En este artículo, veremos cómo administrar las contraseñas de administrador local en computadoras unidas a un dominio utilizando la herramienta oficial de Microsoft: VUELTAS (Solución de contraseña de administrador local).
La cuestión de la gestión de contraseñas para las cuentas integradas en las computadoras del dominio es uno de los aspectos de seguridad más importantes que requieren la atención de un administrador del sistema. De hecho, no debe permitir el uso de las mismas contraseñas de administrador local en todas las computadoras del dominio. Existen muchos enfoques para la administración de cuentas de administrador local en un dominio, desde deshabilitarlas por completo (no muy conveniente) hasta administrarlas mediante scripts de inicio de sesión de GPO o crear sus propios sistemas de administración de contraseñas.
Anteriormente, las Preferencias de directiva de grupo (GPP) se usaban a menudo para cambiar las contraseñas de administrador local en computadoras unidas a un dominio. Sin embargo, más tarde se encontró una vulnerabilidad seria en el GPP, que permite a cualquier usuario de dominio descifrar una contraseña almacenada en el archivo de texto en el directorio SYSVOL en los controladores de dominio de AD (lo hemos contado en el artículo Por qué no debe establecer contraseñas de administrador local utilizando las preferencias de la política de grupo). En mayo de 2014, Microsoft lanzó una actualización de seguridad (MS14-025 - KB 2962486), que deshabilitó por completo la función de establecer una contraseña de usuario local mediante GPP.
Herramienta LAPS: Solución de contraseña de administrador local
Importante. Anteriormente, la utilidad LAPS se llamaba AdmPwd, pero en mayo de 2015, Microsoft lanzó una versión oficial de AdmPwd llamada LAPS, transfiriéndola así de un script de terceros a una solución con soporte oficial.
La VUELTAS (Solución de contraseña de administrador local) le permite controlar y administrar de forma centralizada las contraseñas de administrador en todos los equipos del dominio y almacenar la contraseña del administrador local y su fecha de cambio directamente en los objetos de Active Directory del tipo de equipo.
Las funciones de LAPS se basan en Extensión del lado del cliente de directiva de grupo (CSE) y un pequeño módulo que se instala en las estaciones de trabajo. Esta herramienta se utiliza para generar una contraseña de administrador local única (para SID - 500) en cada computadora del dominio. Una contraseña de administrador se cambia automáticamente en un período de tiempo determinado (de forma predeterminada, cada 30 días). El valor de la contraseña de administrador local actual se almacena en el atributo confidencial de las cuentas de la computadora en Active Directory, y los permisos de acceso para ver este valor de atributo están regulados por los grupos de seguridad de AD.
Puedes descargar LAPS y su documentación aquí: https://www.microsoft.com/en-us/download/details.aspx?id=46899
La distribución LAPS está disponible en dos versiones de archivos MSI de instalación: para 32 bits (LAPS.x86.msi) y 64 bits (LAPS.x64.msi) sistemas.
La arquitectura LAPS consta de 2 partes. El módulo de gestión está instalado en la computadora del administrador y la parte del cliente está instalada en servidores y PC en los que debe cambiar regularmente la contraseña del administrador local.
Consejo. Antes de implementar LAPS en el dominio de producción, te recomendamos que lo pruebes en un entorno de prueba, ya que al menos necesitarás extender el esquema de AD (irreversible).
Ejecute el archivo de la utilidad MSI en la computadora del administrador, seleccione todos los componentes que se instalarán (se requiere al menos .Net Framework 4.0 - Cómo verificar qué versión de .Net está instalada). El paquete consta de dos partes:
- Extensión AdmPwd GPO - El ejecutable LAPS, que se instala en los equipos cliente, genera y guarda la contraseña de administrador en el AD de acuerdo con la política configurada;
- VUELTAS Herramientas administrativas:
- IU de cliente gordo - herramienta para ver la contraseña del administrador;
- Módulo de PowerShell gestionar LAPS;
- Plantillas de editor de GPO - plantillas administrativas para el editor de GPO.
