En este artículo, veremos cómo administrar las contraseñas de administrador local en computadoras unidas a un dominio utilizando la herramienta oficial de Microsoft: VUELTAS (Solución de contraseña de administrador local).

La cuestión de la gestión de contraseñas para las cuentas integradas en las computadoras del dominio es uno de los aspectos de seguridad más importantes que requieren la atención de un administrador del sistema. De hecho, no debe permitir el uso de las mismas contraseñas de administrador local en todas las computadoras del dominio. Existen muchos enfoques para la administración de cuentas de administrador local en un dominio, desde deshabilitarlas por completo (no muy conveniente) hasta administrarlas mediante scripts de inicio de sesión de GPO o crear sus propios sistemas de administración de contraseñas.

Anteriormente, las Preferencias de directiva de grupo (GPP) se usaban a menudo para cambiar las contraseñas de administrador local en computadoras unidas a un dominio. Sin embargo, más tarde se encontró una vulnerabilidad seria en el GPP, que permite a cualquier usuario de dominio descifrar una contraseña almacenada en el archivo de texto en el directorio SYSVOL en los controladores de dominio de AD (lo hemos contado en el artículo Por qué no debe establecer contraseñas de administrador local utilizando las preferencias de la política de grupo). En mayo de 2014, Microsoft lanzó una actualización de seguridad (MS14-025 - KB 2962486), que deshabilitó por completo la función de establecer una contraseña de usuario local mediante GPP.

Herramienta LAPS: Solución de contraseña de administrador local

Importante. Anteriormente, la utilidad LAPS se llamaba AdmPwd, pero en mayo de 2015, Microsoft lanzó una versión oficial de AdmPwd llamada LAPS, transfiriéndola así de un script de terceros a una solución con soporte oficial.

La VUELTAS (Solución de contraseña de administrador local) le permite controlar y administrar de forma centralizada las contraseñas de administrador en todos los equipos del dominio y almacenar la contraseña del administrador local y su fecha de cambio directamente en los objetos de Active Directory del tipo de equipo.

Las funciones de LAPS se basan en Extensión del lado del cliente de directiva de grupo (CSE) y un pequeño módulo que se instala en las estaciones de trabajo. Esta herramienta se utiliza para generar una contraseña de administrador local única (para SID - 500) en cada computadora del dominio. Una contraseña de administrador se cambia automáticamente en un período de tiempo determinado (de forma predeterminada, cada 30 días). El valor de la contraseña de administrador local actual se almacena en el atributo confidencial de las cuentas de la computadora en Active Directory, y los permisos de acceso para ver este valor de atributo están regulados por los grupos de seguridad de AD.

Puedes descargar LAPS y su documentación aquí: https://www.microsoft.com/en-us/download/details.aspx?id=46899

La distribución LAPS está disponible en dos versiones de archivos MSI de instalación: para 32 bits (LAPS.x86.msi) y 64 bits (LAPS.x64.msi) sistemas.

La arquitectura LAPS consta de 2 partes. El módulo de gestión está instalado en la computadora del administrador y la parte del cliente está instalada en servidores y PC en los que debe cambiar regularmente la contraseña del administrador local.

Consejo. Antes de implementar LAPS en el dominio de producción, te recomendamos que lo pruebes en un entorno de prueba, ya que al menos necesitarás extender el esquema de AD (irreversible).

Ejecute el archivo de la utilidad MSI en la computadora del administrador, seleccione todos los componentes que se instalarán (se requiere al menos .Net Framework 4.0 - Cómo verificar qué versión de .Net está instalada). El paquete consta de dos partes:

  • Extensión AdmPwd GPO - El ejecutable LAPS, que se instala en los equipos cliente, genera y guarda la contraseña de administrador en el AD de acuerdo con la política configurada;
  • VUELTAS Herramientas administrativas:
    1. IU de cliente gordo - herramienta para ver la contraseña del administrador;
    2. Módulo de PowerShell gestionar LAPS;
    3. Plantillas de editor de GPO - plantillas administrativas para el editor de GPO.

Funciones de LAPS

La configuración de LAPS es muy fácil y no debería causar ningún problema.

Preparación del esquema de Active Directory para la implementación de LAPS

Antes de implementar LAPS, debe extender el esquema de Active Directory para agregar dos nuevos atributos de la clase Computer.

  • ms-MCS-AdmPwd - contiene la contraseña del administrador local en un texto sin formato;
  • ms-MCS-AdmPwdExpirationTime - almacena la fecha en que expira la contraseña.

Para extender el esquema de AD, abra PowerShell e importe el módulo Admpwd.ps:

Import-module AdmPwd.ps

Módulo de importación AdmPwd.ps

Luego, amplíe el esquema de Active Directory (necesitará privilegios de administrador de esquema):

Update-AdmPwdADSchema

Update-AdmPwdADSchema

Como resultado, se agregan dos nuevos atributos a los objetos de Computadora.

