Descripción general de Microsoft LAPS (solución de contraseña de administrador local)

* Después de haber descargado e implementado LAPS, el equipo de Recast Software creó un panel ingenioso para que usted pueda monitorear el "estado" de su LAPS, brindando visibilidad a las necesidades de seguridad pasadas por alto. Esto está incluido en el Versión empresarial del Right Click Tools.

Realmente me gusta el tablero LAPS porque, dado que ya estoy en la consola ConfigMgr todos los días, mantiene LAPS visible y al frente de la mente de nuestro equipo. Encuentro esto muy útil. Solo toma unos segundos levantarlo, verificar mis estadísticas y seguir adelante. Si encuentro una anomalía, puedo empezar a investigarla. Obtenga más información sobre el panel LAPS.

Descripción general de Microsoft LAPS

“La solución de contraseña de administrador local (LAPS) proporciona administración de contraseñas de cuentas locales de computadoras unidas al dominio. Las contraseñas se almacenan en Active Directory (AD) y están protegidas por ACL, por lo que solo los usuarios elegibles pueden leerlas o solicitar su restablecimiento.”- Microsoft

Básicamente, LAPS reduce el riesgo de tener un administrador local predeterminado (quizás una puerta trasera) y una contraseña predeterminada en sus máquinas al hacer que cada máquina use una contraseña compleja diferente para la cuenta. Antes de LAPS, la mayoría de las organizaciones tenían un administrador local genérico, por ejemplo, ORG_LocalAdmin, con la misma contraseña en cada máquina, por ejemplo, ORG_P @ ssword. El problema con eso es que si una máquina se vio comprometida, el malware / pirata informático podría moverse lateralmente entre todas sus máquinas y recopilar más y más datos para profundizar la brecha de seguridad. Con LAPS implementado, elimina ese vector de ataque, por lo que si una máquina se ve comprometida, la capacidad de moverse lateralmente a otra máquina se reduce en gran medida.

Hay bastantes guías por ahí, y los Microsoft Docs también son bastante buenos. No hice una búsqueda exhaustiva antes de crear esta publicación, así que tenga en cuenta que parte de esta información puede ser redundante con respecto a lo que encontrará en línea.

Qué está cubierto

En este tutorial, cubriré cómo:

  • Descarga LAPS
  • Crear carpetas de origen
  • Crear aplicación de instalación de punto final
  • Implementar la aplicación LAPS en los puntos finales
  • Instalar manualmente el cliente de administración LAPS
  • Configuración de infraestructura
    • Extender el esquema de AD (desde el controlador de dominio)
  • Configuración de permisos y grupos de AD LAPS
  • Verificación de permisos y acceso de lectura / restablecimiento
  • Política de grupo de habilitación básica
  • Realice pruebas para confirmar que los permisos funcionan.

Lo que no se cubre en mi descripción general de Microsoft LAPS

  • Los "por qué" detrás de cada paso. Muchos de los detalles y las razones por las que debe realizar estos pasos ya están bien documentados en Microsoft "LAPS_OperationGuide" que es parte de la descarga, y sinceramente, eso es lo que estoy usando mientras creo este tutorial, así que le sugiero Míralo antes de empezar.
  • Cada escenario de implementación. Este es un laboratorio genérico y SIMPLE. Si bien gran parte de esto es igual para cualquier entorno, cada entorno es diferente y cada organización está configurada de manera diferente. La configuración de LAPS probablemente requerirá la participación de varios equipos (AD / CM / Implementaciones / GPO).

Que considerar

Cosas a considerar de antemano:

  • Estructura de Active Directory (unidades organizativas con estaciones de trabajo).
  • ¿Quién tendrá derecho a LEER la contraseña LAPS?
  • ¿Quién tendrá derecho a RESTABLECER la contraseña LAPS?

‍Descargar LAPS

Implementación del cliente:

Descargue el cliente LAPS y los documentos de Microsoft:  https://www.microsoft.com/en-us/download/details.aspx?id=46899.

Implementación de cliente LAPS

Carpetas de origen

Descargué todos los archivos en un directorio "LAPS". Luego creé una nueva carpeta para mover los archivos MSI.

Instalador LAPS

Aplicación de instalación de punto final

En la consola ConfigMgr, ahora voy a crear una nueva aplicación. Apunte a la versión x64 del MSI.

Especificar la configuración de esta aplicación

Una vez que elija el MSI, haga clic en el Abierto y luego puede hacer clic en Próximo. La información necesaria para la aplicación se extraerá del MSI.

Información de la aplicación

Después de hacer clic en el Próximo botón, vendrás a Información general. Agregué “Microsoft” como editor y cambié / q por / qn.

