperar la computadora. Ahora puede usar Configurar el tamaño del historial de contraseñas cifradas para hacer coincidir la cantidad de contraseñas antiguas que conserva con su política de copias de seguridad: si conserva seis meses o un año de copias de seguridad para computadoras, puede asegurarse de almacenar esa misma cantidad de contraseñas también.
Pero el mayor cambio en LAPS es que ya no estará restringido a usar AD local para almacenar contraseñas. si estás usando Azure ADpodrá configurarlo como el almacén de respaldo para las contraseñas, aunque actualmente solo está disponible para una pequeña cantidad de organizaciones en el programa Windows Insiders.
