Cómo implementar Windows LAPS – [Paso a paso]

Windows LAPS es una característica de Windows que le permite establecer y realizar copias de seguridad automáticas de las contraseñas de administrador local de los dispositivos unidos a un dominio. LAPS (Local Administrator Password Solution), crea una contraseña única y aleatoria para cada dispositivo de la red y la almacena en Active Directory o Azure Active Directory.

Windows LAPS es el sucesor del heredado Microsoft LAPS, que ha estado disponible durante los últimos años. El nuevo Windows LAPS viene con más funciones y ahora está integrado en Windows 10 y 11. Por lo tanto, ya no necesitamos instalar un cliente en las computadoras.

 En este artículo

¿Qué es Windows LAPS?

Microsoft LAPS frente a Windows LAPS

Requisitos

Cómo instalar Windows LAPS

Implementación de LAPS en Active Directory local

Ver permisos de contraseña de LAPS

Implementación de LAPS con Intune

Visualización de la contraseña de LAPS

Migración de Microsoft LAPS a Windows LAPS

Paso 1: Implementar Windows LAPS

Paso 2 – Añade la cuenta de administrador local a tus dispositivos

Paso 3 – Probar el nuevo LAPS de Windows

Paso 4 – Eliminar el LAPS heredado

Solución de problemas de LAPS

Preguntas más frecuentes

Terminando

En este artículo, vamos a echar un vistazo a la diferencia entre Microsoft LAPS y Windows LAPS, cómo instalar y configurar el nuevo LAPS y cómo migrar de LAPS heredado a Windows LAPS.

¿Qué es Windows LAPS?

Puede cambiar fácilmente la contraseña de su cuenta de administrador de dominio, pero ¿qué pasa con la cuenta de administrador local? La contraseña de la cuenta de administrador local a menudo se establece durante la instalación, pero no se puede cambiar fácilmente en todas las computadoras. Aquí es donde entra en juego Windows LAPS. LAPS son las siglas de Local Administrator Password Solution (Solución de contraseña de administrador local).

Con LAPS podemos establecer automáticamente contraseñas de administrador local únicas en cada equipo, que se almacenan en Azure Active Directory o en su Active Directory local. La contraseña se cambia automáticamente cada 30 días de forma predeterminada. Windows LAPS también se puede usar para administrar y hacer una copia de seguridad de la contraseña DSRM (modo de restauración de servicios de directorio) de Active Directory.

 

Microsoft LAPS frente a Windows LAPS

Windows LAPS es el sucesor de Microsoft LAPS, que ha estado disponible durante muchos años. Entonces, ¿cuáles son las diferencias entre las dos versiones? El cambio más importante es que la nueva versión está integrada en Windows. Esto significa que ya no tenemos que instalar un MSI en los clientes. Pero hay más ventajas:

 

Almacenar contraseña en Azure AD: es más fácil recuperar la contraseña

Historial de contraseñas: vea contraseñas anteriores, lo que resulta útil para escenarios de recuperación

Cifrar contraseñas: mejora la seguridad en Active Directory local

Rotar automáticamente la contraseña: restablecer la contraseña después de usar la cuenta

Ver con Microsoft Graph: puede recuperar las contraseñas con Microsoft Graph

Copias de seguridad de contraseñas de DSRM: proteja y rote la contraseña de recuperación del controlador de dominio

Nuevo módulo de PowerShell: le proporciona más control a través de PowerShell

Registro de eventos dedicado: facilita la resolución de problemas

Requisitos

Para usar Windows LAPS, deberá asegurarse de que sus computadoras y servidores tengan instalada la última actualización de seguridad, del 11 de abril de 2023. Se admiten los siguientes sistemas operativos:

 

Windows 11 Pro, EDU y Enterprise

Windows 10 Pro, EDU y Enterprise

Windows Server 2022

Windows Server 2019

Asegúrese de que todos los controladores de dominio estén completamente actualizados antes de comenzar con la instalación.

 

Cómo instalar Windows LAPS

Si los dispositivos se administran con Intune, se recomienda implementar LAPS mediante los proveedores de servicios de configuración de Windows LAPS. Cuando no usa Intune, puede implementar LAPS con su Active Directory local.