En este punto, simplemente haga clic en el Próximo botón. Recomiendo dejar los valores predeterminados hasta que se complete la descarga y luego puede hacer clic Cerrar.

La aplicación Solución de contraseña de administrador local está ahora en su consola. Solo se necesitan un par de ajustes. En el Propiedades de la aplicación, haga clic en el Tipos de implementación pestaña. Elegir el Despliegue y haga clic en Editar. Entrar en Requisitos y agregue el x64 para las versiones de Windows en su entorno.

Implementación de la aplicación LAPS

Propiedades LAPS

En este punto, tenemos la aplicación, así que implementémosla en las estaciones de trabajo. Como ya agregó la lógica a la aplicación, puede implementarla de manera segura en sus estaciones de trabajo.

NOTA: Aquí es donde conocer su entorno es crucial, así que asegúrese de implementar la aplicación en la colección adecuada. Quizás tenga una razón comercial para no implementarlo en todas las estaciones de trabajo. Simplemente use las mejores prácticas para las implementaciones (ventanas de mantenimiento, etc.).

El resto de este ejemplo será genérico.

Complete los campos de software y colección
Especifique la configuración para controlar cómo se implementa este software

Dejé la configuración para Planificación, Experiencia de usuario y nuestra Alertas todo configurado con los valores predeterminados (consulte la captura de pantalla a continuación).

Confirme la configuración para esta nueva implementación

Configuración de infraestructura

Cliente de administración / Cliente de administración LAPS

Ahora que el cliente está implementado, configuremos la infraestructura. Primero, debe cambiar a una máquina de prueba de cliente, o su estación de trabajo de administración típica. Voy a instalar el cliente LAPS junto con las herramientas de administración. Una vez que inicie el instalador (haga doble clic en el MSI), haga clic en las primeras dos pantallas para acceder al Configuración personalizada pantalla. Una vez aquí, habilite todas las opciones.

Configuración personalizada LAPS

A continuación, continúe e instálelo. Deberá tomar algunos de los elementos que instala y luego copiarlos de nuevo a su servidor de origen para facilitar el acceso.

Vaya a C: \ Windows \ PolicyDefinitions. Aquí obtendrá el archivo AdmPwd.admx y el archivo AdmPwd.adml de la subcarpeta en-US. Creé una carpeta llamada GPO_ADMX en mi ubicación de origen para copiarlos (consulte "Nuevo ..." en la captura de pantalla siguiente).

Ubicación de origen

Además, copie la carpeta AdmPwd.PS de los módulos de PowerShell: C: \ Windows \ System32 \ WindowsPowerShell \ v1.0 \ Modules

Necesitará todos estos archivos más tarde.

Copiar carpeta de los módulos de PowerShell

Extender el esquema de AD (desde el controlador de dominio)

Ahora, los siguientes pasos que puede (y debe) hacer desde su estación de trabajo, pero para asegurarme de que tenía una conexión y derechos, lo hice desde mi controlador de dominio (DC) real. Por lo general, haría esto desde una máquina de administración con las credenciales adecuadas. Su DC debería ejecutar Windows Server CORE y ni siquiera debería tener una experiencia de escritorio. Por lo general, nunca querrá iniciar sesión en un DC. Pero esto es un laboratorio y solo estoy haciendo una demostración.

Modificar el esquema de AD

En el controlador de dominio (DC), copie la carpeta AdmPwd.PS que cargó en su fuente en el repositorio del módulo local en su DC. A continuación, inicie la consola de administración de PowerShell. En la imagen a continuación, puede ver cómo intenté Import-Module antes de copiar los archivos en el DC. Después de la copia, el comando se ejecuta correctamente.

Modificar el esquema de AD

A continuación, ejecute el comando: Update-AdmPwdADSchema

Ejecuta el comando

En mi laboratorio, puede ver que agregó con éxito dos atributos y modificó una clase.

LAPS Grupos y permisos de AD

Con suerte, consideró algunas cosas antes de comenzar este viaje, como en qué unidad organizativa se encuentran las estaciones de trabajo a las que desea aplicar la política de grupo LAPS y a quién desea tener permisos. En mi laboratorio, es bastante fácil. Tengo una configuración de "OU maestra" para estaciones de trabajo, y todas las demás estaciones de trabajo se encuentran en sub-OU de esa OU maestra.

Estaciones de trabajo de destino OU

En este punto, es bueno verificar y ver quién tiene derechos para ver esa información en AD. En su consola de PowerShell, escriba: Find-AdmPwdExtendedrights -identity | Tabla de formato

Ver quién tiene derechos para ver información en AD

Como puede ver, los derechos en mi laboratorio son bastante limpios, y estoy de acuerdo con que estas personas tengan derechos sobre LAPS.

