Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
5 consejos principales para la solución de contraseñas de administrador local (LAPS)

5 consejos principales para la solución de contraseñas de administrador local (LAPS)

Dec 2, 2021

La cuenta de administrador local de Windows es un objetivo codiciado por hackers y malware. Potencialmente pueden ocurrir muchas cosas malas si un hacker logra vulnerar la cuenta de administrador local de uno de tus servidores.

Suelen ocurrir cosas terribles cuando alguien descarga una cepa de malware malicioso utilizando también la cuenta de administrador. La magnitud de estos problemas se amplifica aún más si se usa la cuenta de administrador predeterminada para cada máquina similar y todas usan la misma contraseña.

Puedes tener la contraseña más compleja del mundo, pero una vez que se ve comprometida en una máquina, es temporada abierta para todos los demás dispositivos que usan las mismas credenciales de administrador local.

Por supuesto, podrías personalizar las credenciales de administrador local para cada dispositivo Windows, pero eso puede resultar extremadamente consumidor de tiempo sin mencionar la tarea de inventariar los numerosos conjuntos de credenciales. El proceso se vuelve prácticamente inviable cuando habilitas la actualización de contraseñas (lo cual deberías hacer, por supuesto). Es por esto que muchos administradores a menudo simplemente lo desactivan.

Pero es comprensible tener algún tipo de cuenta de administrador local para “acercarse y arreglar la máquina” como restablecer su relación de confianza con el dominio o configurar una dirección IP de forma fija, y así sucesivamente.

Si tener la misma contraseña de administrador local en cada máquina es una idea terrible, ¿qué se puede hacer al respecto?

Consejo 1: Utilice Microsoft Local Administrator Password Solution (LAPS)

Microsoft Local Administrator Password Solution (LAPS) is a Microsoft tool that gives AD administrators the ability to manage the local account password of domain-joined computers and store them in AD.

When implemented via Group Policy, LAPS creates a random password of a defined length and complexity that is cryptographically secure and different every time, on every machine. It then applies the newly created password to the Local Administrator account and records the password in a secure field in your Active Directory schema. They can then be retrieved when access is needed to the account. The process is done automatically whenever a Group Policy defined password refresh is due.

LAPS tiene algunos requisitos para implementarlo:

  • Solo se aplica a dispositivos Windows
  • Los dispositivos deben estar unidos al dominio
  • Requiere una extensión gratuita del lado del cliente de Group Policy
  • Requiere una extensión de esquema (no te asustes).
  • Solo funciona para la cuenta de administrador local
  • Solo funciona para UNA cuenta de administrador local (en caso de que tengas más de una).

Consejo 2: LAPS y Group Policy

Como se mencionó, LAPS se implementa utilizando Group Policy, lo que significa que requiere la creación de un GPO. Primero necesitas descargar LAPS, lo cual puedes hacer here.
Luego usa el asistente para instalarlo en tu máquina de Group Policy Management. Querrás hacer esto manualmente y, típicamente, NO de manera automatizada.

Image

Asegúrese de seleccionar al menos las Plantillas de Editor de GPO para acceder a los archivos ADMX necesarios. El cliente grueso es una interfaz gráfica de usuario que otorga a un usuario con derechos aplicables la capacidad de consultar la contraseña para un dispositivo designado. Solo necesita instalar las Herramientas de Administración, y no la “Extensión de GPO AdmPwd” en su máquina (la que tiene el GPMC).

Image

Luego debe ingresar a su carpeta local PolicyDefinitions y copiar los archivos AdmPwd.admx y AdmPwd.adml y pegarlos en su tienda central AD. (Revise este video sobre este proceso).

Image

A continuación, necesitamos extender el Esquema de AD para acomodar las contraseñas locales.

Los dos atributos requeridos son:

  • ms-Mcs-AdmPwd – Almacena la contraseña en texto claro
  • ms-Mcs-AdmPwdExpirationTime – Almacena el momento para restablecer la contraseña

Para actualizar el esquema, simplemente importe el módulo de PowerShell AdmPwd y utilice el comando update-AdmPwdADSchema como se muestra a continuación.

Image

El siguiente paso es crear una GPO del lado del ordenador. Para este ejemplo, la llamaré Política LAPS. Los ajustes de LAPS ahora aparecerán bajo Configuración del Ordenador > Plantillas Administrativas > LAPS donde hay 4 ajustes disponibles como se muestra a continuación.

Image

Puede usar su LAPS GPO para administrar la contraseña de la cuenta de administrador local predeterminada o una cuenta de administrador local personalizada. A continuación, he habilitado la configuración “Enable local admin password management”.

Image

Si ha renombrado la cuenta de administrador local, (lo cual debería hacer) entonces puede especificar el nombre actualizado. Una vez que se selecciona la cuenta de administrador, el paso final es habilitar la configuración de Group Policy que configura los ajustes de contraseña (que incluyen la longitud y la antigüedad de la contraseña).