La configuración de LAPS es muy fácil y no debería causar ningún problema.
Preparación del esquema de Active Directory para la implementación de LAPS
Antes de implementar LAPS, debe extender el esquema de Active Directory para agregar dos nuevos atributos de la clase Computer.
- ms-MCS-AdmPwd - contiene la contraseña del administrador local en un texto sin formato;
- ms-MCS-AdmPwdExpirationTime - almacena la fecha en que expira la contraseña.
Para extender el esquema de AD, abra PowerShell e importe el módulo Admpwd.ps:
Import-module AdmPwd.ps
Luego, amplíe el esquema de Active Directory (necesitará privilegios de administrador de esquema):
Update-AdmPwdADSchema
Como resultado, se agregan dos nuevos atributos a los objetos de Computadora.
Configuración de permisos para atributos de AD LAPS
La contraseña de administrador se almacena en los atributos de Active Directory como texto sin formato, el acceso está restringido por el atributos de AD confidenciales mecanismo (compatible desde Windows 2003). El atributo MS-MCS-AdmPwd puede ser leído por cualquier usuario de dominio con el "Privilegio de todos los derechos extendidos. Los usuarios y grupos con este permiso pueden leer cualquier atributo de AD confidencial, incluido ms-MCS-AdmPwd. Dado que no queremos que nadie más que el administrador del dominio (y / o el equipo de soporte del HelpDesk) vea las contraseñas de las computadoras, tenemos que limitar la lista de grupos con permisos de lectura en estos atributos.
Con el cmdlet Find-AdmPwdExtendedRights, puede obtener la lista de cuentas y grupos que tienen estos permisos en la OU con el nombre Desktops:
Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders
Como puede ver, solo el Dominio Administradores grupo tiene los permisos de lectura sobre los atributos confidenciales.
Si necesita denegar el acceso para leer estos valores de atributo para ciertos grupos o usuarios, haga lo siguiente:
- Abre el ADSIEditar herramienta y conectarse al contexto de nomenclatura predeterminado;
- Expanda el árbol de dominios, busque la unidad organizativa necesaria (en nuestro ejemplo, es Desktops), haga clic con el botón derecho y seleccione Propiedades;
- Entonces ve al Seguridad pestaña y haga clic enAvanzado -> Agregar botón. En el Seleccionar principal sección, especifique el nombre del grupo / usuario al que desea restringir los permisos (por ejemplo, dominio Equipo de soporte);
- Desmarca la casilla "Todos los derechos ampliados " y guarde los cambios.
Haga lo mismo para todos los grupos para los que desee restringir la visualización de la contraseña de administrador local.
Consejo. Tendrá que restringir los permisos de lectura en todas las unidades organizativas, contraseñas de computadora en las que LAPS administrará.
Luego, debe otorgar permisos para que las cuentas de la computadora modifiquen sus propios atributos (SELF), porque los valores de ms-MCS-AdmPwd y ms-MCS-AdmPwdExpirationTime se cambian en la cuenta de la computadora. Usa otro cmdlet Set-AdmPwdComputerSelfPermission.
Para otorgar permiso a las computadoras de la unidad organizativa de escritorio para actualizar los atributos extendidos, ejecute este comando:
Set-AdmPwdComputerSelfPermission -OrgUnit Desktops 
Concesión de permisos para ver la contraseña de LAPS
El siguiente paso es otorgar a los usuarios y grupos los permisos para leer las contraseñas de administrador local, almacenadas en Active Directory. Por ejemplo, desea otorgar permisos de lectura de contraseña a los miembros del grupo AdmPwd:
Set-AdmPwdReadPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd
Además, puede permitir que un determinado grupo de usuarios restablezca las contraseñas de la computadora (en este ejemplo, se las asignamos al mismo grupo: AdmPwd):
Set-AdmPwdResetPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd
¿Cómo configurar las opciones de directiva de grupo de LAPS?
Luego, debe crear un nuevo objeto de GPO y vincularlo a la unidad organizativa que contiene las computadoras en las que desea administrar las contraseñas de administrador local.
