Saltar al contenido
Inicio / Seguridad / Microsoft AzureAD: Laps (Solución de contraseñas de Administrador local de Windows)

Microsoft AzureAD: Laps (Solución de contraseñas de Administrador local de Windows)

Algo súper esperado por todos los que administramos entornos Windows y, concretamente en entornos híbridos o 100% Cloud era la “integración nativa de LAPS” en Azure. Hasta la fecha esa integración como tal la teníamos en entornos On-Premises [Configurar Local Administrator Password Solution (LAPS) vía GPO en nuestro Directorio Activo], pero en Cloud acaba de liberarse en versión preview pero creo que se podría implementar en producción sin asumir muchos riesgos.

Para los que no conozcáis LAPS (espero seáis muy poquitos o ninguno), es la posibilidad de gestionar las contraseñas de los administradores locales de nuestros equipos unidos a un dominio ADDS, evitando así tener la misma contraseña en todas las cuentas de administrador local de nuestros equipos de la red. “Básicamente” disponer de un “servicio” de cambios de contraseña del administrador local de los equipos del dominio y tener su contraseña almacenada en un atributo de cada equipo. Ahora, LAPS es vital para los siguientes escenarios:

  • Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Azure Active Directory (para dispositivos unidos a Azure Active Directory)
  • Hacer una copia de seguridad de las contraseñas de cuenta de administrador local para Windows Server Active Directory (para clientes y servidores unidos a Windows Server Active Directory)
  • Hacer una copia de seguridad de las contraseñas de cuenta de DSRM en Windows Server Active Directory (para controladores de dominio de Windows Server Active Directory)
  • Hacer una copia de seguridad de las contraseñas de cuenta de administrador local en Windows Server Active Directory mediante Microsoft LAPS heredado

Si queréis más info sobre un entorno de LAPS antes de esta nueva versión, aquí os dejo este artículo que había publicado en su momento: [Configurar Local Administrator Password Solution (LAPS) vía GPO en nuestro Directorio Activo].

Para los administradores estamos manejando entornos 100% Cloud (AzureAd Join), teníamos algunas soluciones de terceros disponibles, pero nada nativo en AzureAD. Pues bien, ahora si ha llegado y os voy a explicar lo sencilla que es su configuración. Aquí os dejo la infografía que describe el proceso de la forma más sencilla posible:

Si habéis visto la infografía hay algunos requisitos que cumplir, básicamente Windows 10/11,2019/2022 con las actualizaciones de seguridad del 11 de Abril:

Por lo que, debemos actualizar nuestros equipos antes de que podamos implementar LAPS y que funcione en los equipos. Porque implementarlo podemos, luego ya poco a poco se irá pudiendo implementar según los equipos se vayan actualizando. Yo os voy a mostrar un entorno 100% Cloud, por lo que la configuración y gestión del entorno para mi es todo con AzureAD + Microsoft Intune. Dicho esto, si queremos forzar la actualización de Windows del 11 de Abril lo haremos de la siguiente forma con Intune. Para ello vamos a crearnos un perfil de actualizaciones de calidad y se lo aplicaremos a nuestros equipos:

Mientras los equipos se van actualizando, podemos continuar con la configuración la cual consta de dos paso más:

1. Habilitar LAPS en nuestro AzureAD

2. Configurar LAPS para nuestros equipos (desde el portal de administración de Intune Seguridad de los puntos de conexión | Protección de cuentas): Desde el portal de Intune debemos acceder a la sección EndPoint Security, luego a Account Protection y nos vamos a crear un perfil para Local admin password solution (Windows LAPS):

Escribimos un nombre para la directiva:

Y aquí la configuramos: (+ info Windows Local Administrator Password Solution in Azure AD (preview) y aquí más info LAPS CSP)

  • Backup directory: en donde vamos a dejar que el sistema almacene la contraseña de la cuenta de administrador, en mi caso le he puesto solo en AzureAD
  • Password Age Days: que cambie la contraseña cada 30 días
  • Administrator Account Name: yo lo dejo por defecto, de tal forma que mediante el SID de la cuenta de administador por defecto la encontrará. Si queremos hacer el cambio sobre una cuenta en concreto pues lo habilitamos y escribimos el nombre de la cuenta en cuestión
  • Password Complexity: elegimos la complejidad de contraseñas que consideremos más oportuno
  • Password Length: por defecto son 14 caracteres .. a mi me vale.
  • Post Authenticacion Actions: lo he dejado sin configurar porque se aplica la opción por defecto (Restablezca la contraseña y cierre la sesión de la cuenta administrada: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y se finalizarán las sesiones de inicio de sesión interactivas con la cuenta administrada.)
  • Post Authenticacion Reset Delay: también lo he dejado por defecto, 24 horas. Este es el tiempo a esperar después de la autenticación antes de ejecutar las acciones anteriormente elegidas:

Luego se aplica a todos los dispositivos que queráis y en cuestión de minutos a los equipos que cumplan los requisitos  ya podemos ver que ya tienen cambiada la contraseña del administrador local. Si queréis ver su contraseña podéis hacerlo tanto desde Intune como desde AzureAD, buscáis el equipo y pulsando en el testo Show podéis ver y luego copia la contraseña establecida:

Intune

AzureAD

Por defecto, solo los usuarios de los siguientes roles podrán tener acceso a las contraseñas porque se les concede el permiso device.LocalCredentials.Read.All:

  • Administrador de dispositivos en la nube
  • Administrador de Intune
  • Administrador global

Pero claramente se pueden agregar nuevos roles con estos permisos, para evitar que los técnicos de IT tengan “súper poderes”, aquí tenéis el enlace para ampliar leerlo con calma: Uso de la Solución de contraseña de administrador local (LAPS) de Windows con Azure AD (versión preliminar) – Microsoft Entra | Microsoft Learn

También comentaros que podéis cambiar la contraseña “en cualquier momento”, desde la opción de Rotate local admin password desde Intune:

Como podéis ver es muy sencillo configurarlo, es cumplir requisitos, habilitar LAPS en AzureAD y luego aplicar directiva que lo configure. Una vez aplicada la configuración, podéis acceder a alguno de los equipos e iniciar sesión con la cuenta de administrador o ver en las propiedades de la cuenta si ha sido cambiada la contraseña:

Yo creo que más fácil imposible, tener cambiar las contraseñas de todos las cuentas de administrador local en cuestión de segundos en cientos/miles de equipos .. merece la pena estos 4 minutos de configuración!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

¡Comparte!
Share This