Solución de la contraseña del administrador local

Resumen

La solución de contraseñas del administrador local (LAPS) es una forma de almacenar las contraseñas dentro de Active Directory. Los administradores de dominio tienen acceso y control sobre quién puede ver esta información, lo que garantiza que sólo los usuarios autorizados pueden acceder a las contraseñas almacenadas en el AD. LAPS es un producto de Microsoft (por lo que no se requiere ninguna descarga adicional) y puede implementarse muy rápidamente dentro de un entorno. También proporciona varias características de seguridad que son la clave de su éxito y que lo sitúan por encima de otras soluciones de gestión de contraseñas, estas características son

  • Aleatorización de las contraseñas de los administradores locales
  • Posibilidad de almacenar otra información secreta de una empresa dentro de su AD existente
  • Control de acceso y permisos ACL
  • Envío de contraseñas a través de líneas cifradas

Pre-requisitos

Directorio Activo:

  • Windows 2003 SP1 y superior
  • Máquinas gestionadas/clientes:
  • Windows Server 2016
  • x86 o x64
  • Windows Server 2012 R2 Datacenter
  • Windows Server 2012 R2 Standard
  • Windows Server 2012 R2 Essentials
  • Windows Server 2012 R2 Foundation
  • Windows 8.1 para empresas
  • Windows 8.1 Pro
  • Windows Server 2012 Datacenter
  • Windows Server 2012 Standard
  • Windows Server 2012 Essentials
  • Windows Server 2012 Foundation
  • Windows 8 para empresas
  • Windows 8 Pro
  • Windows Server 2008 R2 Service Pack 1
  • Windows 7 Service Pack 1
  • Windows Server 2008 Service Pack 2
  • Windows Vista Service Pack 2
  • Microsoft Windows Server 2003 Service Pack 2
  • Itanium NO es compatible

Herramientas de gestión:

  • .NET Framework 4.0
  • PowerShell 2.0 o superior

Configuración

Al ser un producto de Microsoft, la configuración es fácil y se acopla de forma natural a una solución de Active Directory ya existente.

El primer paso en el proceso sería descargar la extensión del lado del cliente de GPO de MSFT. El enlace se encuentra al final del documento en Fuentes Citadas. Se trata de un archivo MSI que se utilizará para instalar LAPS en los ordenadores de gestión y en los ordenadores cliente.

El segundo paso consiste en ampliar el esquema de un Directorio Activo ya existente.

Y finalmente, el último paso es la configuración de la política de grupo

Configuración del controlador de dominio

Para empezar a configurar LAPS en un controlador de dominio, seleccione el MSI descargado desde el Centro de descargas de Microsoft. Esto le llevará a través de un asistente que le ayudará con la instalación.

En la pantalla de configuración personalizada, seleccione todas las características que se instalarán en el ordenador, las necesitará todas para aprovechar al máximo LAPS.

Una vez instaladas todas las funciones en el DC, se distribuirá la herramienta a todos los equipos cliente que se necesiten para formar parte de esta solución. Esto se tratará en la sección de ordenadores cliente del documento. Los ordenadores cliente utilizarán el mismo msi que se utilizó para instalar LAPS en el DC.

Lo siguiente es importar el módulo para PowerShell en el DC. Los dos comandos que queremos ejecutar desde una ventana de PowerShell de nivel administrativo son:

Importar el módulo ADMPwd.PS

Update-AdmPwdADSchema

Esto portará algunos objetos nuevos a su esquema AD. A continuación, tendrá que configurar los equipos cliente que desea que formen parte de esta solución como capaces de escribir en el objeto AD para LAPS. Se recomienda tener los ordenadores cliente en los que se va a desplegar esto dentro de su propia OU. Esta actualización también se hace a través de PowerShell, el comando es:

Set-AdmPwdComputerSelfPersmission -OrgUnit '[target OU]'

Si la actualización se realiza con éxito, debería ver el icono "estado" surgen como "delegado".

