Introducción
Microsoft LAPS (Solución de contraseña de administrador local) es una solución gratuita proporcionada por Microsoft que ayuda a proteger las estaciones de trabajo.
LAPS permite que cada computadora presente en la unidad organizativa genere aleatoriamente una contraseña para la cuenta de administrador local y la guarde en un atributo de Active Directory (ms-Mcs-AdmPwd). Se basa en el SID de la cuenta que se estructura de la misma forma en cualquier estación de trabajo, lo que permite aplicar LAPS a cualquier idioma de Windows o incluso cambiar el nombre de la cuenta de administrador.
También es posible configurar un tiempo de vencimiento de la contraseña (ms-Mcs-AdmPwdExpirationTime), que forzará una nueva contraseña para la cuenta del Administrador local.
LAPS viene en formato «cliente/servidor», requiere la instalación de una parte en los servidores del controlador de dominio y el registro de una DLL en las estaciones de trabajo del cliente.
Requisitos previos:
- Servidor mínimo: Windows 2003 SP1.
- Computadora mínima: Windows 8.1.
Si se encuentra en un entorno con varios controladores de dominio, debe instalar la definición de política de grupo en todos los servidores o utilizar un almacén central. En el segundo caso, después de la instalación, debe copiar los archivos (%WINDIR%\PolicyDefinitions\AdmPwd.admx y %WINDIR%\PolicyDefinitions\en-US\AdmPwd.adml) en el almacén central.
Instalación de LAPS
Instale LAPS en el controlador de dominio
En un controlador de dominio, ejecute el archivo de descarga.
Al iniciar el asistente de instalación, haga clic en Siguiente 1.
Marque la casilla para aceptar el acuerdo de licencia 1 y haga clic en Siguiente 2.
Instale todos los componentes 1 y luego haga clic en Siguiente 2.
Haga clic en Instalar 1.
Una vez que se complete la instalación, cierre el asistente haciendo clic en Finalizar 1.
Ahora que LAPS está instalado en un controlador de dominio, veremos cómo instalarlo en las estaciones de trabajo cliente.
Instalación del cliente LAPS
Para implementar la parte «cliente» de LAPS en estaciones de trabajo, tiene varias soluciones:
- Instalación manual seleccionando solo el componente AdmPwd GPO Extension.
- Instalación mediante una herramienta de implementación de software (SCCM / WAPT).
- Instalación por GPO.
- Instalación con script: msiexec /i <file location>\LAPS.x64.msi /quiet
- Copie el archivo AdmPwd.dll y guárdelo en la computadora regsvr32.exe AdmPwd.dll
Dependiendo de tu entorno, te dejaré elegir la mejor solución.
Actualización del esquema de Active Directory
Para funcionar correctamente, LAPS necesita modificar el esquema de Active Directory para agregar dos atributos a las computadoras.
En el controlador de dominio donde se instaló, abra un símbolo del sistema de PowerShell con derechos de administrador.
Cargue el módulo de PowerShell:
Import-Module AdmPwd.PS
Actualiza el esquema:
Update-AdmPwdADSchema
El comando debería devolver el siguiente resultado:
Operation DistinguishedName Status --------- ----------------- ------ AddSchemaAttribute cn=ms-Mcs-AdmPwdExpirationTime,CN=Schema,CN=Configuration,DC=l... Success AddSchemaAttribute cn=ms-Mcs-AdmPwd,CN=Schema,CN=Configuration,DC=lab,DC=intra Success ModifySchemaClass cn=computer,CN=Schema,CN=Configuration,DC=lab,DC=intra Success
Se modificó el esquema y se agregaron atributos.
Ahora veremos cómo configurar LAPS.
Configurar vueltas
Agregar permisos en Active Directory
La configuración de LAPS se realiza mediante OR en el nivel de Active Directory. En este tutorial, aplicaremos la política de contraseñas en las computadoras OU 1 que se encuentran en OU LAB.
Antes de configurar la política de grupo, debe otorgar a los objetos Computadora los derechos para modificar sus atributos. Abra un símbolo del sistema de PowerShell.
Cargue el módulo:
Import-Module AdmPwd.PS
Caso 1: existe una única unidad organizativa con el nombre Computadoras:
Set-AdmPwdComputerSelfPermission -OrgUnit "Computers"
Caso 2: varias OU se denominan Computadoras:
Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Computers,OU=LAB,DC=lab,DC=intra"
Resultado del comando:
Name DistinguishedName Status ---- ----------------- ------ Computers OU=Computers,OU=LAB,DC=lab,DC=intra Delegated
Si varias OU tienen el mismo nombre y aplica el comando en el caso 1, la delegación se aplicará a todas las OU. El comando también devolverá un error.
