El compromiso de la contraseña es una de las principales causas de las infracciones de seguridad. La Solución de Contraseña de Administrador Local (LAPS) puede ayudar a los administradores a minimizar las fugas de contraseñas y detener esas brechas en sus registros.
Puede implementar Windows en dispositivos de muchas maneras a través de varias soluciones de primera y tercera parte. Pero mientras que los distintos proveedores ofrecen formas similares de obtener sus imágenes basadas en Windows en los equipos, muchas de esas soluciones ofrecen poco control sobre las cuentas locales y, más específicamente, sobre la cuenta de administrador local.
Más información sobre Windows
Un problema persistente es que la contraseña de administrador local se suele copiar en todos los dispositivos en los que se implementa la imagen. Dado que la cuenta de Administrador local puede controlar todo lo que se puede realizar en un ordenador, si la contraseña única está comprometida en cualquier sistema, todos los sistemas son susceptibles de comprometerse.
Para combatir esto de una manera segura, Microsoft desarrolló LAPS como un medio de administrar la contraseña de la cuenta del Administrador almacenada en cada computadora, aprovechando el Directorio Activo y la Política de Grupo para forzar la creación de una contraseña aleatoria para cada dispositivo y su escritura en un atributo almacenado en la cuenta AD del objeto de la computadora. Para mayor seguridad, la contraseña aleatoria se cambia automáticamente después de un período de tiempo especificado.
Para implementar con éxito LAPS, deberá cumplir con estos requisitos:
La gestión de LAPS es un proceso sencillo una vez realizada la instalación inicial. Antes de que se pueda configurar nada, se debe ampliar el esquema AD. Afortunadamente, hay un script PowerShell incorporado que permitirá a los administradores de esquemas realizar esta tarea de forma sencilla. Una vez extendido el esquema, AD se preparará con los atributos adecuados para almacenar las contraseñas de LAPS a medida que se generan y se vuelven a escribir en Active Directory.
La importación de la plantilla ADMX incluida en la Política de grupo añadirá las políticas necesarias para gestionar el núcleo de la política de contraseñas en LAPS, incluyendo la receta de la contraseña y la caducidad. Una vez importadas las políticas, pueden configurarse para satisfacer las necesidades de su organización y aplicarse a los dispositivos a los que desea aplicar las políticas LAPS.
Una vez que las políticas se hayan replicado en el dominio, los clientes recibirán la política y LAPS generará una contraseña aleatoria de acuerdo con la receta configurada en GPO y escribirá la contraseña recién creada en el atributo ms-mcs-AdmPwwd, que es visible sólo para los administradores de dominio de forma predeterminada, mientras que ms-mcs-AdmPwdExpirationTime almacena la marca de tiempo de expiración.
Boletín semanal de Microsoft
Conviértase en un experto en Microsoft de su empresa con la ayuda de estos tutoriales de Windows y Office y de los análisis de nuestros expertos sobre los productos empresariales de Microsoft. Entregado Lunes y Miércoles
…
Tu opinión
¿Cómo gestiona su organización las contraseñas de administrador locales? ¿Qué procedimientos han funcionado mejor (o no han funcionado en absoluto)? Comparta sus historias con otros miembros de ConsejoTecnologico.com en la sección de comentarios.