Para una fácil administración de GPO, puede copiar los archivos de plantilla administrativa de LAPS. (% WINDIR% PolicyDefinitions AdmPwd.admx y% WINDIR% PolicyDefinitions en-US AdmPwd.adml) al Almacén central de políticas de grupo - \ woshub.com Sysvol Policies PolicyDefinition.
Cree una política con el nombre Password_Administrador_Local usando el siguiente comando:
Register-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local
Abra esta política en la Consola de administración de políticas de dominio (gpmc.msc) y vaya a la siguiente sección de GPO: Configuración de la computadora -> Plantillas administrativas -> LAPS.
Como podemos ver, hay 4 configuraciones personalizables. Configúrelos como se muestra a continuación:
- Habilitar la gestión de contraseñas de administrador local: Activado (habilita la política de administración de contraseñas de LAPS);
- Configuración de contraseña: Activado - la política establece la complejidad, la longitud y la antigüedad de la contraseña (similar a los requisitos de la política de contraseñas de usuarios de Active Directory);
- Complejidad: Letras grandes, minúsculas, números, especiales
- Largo: 12 caracteres
- Edad: 30 días
- Nombre de la cuenta de administrador para administrar: No configurado (aquí puede especificar el nombre de la cuenta de administrador para cambiar la contraseña. De forma predeterminada, se cambia la contraseña de las cuentas de administrador integradas con SID-500);
- No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política: Activado
Asigne la política Password_Administrador_Local a la unidad organizativa Desktops.
Instalación del agente LAPS en equipos de dominio a través de GPO
Después de configurar el GPO, es hora de instalar la parte del cliente LAPS en las computadoras del dominio. El cliente LAPS se puede distribuir de diferentes formas: manualmente, a través de la tarea SCCM, un script de inicio de sesión, etc. En nuestro ejemplo, instalaremos el archivo MSI usando la función de instalación del paquete MSI en las políticas de grupo (GPSI).
- Cree una carpeta de red compartida en un servidor de archivos (o use la carpeta SYSVOL en el controlador de dominio) y copie los archivos msi de distribución LAPS en ella;
- Cree un nuevo GPO y en el Configuración de la computadora -> Políticas -> Configuración de software -> Instalación de software sección crea una tarea para instalar el paquete LAPS MSI.
Solo tiene que asignar una política a la unidad organizativa necesaria y, después del reinicio, el cliente LAPS debe instalarse en todos los equipos de la unidad organizativa de destino.
Asegúrese de que el registro Apareció una solución de gestión de contraseñas de administrador local en Programas y características en el Panel de control.
Cuando la utilidad LAPS cambia la contraseña del administrador local, se registra el evento en el registro de la aplicación (Id. De evento: 12, Fuente: AdmPwd).
También se registra el evento de guardar la contraseña en el AD (ID de evento: 13, Fuente: AdmPwd).
Así es como se ven los nuevos atributos en la pestaña Editor de atributos en las propiedades de la computadora AD.
Consejo. La hora de caducidad de la contraseña se almacena en el formato "Win32 FILETIME".
Uso de LAPS para ver la contraseña del administrador
La interfaz gráfica (GUI) de LAPS para ver las contraseñas de LAPS debe estar instalada en las computadoras del administrador.
Si inicia la herramienta y especifica el nombre de la computadora, puede ver la contraseña del administrador local y su fecha de vencimiento.
La fecha de caducidad de la contraseña se puede configurar manualmente o dejar este campo vacío y hacer clic en Colocar especificar que la contraseña ya ha caducado.
