Instalación y configuración de LAPS

Como ya sabemos, el mundo de la ciberseguridad esta la orden del día, y cada vez son más las exigencias para evitar ataques o ciertos intentos de curiosos que nos pueden provocar ciertos disgustos. Dándole una vuelta a todo esto he vuelto a retomar una tarea pendiente que tenia, que era configurar LAPS en nuestro entorno.

LAPS es una aplicación que por medio de GPOs nos permite interactuar nuestra cuenta de administrador local. Seguro que todos los que trabajamos con entornos Windows tenemos un administrador local para esas cosas que se deben hacer fuera de nuestro directorio activo (meter en dominio, etc…) y seguro que tenemos una clave definida que no caduca. Esto es peligroso y para eso Microsoft tiene esta aplicación gratuita.

Según Microsoft, «Local Administrator Password Solution» (LAPS) proporciona administración de contraseñas de cuentas locales de equipos unidos a un dominio. Las contraseñas se almacenan en Active Directory (AD) y están protegidas por ACL, por lo que solo los usuarios elegibles pueden leerlas o solicitar su restablecimiento.

La aplicación en si, es muy sencilla de instalar y de administrar. Os cuento como.

Como primer punto, debemos tener OU creadas donde están nuestras maquinas, las cuales queremos aplicar LAPS

Un apunte, esto nos valdría tanto como Windows server como para Windows 10 (clientes)

OU_LAPS

Después, vamos a descargar la aplicación aquí podemos hacerlo.

install_LAPS

Le damos a next

entire_features_LAPS

Seleccionamos la opción completa en nuestro disco local, ya que con esto vamos a instalar el GUI en nuestro servidor y a gestionar el reseteo por medio de este servidor.

finish_LAPS

Como veis, una vez descargado lo instalamos. Sencilla instalación de siguiente, siguiente…

powershell_LAPS

El siguiente paso, vamos a importar el módulo de la aplicación

import-Module admpwd.ps

Actualizamos el esquema de AD

update-AdmPwdADSchema

Y aplicamos los permisos a nuestra ou

set-AdmPwdComputerSelfPermission -Identity "NUESTRA OU"

GPO

Una vez hecho esto, vamos a crear un GPO para poder aplicar LAPS a nuestros servidores/pcs

create_GPO

Creamos una nueva GPO, y la lincamos/conectamos a nuestra ou

new_GPO

En mi caso, la voy a llamar LAPS

conect_LAPS

Vamos a aplicar las plantillas que nos ha instalado en el proceso de instalación de la aplicación

4_GPO_LAPS

Como veis es sencillo tenemos 4 políticas.

Password setting

password_settings

Donde definimos la longitud, caducidad y complejidad de la contraseña

Name of administrator accound to manager

name_account_GPO

Nombre de administrador local que le hemos dado, si usamos la opción de renombrar el local administrator. En mi caso no la voy a usar

allow_time_longer

Con esta opción, no se permite la caducidad planificada de la contraseña por más tiempo que la vigencia de la contraseña dictada por la política «password setting». Cuando se detecta dicha caducidad, la contraseña se cambia inmediatamente y la caducidad de la contraseña se establece de acuerdo con la política. Acordaros que las GPOS se aplican en una media de 2 horas si no las forzamos

Enabled local admin password management

enabled_local_GPO

Habilitar la administracion de contraseñas locales. La opción más importante y la que debemos activar si queremos que LAPS funcione.

Bien, tenemos aplicada la parte de servidor.

run

Ahora vamos a instalar la parte cliente. Voy a hacer de modo manual primero, y luego haremos por medio de la GPO.

Vamos a ir a una carpeta compartida donde tengamos el software de LAPS, y ejecutamos el msi

msi_LAPS

Deshabilitamos todas las opciones de la parte de administración, ya que no nos interesan para esta parte.

apply_GPO

Y una vez instalada forzamos la GPO con un:

gpupdate /force

Vemos que nos pide un reinicio ya que hay una GPO nueva a aplicar

restart_server

Nos reiniciara la maquina, y con esto tenemos aplicado nuestro software de LAPS en nuestro cliente.

Ahora voy a hacerlo desde la GPO desplegando el paquete msi

Utilizando la misma GPO de LAPS que hemos creado antes, vamos a ir la parte de distribución de software

Buscamos nuestro msi que vamos a desplegar, recordar, tiene que estar en carpeta compartida

Elegimos la opción que necesitemos para el despliegue

Y vemos que tenemos nuestro msi vinculado.

Haríamos la misma operativa que anterior, o bien esperamos que se aplique la GPO (unas 2 horas) o la forzamos o con el comando

invoke-GPUpdate -Computer 2k19 -Verbose

Para actualizar al GPOs de esa máquina desde el dc

path_LAPS

Como podemos ver si vamos a la ruta de instalación vemos que nos ha desplegado sin problemas LAPS después de reinicio

new_LAPS_UI

Hasta aquí todo perfecto, ahora vamos a ver cómo funciona la aplicación buscamos LAPS UI en nuestro servidor donde instalamos la opción completa, y la abrimos