Local Administrator Password Solution (LAPS) – Parte 1

Cada equipo miembro de un dominio de Windows, sigue albergando una base de datos de usuarios local, SAM (Security Accounts Manager Database), la cual contiene las cuentas de usuario y grupos locales.

Cada uno de estos equipos, estaciones de trabajo o servidores, tienen una cuenta de Administrador local, sea la cuenta por defecto, o en caso de estar ésta deshabilitada, una cuenta de usuario creada a tal propósito.

Como administradores sabemos que debemos evitar siempre que sea posible los inicios de sesión como administrador o el uso de este tipo de cuentas. A veces no es posible, mayoritariamente  por motivo de aplicaciones antiguas que requieren de una sesión con privilegios de administrador.

Desde el punto de vista de seguridad, hay que recordar que una cuenta de usuario no es más que un contexto de seguridad a través del cual se accede a un sistema de ficheros y se ejecutan aplicaciones. De ahí que una de las principales recomendaciones en cuanto a seguridad es que no trabajemos desde sesiones iniciadas con cuentas de administrador.

Por ejemplo, si iniciamos una aplicación como Word, o Excel, éstas se ejecutan en un contexto de seguridad del usuario Administrador. Pero lo mismo sucederá con cualquier virus, malware etc.. que se ejecute en nuestro equipo. Lo hará con credenciales de administrador y ejecutar todas sus acciones sin ninguna restricción.

Por otra parte, aunque podamos evitar que se utilicen este tipo de cuentas para iniciar sesión, son necesarias para realizar tareas administrativas en los equipos, y como toda buena práctica de seguridad estarán protegidas por un password.

En una red estándar, habitualmente cada una de las cuentas de Administrador local en todos los equipos suele tener la misma contraseña. Imaginemos que tenemos una empresa con 4000 equipos, cada uno de ellos con su cuenta de administrador local, y que todas tienen el mismo password. Esto supone inherentemente un problema de seguridad. Tenemos 4000 puntos de fuga.  Con que se explote uno, se exponen todas las cuentas de administrador local de cualquiera de nuestros equipos, pudiéndose utilizar para realizar cualquier actividad maliciosa en cualquiera de ellos.

La solución, que por cierto nos sugerirá cualquier auditoría, será que los passwords para la cuenta del administrador local sean distintos en cada equipo.

Evidentemente la carga administrativa para este cometido es ingente y prácticamente imposible de solucionar si debemos realizarla manualmente.

Aquí es donde entra LAPS.

Local Administrator Password Solution proporciona un repositorio central para passwords de administradores locales en equipos miembros del dominio.

Realiza una gestión automática de la creación y mantenimiento de todos los passwords de las cuentas de administrador local de todos los equipos de nuestro dominio. Cabe decir que no es obligatorio administrar todos los equipos del dominio, que se puede, sino los que nos parezcan convenientes.

Los beneficios principales de LAPS son:

• Los passwords de los administradores locales son únicos en cada equipo gestionado por LAPS
• Los passwords de los administradores locales son aleatorios y se cambian regularmente
• LAPS almacena los passwords en ADDS
• El acceso a los passwords se controla mediante permisos
• Los passwords obtenidos por LAPS se transmiten al cliente de forma cifrada

Requisitos de LAPS

• LAPS funciona en todas las versiones de sistemas operativos Windows tanto cliente como servidor sean en versiones x86 o x64, siempre que sean miembros de un dominio
• El nivel funcional de dominio debe ser al menos Windows Server 2003
• LAPS requiere de una extensión del esquema de Active Directory. Dicha extensión puede realizarse mediante el comando de PowerShell Update-AdmPwdADSchema, incluido en el módulo de PowerShell disponible tras la instalación de LAPS
• Debe instalarse el cliente LAPS en los equipos cliente y servidores para los cuales queremos gestionar el password del administrador local. Dicho cliente se puede configurar desde GPO
• LAPS requiere de .NET Framework 4.0 y PowerShell 2.0 o superior en cada equipo para el cual se va a gestionar el password de la cuenta de administrador local.

En los siguientes artículos veremos cómo funciona LAPS, el ciclo gestión de passwords y una pequeña guía para mostrar su puesta en marcha en un dominio de Windows.