Administre la contrase├▒a del administrador local usando LAPS

Uno de los problemas más comunes que enfrentan casi todos los administradores de sistemas es administrar las contraseñas de los administradores locales.

Hay varias opciones para resolver este problema:

  1. Use una sola contrase├▒a en todas las computadoras. La contrase├▒a se puede establecer durante la implementaci├│n usando MDT o SCCM, o usando las preferencias de pol├ştica de grupo despu├ęs de la implementaci├│n. Por lo general, con este enfoque, la contrase├▒a nunca cambia, lo que significa que se filtrar├í tarde o temprano (cuando el administrador es despedido o el usuario puede espiar la contrase├▒a), mientras que la contrase├▒a comprometida da acceso a todas las PC de la organizaci├│n.
  2. Configuración única de una contraseña única en cada PC. Por lo general, ocurre con una implementación. Hay muchas opciones: desde la generación manual de una contraseña aleatoria y guardarla en un sistema de contabilidad de contraseña (Keepass, OnePassword, Excel), que termina con la generación automática de contraseña de acuerdo con un algoritmo conocido por los administradores, donde la entrada es el nombre de la PC. Conociendo el algoritmo, el administrador puede calcular la contraseña en el acto e iniciar sesión en cualquier PC. Las desventajas son aproximadamente las mismas que en la opción 1: un administrador despedido conserva la capacidad de iniciar sesión en cualquier PC, pero cuando un usuario compromete una contraseña, obtiene acceso a una sola PC y no a todas a la vez.
  3. Usando un sistema que generar├í autom├íticamente contrase├▒as aleatorias para cada PC y las cambiar├í de acuerdo con el horario establecido. Aqu├ş se excluyen las desventajas de las opciones anteriores: la contrase├▒a comprometida se cambiar├í de acuerdo con el cronograma, y ÔÇőÔÇőel administrador despedido despu├ęs de un tiempo no podr├í iniciar sesi├│n en la PC incluso si roba la base de datos de contrase├▒a v├ílida en el momento del rechazo.

Uno de estos sistemas es LAPS, cuya instalaci├│n y configuraci├│n discutiremos en este art├şculo.

Diagrama breve de la arquitectura LAPS

Vueltas


LAPS significa Local Administrator Password Solution y es el sucesor de la soluci├│n AdmPwd, que fue adquirida por Microsoft y renombrada LAPS. LAPS es gratuito y no requiere costos de infraestructura adicionales, ya que utiliza Active Directory como base de datos. El soporte est├í disponible a trav├ęs de los Servicios de Soporte Premier de Microsoft

Página oficial del producto

El autor del AdmPwd original ha desarrollado un nuevo producto, AdmPwd.E, pero la versión gratuita está limitada a 20 PC, por lo que no es adecuado para todos. El sitio oficial .

LAPS viene con una extensa documentaci├│n (solo en ingl├ęs) y generalmente deja la impresi├│n de una soluci├│n extremadamente reflexiva y confiable.

Arquitectura


El sistema consta de los siguientes componentes:

  1. Agente: extensi├│n de directiva de grupo instalada en todas las PC administradas a trav├ęs de MSI. Es responsable de generar la contrase├▒a y guardarla en el objeto AD correspondiente.
  2. M├│dulo de PowerShell. Se usa para configurar LAPS.
  3. Directorio Activo Almacena la contrase├▒a del administrador local.

Se llama al agente cada vez que se actualiza la Pol├ştica de grupo y realiza las siguientes tareas:

  • Comprueba si la contrase├▒a del administrador local ha caducado
  • Genera una nueva contrase├▒a si la actual ha expirado o si es necesario reemplazarla antes de la fecha de vencimiento
  • Cambia la contrase├▒a del administrador local.
  • Guarda la contrase├▒a en el atributo correspondiente del objeto AD
  • Almacena la fecha de caducidad de la contrase├▒a en el atributo correspondiente del objeto AD

La contrase├▒a puede ser le├şda por los administradores y tambi├ęn marcada como que requiere reemplazo la pr├│xima vez que se actualice la pol├ştica.

El diagrama de operaci├│n completo de LAPS se muestra en la siguiente imagen.

diagrama completo de la arquitectura LAPS

Instalar y configurar LAPS


Primero, instale los controles LAPS en la computadora desde la cual configuraremos.