GPO para aplicar configuraciones a las computadoras
Ahora que las computadoras pueden modificar sus atributos, es necesario crear una política de grupo. Abra la consola de administración de políticas de grupo, haga clic derecho en O 1 donde se aplicará y haga clic en Crear un GPO en este dominio y vincúlelo aquí 2.
Asigne un nombre a la estrategia 1 y haga clic en Aceptar 2.
Ahora que la política está creada, la configuraremos, hacemos clic derecho sobre ella 1 y hacemos clic en Modificar 2.
Vaya a Configuración del Equipo / Políticas / Plantillas Administrativas / LAPS 1. Esta ubicación contiene los distintos parámetros de configuración. Abra Configuración de contraseña 2 para configurar la contraseña.
Habilite la configuración 1 y luego configure la complejidad de la contraseña 2 usando las diferentes configuraciones. Haga clic en Aplicar 3 y en Aceptar 4.
Abra el parámetro Habilitar administración de contraseña de administrador local, active 1 y luego haga clic en Aplicar 2 y Aceptar 3. Es necesario habilitar esta configuración para habilitar la administración de contraseñas.
Si ha cambiado la cuenta de administrador local y ha creado una nueva, es posible indicarlo con el parámetro Nombre de la cuenta de administrador a gestionar.
Resumen de la configuración de la política de grupo:
Ahora que la Política de grupo está lista, fuerce la actualización de la misma para que las computadoras recuperen la configuración y generen una contraseña para la cuenta de administrador local.
Ver la contraseña generada por LAPS
Ahora que nuestros ordenadores tienen una contraseña diferente, veremos cómo recuperar la contraseña.
Desde el Active Directory
Se debe habilitar la visualización de funciones avanzadas.
Con la consola Usuarios y equipos de Active Directory, abra las propiedades del equipo, vaya a la pestaña Editor de atributos 1 y busque el atributo ms-Mcs-AdmPwd 2.
Con el cliente de LAPS
Al instalar LAPS en el servidor, se instalaron todos los componentes. Un cliente está disponible a través del menú Inicio. Una vez iniciado, ingrese el nombre de la computadora 1 y luego haga clic en Buscar 2 para mostrar la contraseña 3 así como la fecha de vencimiento 4.
Es posible modificar la fecha de vencimiento de la contraseña, una vez configurada, haga clic en Establecer. El cambio de contraseña se hará efectivo al aplicar políticas de grupo en el ordenador.
Permitir la visualización de contraseñas a un grupo AD
De forma predeterminada, el grupo de administradores de dominio puede ver el atributo que contiene la contraseña de la cuenta de administrador local de la estación de trabajo. Puede que sea necesario dar acceso con contraseña a otras personas, por ejemplo, personas del equipo de soporte si no son miembros del grupo de administradores de dominio.
La parte cliente de LAPS deberá estar instalada en su computadora para ver la contraseña.
En el controlador de dominio, abra la consola de Modificación ADSI, haga clic con el botón derecho en Modificación ADSI 1 y haga clic en Conexión 2.
Elija Contexto de asignación predeterminado 1 y haga clic en Aceptar 2.
Una vez conectado, abra las propiedades de la OU donde se configuró LAPS.
Vaya a la pestaña Seguridad 1 y haga clic en el botón Avanzado 2.
Haga clic en Agregar 1.
Seleccione el grupo 1, escriba: Permitir 2. Verifique la autorización Todos los derechos extendidos 3 y valídela haciendo clic en Aceptar 4.
Las autorizaciones se han agregado a la unidad organizativa, haga clic en Aplicar 1 y luego en Aceptar 2 para validar. Luego cierra las ventanas.
Es posible hacer lo mismo en PowerShell usando el siguiente comando:
Set-AdmPwdReadPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Es posible verificar el acceso en PowerShell usando el siguiente comando:
Import-Module AdmPwd.PS
Find-AdmPwdExtendedRights -Identity Computers | Format-Table ExtendedRightHolders
ExtendedRightHolders
--------------------
{AUTORITE NT\Système, LAB\Admins du domaine, LAB\SupportSI}
Los usuarios del grupo SupportSI ahora tienen la capacidad de ver la contraseña de la cuenta del administrador local.
Para otorgar permiso al grupo SupportSI para cambiar la fecha de vencimiento de la contraseña, ingrese el siguiente comando de PowerShell:
Set-AdmPwdResetPasswordPermission -OrgUnit Computers -AllowedPrincipals SupportSI
Conclusión
LAPS es una solución gratuita que ayuda a proteger la cuenta de administrador local en computadoras y servidores cliente.
Me parece aún más interesante esta solución en servidores que permite tener una contraseña diferente para cada uno de ellos y así aumentar la seguridad. La caducidad y renovación automática de la contraseña proporciona seguridad adicional cuando una persona de TI deja la empresa.