[23/11/2022] Las contraseñas siempre han sido un punto problemático en la seguridad de la infraestructura informática. La complejidad y la longitud son componentes clave de una contraseña segura, pero ambos hacen que sea intrínsecamente difícil de recordar para un humano. Además, las contraseñas deben cambiarse periódicamente, lo cual es manejable cuando trabaja con un puñado de dispositivos, pero cuando la red está distribuida geográficamente con cientos o miles de computadoras, las cosas se vuelven más complejas. Afortunadamente, Microsoft ha formulado una solución a este problema y se llama solución de contraseñas de administrador local(LAPS), aunque no se promociona tanto como otras soluciones de Microsoft. LAPS es una utilidad que permite establecer las contraseñas de administrador local de manera programada en función de un cronograma proporcionado utilizando los parámetros de complejidad que defina.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Cómo aprovechar al máximo la instalación inicial de LAPS
Como sabe cualquier administrador de Windows con experiencia, la mayoría de las computadoras con Windows en un dominio de Microsoft Active Directory (AD) retienen cuentas que son locales a ese equipo para facilitar el acceso administrativo a dispositivos individuales en los casos en que el dominio no esté disponible (los problemas de red o incluso la falta de drivers de hardware son razones comunes). Asegurar estas cuentas locales se vuelve un poco complicado. La directiva de grupo proporciona opciones para cambiar el nombre de la cuenta de administrador predeterminada en los equipos dentro del alcance de la directiva, pero gestionar la contraseña requiere un poco más de esfuerzo.
En un nivel alto, la instalación y configuración de LAPS requiere la instalación de software en uno o más servidores de gestión, una pequeña personalización del esquema de AD, la configuración de los ajustes mediante la directiva de grupo y la implementación del complemento en estaciones de trabajo y servidores miembros. Profundizaremos un poco más en cada uno de estos componentes y también identificaremos algunos problemas que se pueden encontrar en el camino.
El primer paso para implementar LAPS es instalar la utilidad en un servidor que tenga las herramientas de gestión de directivas de grupo preinstaladas. Además, ya que parte del proceso de despliegue de LAPS implica modificaciones en el esquema de AD, es recomendable que realice esta instalación en un controlador de dominio, idealmente el controlador de dominio que tiene la función de maestro de esquema. Durante este proceso, querrá instalar todas las funciones del nodo Herramientas de gestión (la interfaz de usuario de cliente pesado, el módulo de PowerShell y las plantillas del editor de GPO).
El segundo paso es configurar Active Directory para poder almacenar la contraseña de administrador local de cada equipo y la fecha de caducidad de dicha contraseña, lo que requiere personalizar el esquema de AD para agregar estos campos. Abrir una ventana administrativa de PowerShell y ejecutar el comando Import-Module AdmPwd.PS seguido de Update-AdmPwdADSchema debería resultar en una lista de tres acciones realizadas correctamente. Si ocurre algún problema durante este paso, probablemente deba asegurarse de que su usuario tenga los permisos adecuados de administrador de esquema, que el span-in del Esquema de Active Directory esté registrado (regsvr32 schmmgmt.dll) y que la replicación de Active Directory esté en buen estado.
Atributos de Active Directory.
En tercer lugar, para que las computadoras puedan establecer contraseñas para su administrador local cuando sea necesario y para que los administradores puedan leer y restablecer esas contraseñas, hay algunos permisos que deben configurarse en las unidades organizativas (OU) de AD que contienen cuentas de las computadoras. Si bien esto se puede hacer manualmente, la instalación de LAPS ofrece cmdlets de PowerShell para ayudar a gestionar estos permisos. El cmdlet Set-AdmPwdComputerSelfPermission se puede utilizar para configurar los permisos en una OU para permitir que los equipos almacenen la contraseña de administrador local y realicen un seguimiento de la fecha del cambio. Set-AdmPwdReadPasswordPermission y Set-AdmPwdResetPasswordPermission facilitar a los grupos designados la capacidad de recuperar o restablecer la contraseña, respectivamente.
Por último, se deben establecer los ajustes de la directiva de grupo relacionados con la configuración de LAPS. Hay cuatro configuraciones diferentes en Configuración del equipo/Políticas/Plantillas administrativas/LAPS que son fáciles de ejecutar.
- Primero está la configuración de contraseñas, que requiere que se identifiquen los tipos de caracteres que deben utilizarse para la complejidad, la longitud de las contraseñas que se generarán y la cantidad de días para que se restablezcan automáticamente las contraseñas.
- La segunda configuración se utiliza para identificar la cuenta de administrador local que se va a gestionar. Esta configuración solo se usa si la cuenta que se gestionará no es la cuenta de administrador incorporada y no debe utilizarse para hacer referencia a la cuenta de administrador incorporada, incluso si se le ha cambiado el nombre.
- La tercera configuración se utiliza para garantizar que el tiempo de caducidad de la contraseña de LAPS no supere el de la política estándar de configuración de contraseñas de Active Directory.
- Por último, la configuración Habilitar la gestión de contraseñas de administrador local simplemente habilita LAPS para los equipos dentro del alcance del GPO.
Configuración de contraseñas del GPO.
