Instalación y configuración de LAPS

Como ya sabemos, el mundo de la ciberseguridad esta la orden del día, y cada vez son más las exigencias para evitar ataques o ciertos intentos de curiosos que nos pueden provocar ciertos disgustos. Dándole una vuelta a todo esto he vuelto a retomar una tarea pendiente que tenia, que era configurar LAPS en nuestro entorno.

LAPS es una aplicación que por medio de GPOs nos permite interactuar nuestra cuenta de administrador local. Seguro que todos los que trabajamos con entornos Windows tenemos un administrador local para esas cosas que se deben hacer fuera de nuestro directorio activo (meter en dominio, etc…) y seguro que tenemos una clave definida que no caduca. Esto es peligroso y para eso Microsoft tiene esta aplicación gratuita.

Según Microsoft, «Local Administrator Password Solution» (LAPS) proporciona administración de contraseñas de cuentas locales de equipos unidos a un dominio. Las contraseñas se almacenan en Active Directory (AD) y están protegidas por ACL, por lo que solo los usuarios elegibles pueden leerlas o solicitar su restablecimiento.

La aplicación en si, es muy sencilla de instalar y de administrar. Os cuento como.

Como primer punto, debemos tener OU creadas donde están nuestras maquinas, las cuales queremos aplicar LAPS

Un apunte, esto nos valdría tanto como Windows server como para Windows 10 (clientes)

OU_LAPS

Después, vamos a descargar la aplicación aquí podemos hacerlo.

install_LAPS

Le damos a next

entire_features_LAPS

Seleccionamos la opción completa en nuestro disco local, ya que con esto vamos a instalar el GUI en nuestro servidor y a gestionar el reseteo por medio de este servidor.

finish_LAPS

Como veis, una vez descargado lo instalamos. Sencilla instalación de siguiente, siguiente…

powershell_LAPS

El siguiente paso, vamos a importar el módulo de la aplicación

import-Module admpwd.ps

Actualizamos el esquema de AD

update-AdmPwdADSchema

Y aplicamos los permisos a nuestra ou

set-AdmPwdComputerSelfPermission -Identity "NUESTRA OU"

GPO

Una vez hecho esto, vamos a crear un GPO para poder aplicar LAPS a nuestros servidores/pcs

create_GPO

Creamos una nueva GPO, y la lincamos/conectamos a nuestra ou

new_GPO

En mi caso, la voy a llamar LAPS

conect_LAPS

Vamos a aplicar las plantillas que nos ha instalado en el proceso de instalación de la aplicación

4_GPO_LAPS

Como veis es sencillo tenemos 4 políticas.

Password setting

password_settings

Donde definimos la longitud, caducidad y complejidad de la contraseña

Name of administrator accound to manager

name_account_GPO

Nombre de administrador local que le hemos dado, si usamos la opción de renombrar el local administrator. En mi caso no la voy a usar

allow_time_longer

Con esta opción, no se permite la caducidad planificada de la contraseña por más tiempo que la vigencia de la contraseña dictada por la política «password setting». Cuando se detecta dicha caducidad, la contraseña se cambia inmediatamente y la caducidad de la contraseña se establece de acuerdo con la política. Acordaros que las GPOS se aplican en una media de 2 horas si no las forzamos

Enabled local admin password management

enabled_local_GPO

Habilitar la administracion de contraseñas locales. La opción más importante y la que debemos activar si queremos que LAPS funcione.

Bien, tenemos aplicada la parte de servidor.

run

Ahora vamos a instalar la parte cliente. Voy a hacer de modo manual primero, y luego haremos por medio de la GPO.

Vamos a ir a una carpeta compartida donde tengamos el software de LAPS, y ejecutamos el msi

msi_LAPS

Deshabilitamos todas las opciones de la parte de administración, ya que no nos interesan para esta parte.

apply_GPO

Y una vez instalada forzamos la GPO con un:

gpupdate /force

Vemos que nos pide un reinicio ya que hay una GPO nueva a aplicar

restart_server

Nos reiniciara la maquina, y con esto tenemos aplicado nuestro software de LAPS en nuestro cliente.

Ahora voy a hacerlo desde la GPO desplegando el paquete msi

Utilizando la misma GPO de LAPS que hemos creado antes, vamos a ir la parte de distribución de software

Buscamos nuestro msi que vamos a desplegar, recordar, tiene que estar en carpeta compartida

Elegimos la opción que necesitemos para el despliegue

Y vemos que tenemos nuestro msi vinculado.

Haríamos la misma operativa que anterior, o bien esperamos que se aplique la GPO (unas 2 horas) o la forzamos o con el comando

invoke-GPUpdate -Computer 2k19 -Verbose

Para actualizar al GPOs de esa máquina desde el dc

path_LAPS

Como podemos ver si vamos a la ruta de instalación vemos que nos ha desplegado sin problemas LAPS después de reinicio

new_LAPS_UI

Hasta aquí todo perfecto, ahora vamos a ver cómo funciona la aplicación buscamos LAPS UI en nuestro servidor donde instalamos la opción completa, y la abrimos

LAPS_UI

Una vez abierta, buscamos la máquina que queremos resetear el password local, con el botón search y le damos a set. Vemos que ha puesto un password autogenerado que caducara el jueves 2 de diciembre de 2021 a las 13:37

attribute:object

Por si queremos indagar un poco más, podemos ir a las propiedades de objeto en este caso el servidor Windows server 2019.

Y vemos que el password es el que nos ha creado y cuando caducara.

proof_password

Vamos a comprobar que podemos entrar con ese password

local_account

Y como vemos funciona sin problemas, estoy con el usuario local con el password de que nos a generado LAPS

Por último, voy a enseñaros como dar permisos sobre LAPS, para tener usuario que consulta, y usuario de reseteo

permission_OU

Para ello he creado 2 grupos, uno que puede resetear estos password  (LAPS RESET), y otro que solo puede consultarlos (LAPS READ).

Si queremos darle permiso de lectura al grupo LAPS READ y RESET LAPS, que está dentro de la ou servidores, debemos poner esto en powershell

set-AdmPwdReadPasswordPermission -OrgUnit servidores -AllowedPrincipals "LAPS READ"

powershell_READ

Los usuarios que podran resetear el password, le doy permisos de reset a grupo LAPS RESET con el comando de powershell

set-AdmPwdResetPasswordPermission -OrgUnit servidores -AllowedPrincipals "LAPS RESET"

powershell_RESET

Con esto tenemos 2 grupos de administración, para gestionar nuestros  password.

LAPS_READVamos a probar con el usuario prueba que pertenece a ese grupo

runa_as

Si voy a intentar resetear el psssword con mi usuario del grupo de lectura. Nos muestra que no podemos.

LAPS_GUI

Como veis, no deja hacer ese cambio de password

Por otro, lado si sois más de código podemos hacer todo esto desde powershell

powershell_GET

Si usamos el comando

get-AdmPwdPassword -Computername 2k19 | fl

Vemos que coincide la password que he cambiado con el usuario2 que pertenece al grupo RESET LAPS

Espero que os sirva

Related posts:

  1. Habilitar la limpieza de discos sin reiniciar
  2. Crear una cuenta dedicada para unir máquinas a un dominio
  3. mapear unidades por GPO excluyendo un grupo
  4. Eliminar letra de partición por powershell

Deja un comentario