Proteja las contraseñas de las computadoras unidas al dominio con la solución de contraseña de administrador local de Windows
Una de las mejores formas de proteger su red es suponer que no puede proteger su red por completo y que, en algún momento, un atacante la pondrá en peligro: este enfoque de «asumir una infracción» le obliga a proteger los activos de su red. — — especialmente objetivos de alto valor como servidores de dominio.
Idealmente, cuando necesite ejecutar tareas administrativas que requieran privilegios elevados, siempre inicie sesión en el servidor con una cuenta de dominio, porque entonces puede usar reglas de contraseña para administrarlas. Pero esto no se aplica a la solución de problemas de una computadora que ha perdido su conexión con la red o el dominio; de hecho, incluso las computadoras unidas a un dominio a menudo tienen una cuenta de administrador local. Para simplificar las cosas para los equipos de TI ocupados, la contraseña de estas cuentas suele ser la misma para todas estas máquinas, pero suele ser una contraseña más débil que es fácil de recordar y nunca cambia.
Mirar: Violación de contraseña: por qué la cultura popular y las contraseñas no se pueden mezclar (PDF gratuito) (República tecnológica)
Esto se debe a que el cambio de contraseñas debe hacerse de forma manual e individual, y debe encontrar una manera para que todos conozcan las contraseñas seguras únicas y actualizadas para cada servidor sin tener que guardar esas contraseñas en algún lugar donde los atacantes también puedan encontrarlas, como contraseñas Hoja de cálculo XLS.
La solución de contraseña de administrador local es una herramienta que Microsoft ha proporcionado desde 2015 para solucionar este problema. Utiliza su política de complejidad de contraseñas para generar contraseñas seguras únicas para la cuenta de administrador local en cada computadora de su dominio, las almacena en su Active Directory y las reemplaza automáticamente con nuevas contraseñas, nuevamente utilizando su estrategia de edad de contraseña. La contraseña predeterminada es una contraseña de 14 caracteres que cambia cada 30 días, pero puede elegir contraseñas más largas con reglas específicas como números, letras mayúsculas y caracteres especiales, diferentes horarios de cambio y puede forzar cambios en sistemas individuales sin iniciar sesión.
Siempre que sean parte del grupo de seguridad correcto en AD, TI puede usar los comandos de PowerShell o las herramientas de GUI de LAPS para recuperar las contraseñas que necesitan para ejecutar tareas administrativas, pero debido a que las contraseñas están protegidas por una lista de acceso por atributo, los usuarios normales no puedo verlos a estos detalles. Incluso si un atacante lograra ingresar a un servidor protegido por LAPS, incluso si ejecutara algo como la herramienta LAPS o una herramienta de administración remota del servidor, no podría obtener su contraseña de administrador de AD, y mucho menos leer las contraseñas. de otros sistemas.
LAPS está integrado y listo para funcionar
Si bien LAPS es útil, siempre debe instalarse en cada computadora, junto con las extensiones del lado del cliente para los módulos de Política de grupo y PowerShell, y también debe agregar una plantilla ADMX que amplíe su esquema AD con nuevas propiedades para almacenar contraseñas y Caducidad de contraseña. marca de tiempo para cada computadora. Esto puede hacer que los administradores inexpertos piensen que han implementado LAPS en todas las máquinas cuando en realidad solo están protegiendo la cuenta del administrador.
Ahora, Microsoft finalmente está integrando LAPS en Windows 11 y la próxima versión de Windows Server: las versiones preliminares son parte de Windows 11 Insider Preview Build 25145 y Windows Server Preview Build 25151.
Sin embargo, ya no verá la aplicación LAPS en las PC administradas: ahora puede usarla a través de PowerShell (y el Editor de políticas de grupo). Esto puede ser algo bueno, ya que las fuentes en aplicaciones bastante antiguas pueden tener dificultades para distinguir entre una I mayúscula y una l minúscula, y muchos administradores suelen copiar contraseñas y pegarlas en el Bloc de notas. Si está acostumbrado a usar LAPS con PowerShell, algunos comandos tienen nombres nuevos.
Todavía necesita actualizar su esquema de AD, pero puede hacerlo ejecutando el cmdlet Update-LapsADSchema en el nuevo módulo LAPS PowerShell que anteriormente era Update-AdmPwdADSchema. También debe configurar permisos para estas propiedades para otorgar a los usuarios y grupos autorizados permiso para ver las contraseñas almacenadas, ejecutar el cmdlet Set-LapsADComputerSelfPermission en las computadoras que desea administrar y crear una directiva de grupo con la configuración de administración de contraseñas deseada.