Ramificaciones de seguridad de LAPS
Lo más importante que hay que tener en cuenta al considerar el uso de LAPS es el hecho de que las contraseñas del administrador local se almacenan en texto sin formato en Active Directory. Viendo el panorama completo, este riesgo se mitiga con la restricción de permisos para los atributos clave. Además, el riesgo de que una sola cuenta de administrador se vea comprometida es extremadamente bajo en comparación con tener todas las cuentas configuradas con una única contraseña que no se cambia automáticamente.
Los bosques de Active Directory, que existen desde hace un tiempo, pueden haber permitido que las computadoras se unan al dominio mediante cuentas no administrativas. Si es así, las cuentas de equipo unidas por cuentas no administrativas pueden tener establecido el atributo msds-CreatorSid, que otorga a los usuarios que crearon la cuenta permisos adicionales para estos objetos de equipo en AD, incluyendo la capacidad de leer el atributo ms-Mcs-AdmPwd que contiene la contraseña de la cuenta de administrador local.
Los objetos de equipo con msds-CreatorSid deben ser identificados y manejados en consecuencia, y las mejores prácticas dictan que solo los administradores deben poder agregar nuevos equipos al dominio.
Recuperación y restablecimiento de contraseñas en LAPS
Generalmente, la única interacción manual que tienen los administradores con LAPS es para recuperar una contraseña de administrador local para un solo equipo. Si se han instalado los componentes de administración de LAPS, esto es tan fácil como usar la interfaz de usuario de LAPS, escribir el nombre de la computadora y recuperar la contraseña. Los componentes de administración de LAPS también incluyen el cmdlet Get-AdmPwdPassword de PowerShell para recuperar contraseñas.
Interfaz de usuario LAPS.
Como alternativa, las herramientas estándar de administrador de Active Directory, como los usuarios y equipos de AD o el cmdlet Get-ADUser de PowerShell, pueden leer el atributo ms-Mcs-AdmPwd, asumiendo que el usuario tenga los permisos adecuados.
Las contraseñas de administrador local para computadoras se pueden restablecer mediante la interfaz de usuario de LAPS o el cmdlet Reset-AdmPwdPassword. Estas herramientas simplemente activan la utilidad LAPS para volver a generar una contraseña aleatoria para la cuenta del administrador actualizando la caducidad a un momento en el pasado. La utilidad PowerShell es particularmente útil para restablecer contraseñas de administrador en bloque, una función que debe aprovecharse cada vez que un usuario privilegiado se va del equipo.
Microsoft invierte más en LAPS
LAPS no es una solución nueva y tiene sus defectos. La buena noticia es que Microsoft está invirtiendo activamente en LAPS para sus últimos sistemas operativos con el fin de remediar algunas de las debilidades de LAPS heredado e incluso aprovechar las tecnologías modernas como Azure AD. Tenga en cuenta que actualmente LAPS moderno solo es compatible con Windows 11 Insider Preview Build 25145 y posteriores, y el soporte para la integración con Azure AD está limitado, por el momento, a usuarios seleccionados de Windows Insider.
La primera característica importante que aporta LAPS moderno es la capacidad de almacenar contraseñas de administrador local en Active Directory o Azure AD. Microsoft también admitirá el almacenamiento de contraseñas cifradas en su Active Directory local (que se ejecute en el nivel funcional de dominio de 2016 o superior), pero no en Azure AD. Esto cierra una importante brecha de seguridad en LAPS heredado para aquellos que usan Active Directory. LAPS moderno también permite realizar una copia de seguridad de la contraseña del modo de restauración de servicios de directorio (DSRM) de AD, una credencial clave para realizar la recuperación ante desastres en Active Directory, pero que rara vez se utiliza y, por lo tanto, es fácil de olvidar, especialmente en entornos empresariales.
Al igual que LAPS heredado, gran parte de la configuración de la implementación moderna en Active Directory implica la gestión de los objetos de directiva de grupo, pero, por supuesto, con nuevas funciones vienen nuevas configuraciones. Una nueva configuración permite especificar el usuario o grupo que puede descifrar contraseñas. Si esto no está configurado, solo los miembros del grupo de administradores de dominio pueden ver las contraseñas si están en el mismo dominio que la computadora. La implementación de Azure AD es un cambio de paradigma, y si va por ese camino, lo más probable es que ya haya invertido en Azure AD y en las complejidades de la gestión de las políticas de dispositivos a través de la nube de Microsoft.
Una última novedad es la capacidad de configurar LAPS para que maneje automáticamente un restablecimiento de contraseña tras el uso de una cuenta de administrador local. Esta función tiene como objetivo limitar el daño si una cuenta de administrador local se ve comprometida e implica la configuración de dos ajustes de directiva de grupo, aunque un usuario malintencionado que obtenga privilegios administrativos puede interrumpir estas acciones.
La configuración de acciones posteriores a la autenticación le permite activar un restablecimiento de contraseña simple, un establecimiento de contraseña y un cierre de sesión forzado del usuario, o un restablecimiento de contraseña y reinicio de la computadora. Cada una de estas opciones sirve para diferentes escenarios. La segunda configuración le permite configurar un retraso de restablecimiento de hasta 24 horas (con un valor de 0 que deshabilita la función por completo).
Basado en el artículo de Tim Ferrill (CSO) y editado por CIO Perú