Configuración de permisos para atributos de AD LAPS

La contraseña de administrador se almacena en los atributos de Active Directory como texto sin formato, el acceso está restringido por el atributos de AD confidenciales mecanismo (compatible desde Windows 2003). El atributo MS-MCS-AdmPwd puede ser leído por cualquier usuario de dominio con el "Privilegio de todos los derechos extendidos. Los usuarios y grupos con este permiso pueden leer cualquier atributo de AD confidencial, incluido ms-MCS-AdmPwd. Dado que no queremos que nadie más que el administrador del dominio (y / o el equipo de soporte del HelpDesk) vea las contraseñas de las computadoras, tenemos que limitar la lista de grupos con permisos de lectura en estos atributos.

Con el cmdlet Find-AdmPwdExtendedRights, puede obtener la lista de cuentas y grupos que tienen estos permisos en la OU con el nombre Desktops:

Find-AdmPwdExtendedRights -Identity Desktops | Format-Table ExtendedRightHolders

Find-AdmPwdExtendedRights

Como puede ver, solo el Dominio Administradores grupo tiene los permisos de lectura sobre los atributos confidenciales.

Si necesita denegar el acceso para leer estos valores de atributo para ciertos grupos o usuarios, haga lo siguiente:

  • Abre el ADSIEditar herramienta y conectarse al contexto de nomenclatura predeterminado;ADSIEditar
  • Expanda el árbol de dominios, busque la unidad organizativa necesaria (en nuestro ejemplo, es Desktops), haga clic con el botón derecho y seleccione Propiedades;Propiedades de escritorios de OU
  • Entonces ve al Seguridad pestaña y haga clic enAvanzado -> Agregar botón. En el Seleccionar principal sección, especifique el nombre del grupo / usuario al que desea restringir los permisos (por ejemplo, dominio Equipo de soporte); Derechos ampliados de objeto
  • Desmarca la casilla "Todos los derechos ampliados " y guarde los cambios.

Haga lo mismo para todos los grupos para los que desee restringir la visualización de la contraseña de administrador local.

Consejo. Tendrá que restringir los permisos de lectura en todas las unidades organizativas, contraseñas de computadora en las que LAPS administrará.

Luego, debe otorgar permisos para que las cuentas de la computadora modifiquen sus propios atributos (SELF), porque los valores de ms-MCS-AdmPwd y ms-MCS-AdmPwdExpirationTime se cambian en la cuenta de la computadora. Usa otro cmdlet Set-AdmPwdComputerSelfPermission.

Para otorgar permiso a las computadoras de la unidad organizativa de escritorio para actualizar los atributos extendidos, ejecute este comando:

Set-AdmPwdComputerSelfPermission -OrgUnit Desktops
Set-AdmPwdComputerSelfPermission

Concesión de permisos para ver la contraseña de LAPS

El siguiente paso es otorgar a los usuarios y grupos los permisos para leer las contraseñas de administrador local, almacenadas en Active Directory. Por ejemplo, desea otorgar permisos de lectura de contraseña a los miembros del grupo AdmPwd:

Set-AdmPwdReadPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

Set-AdmPwdReadPasswordPermission

Además, puede permitir que un determinado grupo de usuarios restablezca las contraseñas de la computadora (en este ejemplo, se las asignamos al mismo grupo: AdmPwd):

Set-AdmPwdResetPasswordPermission -OrgUnit Desktops -AllowedPrincipals AdmPwd

Set-AdmPwdResetPasswordPermission

¿Cómo configurar las opciones de directiva de grupo de LAPS?

Luego, debe crear un nuevo objeto de GPO y vincularlo a la unidad organizativa que contiene las computadoras en las que desea administrar las contraseñas de administrador local.

Para una fácil administración de GPO, puede copiar los archivos de plantilla administrativa de LAPS. (% WINDIR% PolicyDefinitions AdmPwd.admx y% WINDIR% PolicyDefinitions en-US AdmPwd.adml) al Almacén central de políticas de grupo - \ woshub.com Sysvol Policies PolicyDefinition.

Cree una política con el nombre Password_Administrador_Local usando el siguiente comando:

Register-AdmPwdWithGPO -GpoIdentity: Password_Administrador_Local

Registro-AdmPwdWithGPO

Abra esta política en la Consola de administración de políticas de dominio (gpmc.msc) y vaya a la siguiente sección de GPO: Configuración de la computadora -> Plantillas administrativas -> LAPS.

Configuración de LAPS GPO

Como podemos ver, hay 4 configuraciones personalizables. Configúrelos como se muestra a continuación:

  • Habilitar la gestión de contraseñas de administrador local: Activado (habilita la política de administración de contraseñas de LAPS);
  • Configuración de contraseña: Activado - la política establece la complejidad, la longitud y la antigüedad de la contraseña (similar a los requisitos de la política de contraseñas de usuarios de Active Directory);
    • Complejidad: Letras grandes, minúsculas, números, especiales
    • Largo: 12 caracteres
    • Edad: 30 días
  • Nombre de la cuenta de administrador para administrar: No configurado (aquí puede especificar el nombre de la cuenta de administrador para cambiar la contraseña. De forma predeterminada, se cambia la contraseña de las cuentas de administrador integradas con SID-500);
  • No permita que el tiempo de caducidad de la contraseña sea superior al requerido por la política: Activado

Configuración de GPO de contraseña de administrador de LAPS

Asigne la política Password_Administrador_Local a la unidad organizativa Desktops.

Instalación del agente LAPS en equipos de dominio a través de GPO

Después de configurar el GPO, es hora de instalar la parte del cliente LAPS en las computadoras del dominio. El cliente LAPS se puede distribuir de diferentes formas: manualmente, a través de la tarea SCCM, un script de inicio de sesión, etc. En nuestro ejemplo, instalaremos el archivo MSI usando la función de instalación del paquete MSI en las políticas de grupo (GPSI).

  1. Cree una carpeta de red compartida en un servidor de archivos (o use la carpeta SYSVOL en el controlador de dominio) y copie los archivos msi de distribución LAPS en ella;
  2. Cree un nuevo GPO y en el Configuración de la computadora -> Políticas -> Configuración de software -> Instalación de software sección crea una tarea para instalar el paquete LAPS MSI.

instalar LAPS.msi a través de GPO

Tenga en cuenta que existen versiones x86 y x64 de LAPS. Para instalar el paquete en la versión apropiada de Windows, puede crear 2 políticas LAPS independientes con filtros WMI GPO para las ediciones x86 y x64 de Windows.

Solo tiene que asignar una política a la unidad organizativa necesaria y, después del reinicio, el cliente LAPS debe instalarse en todos los equipos de la unidad organizativa de destino.

Asegúrese de que el registro Apareció una solución de gestión de contraseñas de administrador local en Programas y características en el Panel de control.

Solución de gestión de contraseñas de administrador local

Cuando la utilidad LAPS cambia la contraseña del administrador local, se registra el evento en el registro de la aplicación (Id. De evento: 12, Fuente: AdmPwd).

EventID 12 AdmPwd - cambio de contraseña

También se registra el evento de guardar la contraseña en el AD (ID de evento: 13, Fuente: AdmPwd).

Event ID13 AdmPwd - guardar contraseña en AD

Así es como se ven los nuevos atributos en la pestaña Editor de atributos en las propiedades de la computadora AD.

Almacén de contraseñas de administrador local en Active Directory

Consejo. La hora de caducidad de la contraseña se almacena en el formato "Win32 FILETIME".

Uso de LAPS para ver la contraseña del administrador

La interfaz gráfica (GUI) de LAPS para ver las contraseñas de LAPS debe estar instalada en las computadoras del administrador.

AdmPwdUI

Si inicia la herramienta y especifica el nombre de la computadora, puede ver la contraseña del administrador local y su fecha de vencimiento.

UI de LAPS

La fecha de caducidad de la contraseña se puede configurar manualmente o dejar este campo vacío y hacer clic en Colocar especificar que la contraseña ya ha caducado.

Además, puede obtener la contraseña de la computadora usando PowerShell:

Get-AdmPwdPassword -ComputerName <computername>

Get-AdmPwdPasswordSi cree que las contraseñas de los administradores locales en todos los equipos de algunas unidades organizativas están comprometidas, puede generar nuevas contraseñas de administrador locales únicas para todos los equipos de la unidad organizativa con un solo comando de PowerShell. Para hacer esto, use el cmdlet Get-ADComputer:

Get-ADComputer -Filter * -SearchBase “OU=Desktops,OU=NY,OU=USA,DC=woshub,DC=com” | Reset-AdmPwdPassword -ComputerName {$_.Name}

De manera similar, puede mostrar una lista de contraseñas actuales para todas las computadoras en la OU:

Get-ADComputer -Filter * -SearchBase “OU=Desktops,OU=NY,OU=USA,DC=woshub,DC=com” | Get-AdmPwdPassword -ComputerName {$_.Name}

LAPS se puede recomendar como una solución conveniente para organizar una administración segura de contraseñas para equipos de dominio con la posibilidad de control de acceso granular a contraseñas para equipos en diferentes unidades organizativas. Las contraseñas se almacenan en los atributos de la computadora de Active Directory en texto sin formato, pero las herramientas AD integradas le permiten restringir de forma segura el acceso a ellas.

Recomendado para ti

Bestseller No. 1
Hp Elite 8300 - Ordenador de sobremesa + Monitor 24'' (Intel Core i7-3770, 8GB de RAM, Disco de 240 SSD+ 500GB HDD, Lector DVD, WiFi,Windows 10 Pro 64) (Reacondicionado)
  • Procesador Intel Core i7-3770 - 3,40 GHz
  • Monitor 24" Reacondicionado con altavoces integrados, Estado excelente.
  • Almacenamiento de 240GB SSD+500GB HDD
  • Memoria RAM 8GB DDR3
  • Sistema Operativo: Windows 10 PRO
Bestseller No. 2
The Office
  • Amazon Prime Video (Video on Demand)
  • Steve Carell, Rainn Wilson, John Krasinski (Actors)
  • Bryan Gordon (Director)
Bestseller No. 3
El catcher espía
  • Amazon Prime Video (Video on Demand)
  • Paul Rudd, Jeff Daniels, Sienna Miller (Actors)
  • Ben Lewin (Director)