Además, puede obtener la contraseña de la computadora usando PowerShell:
Get-AdmPwdPassword -ComputerName <computername>
Si cree que las contraseñas de los administradores locales en todos los equipos de algunas unidades organizativas están comprometidas, puede generar nuevas contraseñas de administrador locales únicas para todos los equipos de la unidad organizativa con un solo comando de PowerShell. Para hacer esto, use el cmdlet Get-ADComputer:
Get-ADComputer -Filter * -SearchBase “OU=Desktops,OU=NY,OU=USA,DC=woshub,DC=com” | Reset-AdmPwdPassword -ComputerName {$_.Name}
De manera similar, puede mostrar una lista de contraseñas actuales para todas las computadoras en la OU:
Get-ADComputer -Filter * -SearchBase “OU=Desktops,OU=NY,OU=USA,DC=woshub,DC=com” | Get-AdmPwdPassword -ComputerName {$_.Name}
LAPS se puede recomendar como una solución conveniente para organizar una administración segura de contraseñas para equipos de dominio con la posibilidad de control de acceso granular a contraseñas para equipos en diferentes unidades organizativas. Las contraseñas se almacenan en los atributos de la computadora de Active Directory en texto sin formato, pero las herramientas AD integradas le permiten restringir de forma segura el acceso a ellas.
Recomendado para ti
- Este teclado profesional de 35 teclas con una sola mano con control avanzado programable te hace sentir más cómodo y crea tu propio teclado especial
- Mini portátil de 35 teclas, diseño mini que ofrece una experiencia de funcionamiento con una sola mano extremadamente simple
- Adecuado para tus manos y muñeca, simplifica el complejo procedimiento operativo, vence al rival más rápido en los juegos
- Teclado compatible con MAC, Win 2000, Win XP, Win ME, Vista, Win7, Win8, Android, Linux y más
- Brillante: retroiluminación LED, más fresco por la noche
- Bajo la tapa de esta llamativa caja RGB está el procesador AMD Ryzen 5 5500 tiene una frecuencia de reloj de alto rendimiento de 3,6 GHz y en combinación con la NVIDIA RTX 3060 con 12 GB de VRAM, DLSS y trazado de rayos, ofrece una experiencia gráfica de ensueño que hará que tu corazón se acelere.
- Gracias a los 16 GB de RAM a 3200 MHz y a la unidad SSD M.2 de 500GB, disfrutarás de los tiempos de carga más cortos y estarás siempre un paso por delante de tus rivales. Para una máxima comodidad, hemos preinstalado Windows 10 Pro en tu PCVIP y también hemos instalado una tarjeta WiFi. Sólo tienes que enchufar el PC, encenderlo y la diversión puede empezar de inmediato.
- Vas a convertirte en el mejor jugador en un tiempo récord gracias a la mejor configuración de ordenador gaming. No hay límites con nuestro innovador PC Gaming. Mejora tu experiencia de juego con el impresionante rendimiento del hardware de los PC Gaming de Ibericavip
- Rendimiento de primera clase gracias a la NVIDIA RTX 3060 con 12 GB de VRAM y ray tracing. Además, incluimos un monitor LED Full HD de 27 pulgadas, un teclado gaming RGB y un ratón gaming RGB con la mejor alfombrilla XXL
- Pantalla: Monitor Gaming Curvo 27" 165 Hz Full HD G-Sync Free Sync Compatible
- Romer-G Táctil: Los interruptores mecánicos Romer-G exclusivos convierten a Orion Spectrum en el teclado rápido de nuestra historia, una actuación de 1,5 mm permite la entrada de datos en Orion
- Velocidad y Rendimiento: El teclado con cable USB Logtiech Orion Spectrum ofrece una gran velocidad, con un 40 por ciento de durabilidad para un rendimiento optimo usado con un ratón Logitech
- RGB LIGHTSYNC: La iluminación RGB de Orion Spectrum se puede personalizar con una paleta de 16 millones de colores, la parte superior de cada tecla está iluminada para un resplandor uniforme
- Segunda Pentalla Arx: Mediante la base ajustable se pueden conectar Smartphones y tablets a Orion Spectrum, con Arx Control, los dispositivos móviles pueden mostrar información del juego en curso
- Teclas G Programables: El teclado Orion Spectrum dispone de 9 teclas G totalmente personalizables, a las que se pueden asignar comandos por perfil, colocadas para optimizar el acceso