Encontrará todas las configuraciones en el Editor de políticas de grupo en Configuración de la computadora > Plantillas administrativas > Sistema > LAPS. Comience agregando un nuevo objeto de política de grupo LAPS, habilite la configuración Configurar directorio de copia de seguridad de contraseña y haga que el almacén de copia de seguridad sea Active Directory.
Si no desea esperar el intervalo de actualización de GPO habitual, puede ejecutar el comando gpupdate /target:computer /force o usar el cmdlet de PowerShell Invoke-LapsPolicyProcessing para generar y respaldar nuevas contraseñas, puede usar el cmdlet Get-LapsADPassword .
Verá en el registro de eventos cuando se haya almacenado la contraseña. Este nuevo registro de eventos es una mejora con respecto al enfoque anterior bastante ruidoso para el registro y la auditoría, que a menudo requería soluciones alternativas, como enviar eventos a la tienda.
Nuevas funciones LAPS
Hay algunas opciones nuevas y útiles en LAPS, como la capacidad de restablecer la contraseña del administrador, reiniciar la computadora o cerrar la sesión de la cuenta del administrador después de que el administrador inicie sesión y realice cambios, pero no inmediatamente. No desea permitir que la computadora se ejecute con credenciales elevadas en caso de que se infecte, por lo que la política de acción posterior a la autenticación se limpia automáticamente. Tampoco desea que la máquina que está utilizando se cierre o se reinicie mientras está solucionando problemas, por lo que puede establecer un período de gracia para limpiar después de unas horas.
No necesita preocuparse por los trabajadores remotos que usan una cuenta de administrador local, ya que a menudo pierden el acceso si no se conectan cuando LAPS está configurado para rotar contraseñas: las contraseñas solo se cambian cuando la PC puede acceder al controlador de dominio.
Ahora también puede configurar el nombre de la cuenta de administrador local que desea que LAPS administre.
Inicialmente, Microsoft decidió no encriptar las contraseñas de administrador que LAPS almacena en AD debido a la complejidad de los esquemas de encriptación de administración del administrador y la suposición de que AD generalmente es lo suficientemente seguro para proteger las contraseñas. Si está buscando una defensa en profundidad, ahora puede optar por cifrar esas contraseñas y elegir qué usuarios y grupos pueden descifrarlas.
Para esto, debe tener un controlador de dominio compatible con Windows Server 2023 para la administración de acceso privilegiado necesaria, aunque puede ejecutar versiones posteriores de Windows Server). Si activa la directiva de grupo Habilitar cifrado de contraseña con una configuración de controlador de dominio anterior que no puede manejar el cifrado, no se guardarán en absoluto.
Con protección de cifrado adicional, ahora puede usar LAPS para manejar otros tipos de contraseñas de cuenta, así como administradores locales, específicamente contraseñas de administrador de modo de restauración de servicios de directorio, que le permiten iniciar controladores de dominio en un modo especial que se puede reparar o restaurar Active Directory. . La contraseña de DSRM que configuró cuando promocionó por primera vez el servidor a un controlador de dominio es muy fuerte y rara vez se usa, lo que la convierte en una credencial que probablemente no considerará hasta que tenga una emergencia.
A partir de Windows Server 2008, ha podido sincronizar la contraseña de administrador de DSRM con una cuenta de usuario de dominio, pero debe hacerlo manualmente mediante el comando NTDSUTIL. Cuando configura la política de grupo Habilitar copia de seguridad de contraseña de cuenta DSRM, LAPS puede almacenar contraseñas y rotarlas periódicamente, pero debe habilitar el cifrado.
Otra nueva opción útil que requiere cifrado le permite elegir cuántas contraseñas anteriores almacena cada computadora en AD. Si necesita revertir una máquina utilizando una copia de seguridad realizada antes de que LAPS rotara la contraseña, no podrá recuperar la contraseña de administrador anterior de AD (si se ha actualizado desde entonces) a menos que también tenga una copia de seguridad de AD del mismo período. En este caso, necesita una herramienta como el conjunto de herramientas de diagnóstico y recuperación de Microsoft para recuperar la computadora. Ahora puede configurar el tamaño de su historial de contraseñas encriptadas para que coincida con la cantidad de contraseñas antiguas que mantiene en su política de respaldo: si mantiene seis meses o un año de respaldos para su computadora, puede estar seguro de que está almacenando ese número. contraseñas también.
Pero el mayor cambio con LAPS es que ya no está limitado a usar un AD local para almacenar contraseñas.si estás usando Publicidad azulpodrá configurarlo como un almacén de respaldo para contraseñas, aunque actualmente solo está disponible para algunas organizaciones en el programa Windows Insiders.