Para saber quién tiene permisos para ver las contraseñas de los administradores locales, utilice el comando

Find-AdmPwdExtendedRights -Identity '[target OU]'

Para añadir usuarios adicionales que puedan ver la contraseña del administrador local, utilice el siguiente comando (se recomienda establecer esto en grupos de administradores en lugar de cuentas de usuario individuales):

Set-AdmPwdComputerPersmission -OrgUnit '[target OU]' -AllowedPrincipals [Group 1], [Group 2], [etc.]

Si la actualización se realiza con éxito, debería ver el icono "estado" surgen como "delegado".

Ordenadores cliente

En primer lugar, usted querrá empujar el software a los equipos cliente en los que desea la gestión de contraseñas. Es más fácil hacerlo a través de GPO a una OU de ordenadores. Se recomienda hacer esto a través de la creación de una carpeta compartida en el DC o unidad de red, concediendo a los equipos del lado del cliente el acceso de lectura a esa carpeta, y colocando el mismo archivo MSI que utilizamos para instalar el software en el DC a la carpeta.

En segundo lugar, crearemos la GPO que empujará el software a los ordenadores cliente. Abra la Administración de Políticas de Grupo en el DC, seleccione el dominio con el que está trabajando y cree una nueva política para el despliegue de LAPS. Seleccione para editar la política, navegue hasta la configuración del equipo -> Políticas -> Configuración de software -> Instalación de software

Seleccione nuevo -> paquete para desplegar dentro del editor. Esto abrirá un cuadro de diálogo de archivos, busque donde está el archivo compartido que creamos en el paso anterior y añádalo a esta instalación. Le aparecerá un cuadro que le preguntará cómo quiere desplegar el software, seleccione "Avanzado".

En el nuevo menú seleccione la opción "Despliegue" y marque la casilla que dice que hay que desinstalar cuando el proyecto queda fuera de alcance.

Bajo la "Seguridad" asegúrese de conceder a los ordenadores de los clientes permisos de lectura para el software.

Guarde la política y despliéguela en los ordenadores cliente.

Lo último que tendrá que configurar para los equipos cliente será otro GPO que manipule la configuración de LAPS para esos equipos. Al igual que antes, navegue hasta la Administración de Políticas de Grupo en el DC. Esta política estará vinculada a la OU del grupo con el que estamos trabajando. Haz clic con el botón derecho del ratón en la OU que contiene los ordenadores de destino y selecciona "Cree un GPO en este dominio y vincúlelo aquí". Una vez creada la política, haga clic con el botón derecho del ratón sobre ella y seleccione "editar". Vaya a Configuración del equipo -> políticas -> Templo administrativo -> LAPS.

Habrá cuatro ajustes en este archivo. Los dos que nos tienen que preocupar son "Activar la gestión de la contraseña del administrador local" y "Configuración de la contraseña". Dentro de la primera configuración mencionada simplemente seleccione "Activado" en el botón de radio de la izquierda. En la siguiente configuración mencionada, seleccione también "Activado". Si hay algún requisito de contraseña que sea necesario, se puede modificar en la casilla inferior izquierda.

Uso de LAPS

El uso de LAPS es muy simple y fácil. En una máquina con acceso para leer la contraseña, abra un PowerShell de nivel administrativo. Ejecute este comando:

Get-AdmPwdPassword -ComputerName [Equipo de destino]

Esto mostrará la contraseña de los ordenadores en PowerShell. Alternativamente, hay un cliente GUI que instalamos al principio de esto. Para usar la GUI navegue hasta ProgramFiles -> LAPS -> AdmPwd.UI. Esto abrirá la GUI como se muestra a continuación:

Desde aquí podemos buscar el ordenador de destino así como cambiar las fechas de caducidad de las contraseñas si es necesario.

Fuentes citadas

Enlace de descarga de la extensión del lado del cliente de Microsoft LAPS

https://www.microsoft.com/en-us/download/details.aspx?id=46899

Dejar una respuesta

Debes estar conectado para publicar un comentario.

es_CRSpanish