Ahora, en AD, configuremos los grupos "Leer" y "Restablecer". Esto otorgará a estos grupos acceso a LAPS. En la captura de pantalla a continuación, verá que he creado dos grupos: LAPS Solo lectura y LAPS Restablecer PWD.

Configurar un grupo de lectura y reinicio

Ahora debemos otorgar a las máquinas la capacidad de actualizar sus propias contraseñas. Voy a otorgar acceso a la "cuenta integrada SELF" para todas las máquinas en la unidad organizativa de la estación de trabajo: (Estaciones de trabajo) Set-AdmPwdComputerSelfPermission -OrgUnit

Otorgue a las máquinas la capacidad de actualizar su propia contraseña

A continuación, debemos otorgar derechos a los usuarios para buscar esa información. Aquí es donde entran los grupos que acabamos de crear. Vamos a otorgar al grupo "LAPS de solo lectura" derechos para leer las contraseñas LAPS: Set-AdmPwdReadPasswordPermission -OrgUnit -PermitidosPrincipales

Vamos a otorgarle al grupo “LAPS Reset PWD” derechos para restablecer las contraseñas LAPS: Set-AdmPwdReadPasswordPermission -OrgUnit -PermitidosPrincipales

Verificar permisos

También voy a confirmar que esto funcionó usando el Encontrar… comando (vea la captura de pantalla a continuación).

Buscar comando

Ahora, de vuelta en AD, puede anidar los grupos que desee en sus Grupos de seguridad LAPS para tener acceso.

Anida los grupos en sus grupos de seguridad LAPS

Para mi laboratorio, tengo los niveles 1 y 2 de la mesa de servicio con derechos de solo lectura, y el nivel 3 se puede restablecer.

Habilitar la política de grupo

Deberá copiar los archivos ADMX y ADML que copió en su carpeta de origen en su Almacén central de políticas de grupo, que se puede encontrar aquí: \\ FQDN \ SYSVOL \ FQDN \ policies

Política de grupo

Ahora puede iniciar la Política de grupo y crear su política LAPS. En esta demostración, voy a crear una nueva política simple, pero siempre puede agregarla a una que ya existe. El nuevo GPO está configurado con los valores predeterminados, excepto que deshabilité las Políticas de usuario. Hice esto porque mi nueva política está basada en máquinas, por lo que no tiene sentido que busque políticas de usuario.

Inicie la política de grupo y cree su política LAPS

Usé configuraciones básicas para que esto funcione con mi laboratorio. En mi laboratorio, tengo una cuenta de administrador local en la computadora, además de la predeterminada deshabilitada, que se llama "MyLocalAdmin". Esta es la cuenta que quiero que administre LAPS.

Ejemplo de cuenta de administrador local

Eso es todo. Ahora es el momento de confirmar que obtiene los resultados que desea.

Confirmar permisos

‍Estas son las pruebas de permisos que realizaré:

  • Usuarios finales estándar (no deben tener derechos).
  • Service Desk Tier 1 y Tier 2 (debe tener acceso de lectura).
  • Service Desk Tier 3 (debe tener acceso de lectura y restablecimiento).

Prueba 1: usuario estándar

Prueba 1: usuario estándar

Prueba 2: Mesa de servicio de nivel 1 y nivel 2

Prueba 2: Mesa de servicio de nivel 1

Prueba 3: Mesa de servicio de nivel 3

Prueba 3: Mesa de servicio de nivel 3

¿Qué aprendí de esta prueba? Los permisos de restablecimiento no incluyen lectura. A menos que necesite un grupo para poder restablecer esta contraseña y no leerla, anidaría el grupo LAPS Reset PWD dentro del grupo LAPS Read Only.

LAPS Grupo de solo lectura

Prueba nuevamente.

Prueba de grupo de solo lectura LAPS

Ahora, obtengo los resultados deseados. La mesa de servicio de nivel 3 puede leer y restablecer la contraseña LAPS.

Conclusión: descripción general de Microsoft LAPS

Espero que haya encontrado útil esta descripción general de LAPS y, con suerte, proporcionó información adicional que no se encuentra en otras guías en línea. La razón principal para escribir esta publicación de blog es preparar las bases para Parte 2, configurando Usuarios / Grupos del Servidor de Administración Recast para ver el Panel de Cumplimiento de LAPS en la consola ConfigMgr.

-Por Gary Blok

Vea cómo Right Click Tools está cambiando la forma en que se administran los sistemas.

Aumente la productividad de inmediato con nuestra versión limitada y gratuita de la edición Community.

Comience con Right Click Tools hoy:

Compartir este:

Ayuda

  • Este campo es para fines de validación y no debe modificarse.

Contacto

  • Este campo es para fines de validación y no debe modificarse.

Contacto

  • Este campo es para fines de validación y no debe modificarse.
es_MXSpanish