Inicie el paquete msi e instale todas las herramientas de Managemnt, que incluyen la interfaz de usuario LAPS, el m├│dulo PowerShell y las plantillas de directivas de grupo.


Si ha configurado un repositorio centralizado para plantillas de pol├şticas de grupo, transfiera inmediatamente los archivos "Admpwd.admx" y "En-us \ AdmPwd.adml" de "% SystemRoot% \ PolicyDefinitions" a "\\ contoso.com \ SYSVOL \ contoso.com \ policy \ PolicyDefinitions ".

El siguiente paso es agregar nuevos atributos al esquema AD. Para hacer esto, abra la consola de PowerShell en nombre de una cuenta con derechos de "Administrador de esquema" y primero importe el m├│dulo con el comando "Importar m├│dulo AdmPwd.PS", y luego actualice el esquema con el comando "Actualizar-AdmPwdADSchema".





Luego debe asegurarse de que solo los administradores tengan acceso a los atributos reci├ęn creados. Esto es necesario porque las contrase├▒as se almacenan en AD de forma transparente, y el acceso a ellas est├í regulado por AD ACL. Para hacer esto, use el comando "Find-AdmPwdExtendedrights -identity <OU, donde se encuentran las cuentas de PC> | Format-Table ".



Este comando devuelve una lista de cuentas / grupos que tendr├ín acceso a las contrase├▒as almacenadas en AD. Si encuentra cuentas / grupos "redundantes", utilice la utilidad ADSIEdit para configurar correctamente los derechos de acceso. Aseg├║rese de que el permiso "Todos los derechos extendidos" no est├ę marcado para grupos que no deber├şan tener acceso a las contrase├▒as.



Si desea dar acceso a las contrase├▒as para grupos o cuentas adicionales, use el comando "Set-AdmPwdReadPasswordPermission -OrgUnit <OU, donde se encuentran las cuentas de PC> -AllowedPrincipals <Usuarios o grupos>".

El siguiente comando emite los derechos de acceso para forzar el cambio de una contrase├▒a no vencida durante la pr├│xima actualizaci├│n de la pol├ştica de grupo: "Set-AdmPwdResetPasswordPermission -Identity <OU, donde se encuentran las cuentas de PC> -AllowedPrincipals <Usuarios o grupos>"





Luego debe otorgar derechos a las propias computadoras para modificar estos atributos. Para hacer esto, use el comando "Set-AdmPwdComputerSelfPermission -OrgUnit <OU, donde se encuentran las cuentas de PC>"



El siguiente paso es configurar la Pol├ştica de grupo. Podemos controlar la complejidad y las fechas de vencimiento de las contrase├▒as cuyo nombre de cuenta cambiar├í, as├ş como activar y desactivar LAPS.







El nombre de la cuenta debe indicarse solo si es una cuenta especialmente creada. Si se trata de una cuenta cient├şfica integrada, este par├ímetro debe dejarse en "No configurado" (incluso si se cambia el nombre de la cuenta), ya que la SID conocida encontrar├í la cuenta integrada.



El siguiente paso es instalar la extensi├│n de directiva de grupo en la PC. Esto se puede asignar a pol├şticas de grupo, a SCCM u otra herramienta de implementaci├│n de aplicaciones. Cabe se├▒alar que, de manera predeterminada, el paquete msi instala solo la parte del cliente, por lo que la implementaci├│n no requiere pasar par├ímetros adicionales al instalador. Solo es necesario reiniciar la PC cuando se implementa a trav├ęs de pol├şticas de grupo.

La forma más fácil de ver su contraseña es usar la interfaz de usuario LAPS. Ingrese el nombre de la computadora en el campo apropiado y haga clic en "Buscar". Si hicimos todo correctamente, verá la contraseña en el campo correspondiente.



Conclusi├│n


Este art├şculo cubri├│ los pasos b├ísicos para implementar LAPS. Hay m├ís informaci├│n disponible en la documentaci├│n que vino con el producto. LAPS tambi├ęn tiene un medio para registrar sus acciones, que no se discuti├│ en este art├şculo, pero se describe en la documentaci├│n.

Source: https://habr.com/ru/post/440624/


All Articles