Una vez configurado, simplemente despliegue el software de extensión del lado del cliente LAPS a través de su método de despliegue de software deseado, como PDQ Deploy. Solo necesita la parte de “Extensión de GPO” si va a realizar una prueba inicial manualmente. Puede ver esto aquí.

Image

También puedes usar PolicyPak para obtener más control sobre el proceso de implementación. Más sobre eso en solo un minuto.

Consejo #3: Obtener contraseñas cuando sea necesario a través de LAPS

Entonces, llega el día en que necesitas saber cuál es la contraseña generada actual para una de tus máquinas Windows. ¿Cómo lo haces? Hay varias maneras. Una es usar el siguiente comando de PowerShell.

Get-AdmPwdPassword -Computername “nombre del computador”

Image

Si instaló el LAPS Fat Client, puede acceder a la aplicación LAPS UI desde su menú de inicio.

Image

Consejo #4: Asignar políticas LAPS granulares a usuarios mediante el direccionamiento a nivel de elemento

PolicyPak ofrece todas las configuraciones de plantillas ADMX en su PolicyPak Admin Templates Manager y las actualizamos en el momento de cada nuevo lanzamiento de ADMX. Hay muchas ventajas de usar Admin Templates Manager en comparación con la política de grupo estándar.

PolicyPak utiliza el Editor de directivas de grupo como se muestra a continuación, pero añade un superpoder secreto.

Image

La principal ventaja es que PolicyPak puede utilizar el Targeting a nivel de ítem para cualquier configuración de Group Policy, incluyendo LAPS.

Si está familiarizado con las Preferencias de Directiva de Grupo, entonces ya sabe cómo ILT ofrece mucha más granularidad en cuanto a la asignación de políticas. Por ejemplo, digamos que todas las cuentas de administrador local que residen en sus servidores se llaman ServAdm1n y desea crear una política LAPS separada para esos administradores. Dado que esas no son cuentas de administrador de dominio, no puede dirigirse a ellas utilizando la directiva de grupo, pero puede usar ILT para enfocarse en esas máquinas que ejecutan Windows Server 2016.

Image

Ahora vamos a crear una política LAPS para las laptops de los ejecutivos de nivel C. Naturalmente, querríamos tener una contraseña fuerte para esas cuentas de administrador local. En este caso, quiero imponer contraseñas de 20 caracteres utilizando la máxima complejidad. Luego usaré ILT para dirigirme al grupo de seguridad de nivel C. Como puedes ver en la captura de pantalla a continuación, hay muchas opciones a las que se puede apuntar incluyendo el nombre del ordenador, coincidencia de OU, coincidencia de sitio, factor de forma del ordenador (Laptop vs. Desktop) ¡y más!

Image

Como un beneficio adicional, mientras que las GPOs tradicionales creadas dentro del Editor de Política de Grupo normalmente solo pueden implementarse utilizando la Política de Grupo, las configuraciones de PolicyPak se pueden implementar de varias maneras, como SCCM, KACE o su servicio MDM preferido.
Puede aprender más sobre ese proceso viendo este video que demuestra el proceso de entrega de configuraciones de Política de Grupo, sin el motor de Política de Grupo en sí.

Consejo 5: Combina LAPS con PolicyPak Least Privilege Manager

Local Administrator Password Solution es una excelente herramienta para reforzar el acceso administrativo a tus máquinas más importantes. De hecho, también es un gran complemento con PolicyPak Least Privilege Manager. PolicyPak Least Privilege Manager elimina por completo la necesidad de tener derechos de administrador local, permitiendo a los Usuarios Estándar realizar funciones especiales como un administrador… pero sin derechos de administrador reales.

Juntos, podrían aplicar LAPS en todas sus máquinas empresariales ... ya que ya no necesitarán acceso de administrador local.

Al final, cualquier cosa que puedas hacer con Group Policy, puedes hacerla mejor con PolicyPak. Implementa LAPS y añade PolicyPak para obtener más seguridad, potencia y agilidad.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Jeremy Moskowitz

Vicepresidente de Gestión de Producto (Productos de Endpoint)

Jeremy Moskowitz es un experto reconocido en la industria de la seguridad informática y de redes. Cofundador y CTO de PolicyPak Software (ahora parte de Netwrix), también es un Microsoft MVP 17 veces en Group Policy, Enterprise Mobility y MDM. Jeremy ha escrito varios libros superventas, incluyendo “Group Policy: Fundamentals, Security, and the Managed Desktop” y “MDM: Fundamentals, Security, and the Modern Desktop”. Además, es un conferenciante muy solicitado en temas como la gestión de configuraciones de escritorio, y fundador de MDMandGPanswers.com.

Aprende más sobre este tema

Gestión de configuración para el control seguro de Endpoint

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad