Para aquellos que venimos trabajando con GPOs de Windows Server desde hace bastante tiempo, sabemos que antiguamente podíamos setear la password del Administrador Local de un equipo mediante políticas; con el pasar del tiempo, Microsoft quitó la función de contraseñas a través de directivas debido a consideraciones de seguridad. Acá es donde entra en juego LAPS, pero ¿qué es esto? pues verán….
¿Qué es Microsoft LAPS?
La “Solución de contraseñas de administrador local” (LAPS) de Microsoft permite administrar las contraseñas de cuentas de administrador local para equipos unidos a un dominio. Las contraseñas se ordenan aleatoriamente y se almacenan en Active Directory (AD), protegidas por ACL, por lo que solo los usuarios válidos pueden leerlas o solicitar su restablecimiento.
¿Qué riesgo supone no implementar LAPS en una organización?
LAPS proporciona una solución para el problema de usar una cuenta local común con una contraseña idéntica en todos los equipos de un dominio. LAPS resuelve este problema al establecer en cada equipo del dominio una contraseña aleatoria rotativa y diferente para la cuenta de administrador local común.
LAPS simplifica la administración de contraseñas, al tiempo que ayuda a los clientes a implementar otros mecanismos de defensa frente a los ciberataques. En concreto, la solución mitiga el riesgo de escalado lateral que se produce cuando los clientes usan la misma combinación de cuenta y contraseña local administrativa en sus equipos. LAPS almacena la contraseña de la cuenta de administrador local de cada equipo en AD y la mantiene protegida en un atributo confidencial en el objeto de AD correspondiente del equipo. El equipo puede actualizar sus propios datos de contraseña en AD, y los administradores de dominio pueden conceder acceso de lectura a los usuarios o grupos autorizados, por ejemplo, los administradores de soporte técnico de la estación de trabajo.
¿Como implementamos LAPS en nuestra infraestructura?
Para ello requeriremos contar con los siguientes equipos:
- Controlador de Dominio
- Un equipo unido a nuestro Dominio (para este escenario utilizaré un equipo con WS2022)
- Equipos Windows Server/Equipos Clientes con Windows 10/Windows 7.
- Descargar LAPS desde el link oficial de Microsoft
¡Empecemos entonces!
- En nuestro Servidor destinado a LAPS, ejecutaremos el instalador, el asistente es bastante básico, así que lo primero que daremos será Next:
- Aceptaremos los términos y daremos click en Next:
- Nos aseguramos de marcar todos los componentes, luego click en Next:
- Daremos click en Install:
- y por último click en Finish:
Configuración de Permisos
- En nuestro Servidor de LAPS, abriremos Powershell como Administrdor y escribiremos Import-Module AdmPwd.ps:
- El próximo paso, será realizar la extensión de esquema, para ello escribiremos Update-AdmPwdADSchema:
- Debemos elegir hacía que OUs queremos que se aplique LAPS, en este caso seleccionaré dos OUs “Backup” y “Servidores”, asi que debemos setear la delegación hacia esas dos OUs (o las que ustedes elijan)
- En este caso, en mi AD cree un grupo de seguridad llamado “LAPS” en dicho grupo agregué un usuario de “soporte técnico”, así que le daremos los permisos para que dicho grupo de seguridad tenga los permisos para poder leer la clave y resetear el tiempo en LAPS (esto es opcional):
- Ejecutaremos el siguiente comando para ver los permisos en la OU de Servidores:
Template e Instalador
Hasta aquí tendremos configurado LAPS, pero ahora nos falta algo importante, la parte de AD y el despliegue de LAPS. Antes de ir a nuestro DC, debemos ir (en nuestro servidor de LAPS) a las siguientes rutas y copiar dos archivos:
- C:\Windows\PolicyDefinitions —> Copiar el archivo AdmPwd.admx
- C:\Windows\PolicyDefinitions\en-US —> Copiar el archivo AdmPwd.adml
Esos dos archivos debemos copiarlos EN LA MISMA carpeta, pero en nuestro Controlador de Dominio. Esto es para que luego nos aparezcan las opciones de LAPS en nuestras GPOs.
Hay diversas formas de desplegar LAPS, en este caso realizaremos (desde mi punto de vista) el más simple, para ello, copiaremos el instalador de LAPS en una carpeta compartida (puede ser un FS), yo utilizaré el NETLOGON del dominio:
Ya tenemos el Template y el instalador, ahora debemos prepararlo, por lo cual nos iremos a nuestro DC
GPO para Configuración y Distribución
- Crearemos una nueva GPO (el nombre es a elección de ustedes, yo le pondré “LAPS”) y lo primero que realizaremos en la edición, será configurar Software Installation agregando nuestro Instalador:
- Ahora nos iremos hacia Administrative Templates y verán que tenemos una nueva carpeta llamada LAPS, en este caso habilitaremos las siguientes 3 opciones:
dos detalles, en Password Settings, pueden cambiar la complejidad de la clave, yo personalmente la dejé por default y la opción de Name of administrator account to manage también es opcional si la habilitan, deben definir el nombre.
- Linkearemos nuestra GPO SOLO a las OU donde seteamos los permisos (en mi caso será en Backup y Servidores)
Aquí una sugerencia más, para que la GPO de LAPS impacte de forma correcta, en mi caso puntual tuve que realizar dos reinicios en los servidores donde debían impactar (recuerden que Software Installation de por si va a pedir uno)
Probando LAPS
Ahora bien, vamos a nuestro servidor donde instalamos LAPS y abriremos la aplicación de LAPS UI:
- Lo primero que haremos será escribir el nombre de un equipo (que tengamos en la OU/s que seteamos) luego le daremos click en Search:
- Como podemos observar, LAPS nos muestra la clave (según la complejidad que le hayan configurado), el tiempo de expiración de la misma (luego cambiará a otra de forma aleatoria) y abajo tenemos una opción que es la de Setear una nueva fecha de Expiración:
- Realicemos la prueba buscando otro equipo:
Como se puede ver, LAPS utiliza una clave distinta para cada equipo.
Hasta aquí la nota. Espero que les haya resultado interesante y utilicen LAPS en sus empresas 🙂