 

Explicaré ambos métodos, comenzando con el Active Directory local.

 

Implementación de LAPS en Active Directory local

Este método se puede usar cuando se tiene un entorno local completo y para entornos híbridos en los que el Active Directory local está sincronizado con Azure Active Directory.

 

Paso 1: Extender el esquema de AD

El primer paso es ampliar el esquema de Active Directory. Esto se hace en un controlador de dominio, que luego sincronizará automáticamente el nuevo esquema con los demás controladores de dominio del bosque.

 

Para actualizar el esquema de AD, abra PowerShell (Admin) en el controlador de dominio y ejecute el siguiente comando:

 

Update-LapsADSchema

Presione A (Sí a todo) en la pregunta si desea continuar. Si recibe un error al ejecutar el comando, consulte las preguntas frecuentes al final del artículo para conocer las posibles soluciones.Update-LapsADSchema

 

Podemos verificar la extensión de esquema de Active Directory abriendo un objeto de equipo en Active Directory. Ahora verá la nueva pestaña LAPS.

 

Paso 2 – Establecer permisos

Los equipos deben tener permiso para actualizar su contraseña en Active Directory. Para ello, establecemos permisos heredables en la unidad organizativa de los equipos con la ayuda del cmdlet de PowerShell. Set-LapsADComputerSelfPermission

 

Tendremos que especificar el nombre de la unidad organizativa, si el nombre no es único en su Active Directory, deberá especificar el DistinguishedName.

 

Set-LapsADComputerSelfPermission -Identity "Equipos"

# O con el distinguishedName completo:

Set-LapsADComputerSelfPermission -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=lazyadmin,DC=nl"

Paso 3: Configurar las políticas de grupo de LAPS

Para configurar LAPS necesitaremos crear una nueva Política de Grupo.

 

Abra la administración de directivas de grupo en el controlador de dominio

Crear una nueva directiva de equipo (CPO_LAPS) en la unidad organizativa del equipo

Edite la nueva directiva y vaya a Configuración del equipo > Directivas > Plantillas administrativas > Sistema > LAPS

 

Nota

 

Si no ve LAPS en Plantillas administrativas > sistema, copie los archivos ADMX de C:\Windows\PolicyDefinitions en el almacén central: \\contoso.com\SYSVOL\contoso.com\policies\PolicyDefinitions

Abra Configurar directorio de copia de seguridad de contraseña y establézcalo en Active Directory o Azure Active Directory. Asegúrese de que su dispositivo esté administrado en el AD que seleccione.

Abra Configuración de contraseña y habilite la configuración. Opcionalmente, cambie la configuración.

(Opcional) Abra Nombre de la cuenta de administrador para administrarla, habilítela y establezca el nombre de la cuenta en LAPSAdmin. Si no configura esta opción, se usará la cuenta de administrador integrada.

Hay un par de otras configuraciones que es posible que desee habilitar. Recomiendo habilitar al menos la configuración de acciones posteriores a la autenticación. Esta configuración se activa cuando se utiliza la contraseña LAPS. Restablecerá la contraseña y, opcionalmente, cerrará la sesión de la cuenta administrada después de, por ejemplo, 8 horas:

 

Si crea instantáneas desde sus computadoras, podría ser interesante habilitar la configuración del historial de contraseñas. Esto almacenará las últimas 12 contraseñas en el AD, lo que le permitirá iniciar sesión con la cuenta de administrador local al restaurar una instantánea antigua. Para usar esta configuración, también deberá habilitar el cifrado de contraseña.

 

Paso 5 – Crear una cuenta de administrador local

La nueva característica de Windows LAPS no crea una cuenta de administrador local automáticamente como lo hacía el LAPS heredado. La opción más fácil es usar la cuenta de administrador integrada y no configurar una cuenta de administrador única para laps.

 

Pero si aún desea usar una cuenta dedicada, deberá crear una nueva cuenta de administrador local con PowerShell, por ejemplo. Podemos agregar el siguiente script de PowerShell a los scripts de inicio en la directiva de grupo (configuración del equipo > configuración de Windows > scripts > inicio)

 

If ($null -eq (Get-LocalUser -Name "lapsadmin")){

  New-LocalUser -AccountNeverExpires:$true -Password ( ConvertTo-SecureString -AsPlainText -Force 'TempPassword123!') -Nombre 'lapsadmin' | Add-LocalGroupMember -Administradores de grupo

}

Paso 6 – Verificar la configuración

Para verificar la configuración necesitaremos un dispositivo Windows 10 u 11 con las últimas actualizaciones instaladas. Primero debemos extraer la configuración de directiva más reciente en el dispositivo, de modo que la contraseña de LAPS se cree y se vuelva a escribir en Active Directory. Puede ejecutar el comando GPUpdate o el cmdlet especial de directiva LAPS :Invoke-LapsPolicyProcessing

 

Invoke-LapsPolicyProcessing

Una vez recuperada la política, podemos verificar la contraseña de LAPS en Active Directory. Busque el dispositivo y abra las propiedades. Si abres la pestaña LAPS verás la contraseña de LAPS:

 

Recuperar la contraseña de LAPS

Administración de LAPS con PowerShell

El módulo de PowerShell de Windows LAPS ahora se incluye en Windows. Esto significa que no tenemos que importar un nuevo módulo para administrar LAPS con PowerShell. No voy a repasar todos los cmdlets (puedes encontrar la lista completa aquí), pero hablaremos de los más importantes.

 

Podemos usar el cmdlet para ver la contraseña de LAPS. Asegúrese de agregar el parámetro para ver realmente la contraseña.Get-LapsADPassword-AsPlainText

 

Get-LapsADPassword -Identity la-win11-lab04 -AsPlainText

Nombre del equipo : LA-WIN11-LAB04

DistinguishedName : CN = LA-WIN11-LAB04, OU = Computadoras, OU = Amsterdam, OU = Sitios, DC = lazyadmin, DC = nl

Cuenta : lapsadmin

Contraseña : WQ3rjA1.%0]z];

PasswordUpdateTime : 25/04/2023 19:50:36

ExpiraciónMarca de tiempo : 25/05/2023 19:50:36

Fuente: EncryptedPassword

DecryptionStatus : Correcto

AuthorizedDecryptor : LAZYADMIN\Administradores de dominio

Ahora recomiendo configurar la directiva para restablecer automáticamente la contraseña después de usarla. Pero también podemos restablecer (rotar) la contraseña con PowerShell. Este cmdlet debe ejecutarse en el punto de conexión o tendrá que ejecutar el comando de forma remota con Invoke-Command

 

Reset-LapsPassword

# Ejecútelo en una computadora remota

Invoke-Command -ComputerName LA-Win11-Lab04 -ScriptBlock {Reset-LapsPassword}

Ver permisos de contraseña de LAPS

Para ver la contraseña con PowerShell, deberá tener permisos de lectura de contraseña LAPS en la unidad organizativa de los equipos. El administrador del dominio tiene este permiso de forma predeterminada, pero es posible que también desee otorgar permisos de lectura a los administradores del departamento de soporte técnico.

 

We can add the permissions with the  Set-LapsADReadPasswordPermission cmdlet in PowerShell. You will need to specify the OU and User or Group that you want to give access:

 

Set-LapsADReadPasswordPermission -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=lazyadmin,DC=nl" -AllowedPrincipals "Helpdesk Admins"

# Or add multiple users at once:

Set-LapsADReadPasswordPermission -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=lazyadmin,DC=nl" -AllowedPrincipals @("alexw@lazyadmin.nl", "helpdesk@lazyadmin.nl"

Para comprobar los permisos, puede usar el cmdlet:Find-LapsADExetendedRights

 

Find-LapsADExetendedRights -Identity "OU=Computers,OU=Amsterdam,OU=Sites,DC=lazyadmin,DC=nl"

Implementación de LAPS con Intune

Si los dispositivos se administran a través de Intune, también puede implementar Windows LAPS con Intune. No necesitamos instalar nada, solo necesitamos crear una nueva directiva para nuestros puntos de conexión en Intune. Antes de comenzar, deberemos asegurarnos de que LAPS esté habilitado en Azure AD:

 

Abrir portal.azure.com

Haga clic en Azure Active Directory

Abrir dispositivos > Configuración del dispositivo

Habilitación de la solución de contraseña de administrador local de Azure AD (LAPS)

Haga clic en Guardar

Con LAPS habilitado en Azure AD, ahora podemos crear la nueva directiva:

Abrir Endpoint Manager (Intune)

Vaya a Endpoint Security > Account Protection

Crear una nueva directiva

Seleccione la plataforma Windows 10 y versiones posteriores y el perfil Solución de contraseña de administrador local

 

Windows LAPS Intune

Asigne un nombre al perfil, por ejemplo, Windows LAPS

En el paso 2 necesitaremos configurar los siguientes ajustes como mínimo:

Backup Directory > copia de seguridad de la contraseña solo en Azure AD

Antigüedad de la contraseña Días > 30

Complejidad de la contraseña > Elija una de las opciones

La longitud de la contraseña > predeterminada es 14, puede cambiarla. El mínimo es 8

Acciones de autenticación posteriores > establecer en Restablecer contraseña y cerrar sesión en la cuenta administrada.

Retraso de reinicio > 8 horas

Puede omitir las etiquetas de ámbito

Asignaciones > Agregar un grupo con dispositivos en los que desea implementar Windows LAPS

Review the settings and create the new policy

After you have created and assigned the policy it can take some time before it’s deployed to all the endpoints. You can force the synchronization of the policy in the Intune Admin center by opening a device and clicking on sync.

To view the progress of the rollout, you will need to go back to Endpoint Security > Account Protection, open the newly created policy, and click on View Report.

Viewing the LAPS Password

We have a couple of options to view the LAPS password of devices. The most convenient way is to open either Azure AD or Intune (Endpoint Manager). Another option is to use PowerShell with Microsoft Graph to retrieve the passwords, but that requires some configuration before you can use it.

 

To view the passwords in the Azure AD, open Devices and click on Local Administrator password recovery. This will give you a list of all devices where LAPS is active and allows you to show the password.

AD

You can also view the password by first opening the device in Azure AD. The other option is to use Intune (Endpoint Manager). If you navigate to the device and open it, you will see Local Admin Password in the sidebar. Click on it to show the local administrator password:

Migrate Microsoft LAPS to Windows LAPS

Cuando ya tiene el antiguo Microsoft LAPS (LAPS heredado) ejecutándose en su entorno, puede migrar fácilmente al nuevo Windows LAPS. Es importante tener en cuenta que podemos reutilizar el nombre de la cuenta de administrador de LAPS, básicamente vamos a configurar Microsoft y Windows LAPS uno al lado del otro. Si todo funciona bien en la nueva versión, entonces podemos eliminar los LAPS heredados.

 

Paso 1: Implementar Windows LAPS

Instale Windows LAPS con los pasos descritos anteriormente, extendiendo el esquema de AD, estableciendo permisos y configurando la directiva. En la directiva, asegúrese de usar un nombre de cuenta de administrador local único, por ejemplo, lapsadmin2.

 

Paso 2 – Añade la cuenta de administrador local a tus dispositivos

Tendremos que crear manualmente la nueva cuenta de administrador local en los dispositivos. Puede usar el mismo script de PowerShell que se describió anteriormente:

 

if ($null -eq (Get-LocalUser -Name "lapsadmin2")){

  New-LocalUser -AccountNeverExpires:$true -Password ( ConvertTo-SecureString -AsPlainText -Force 'TempPassword123!') -Nombre 'lapsadmin2' | Add-LocalGroupMember -Administradores de grupo

}

Paso 3 – Probar el nuevo LAPS de Windows

Puede ejecutar el nuevo LAPS de Windows en paralelo con el LAPS heredado para probar la nueva solución.

 

Paso 4 – Eliminar el LAPS heredado

Si la nueva solución se ejecuta según lo esperado, podemos comenzar con la eliminación de los LAPS heredados de los clientes. Desinstale el cliente Microsoft LAPS de los dispositivos, quite la cuenta de administrador de LAPS anterior y elimine las directivas antiguas.

 

Solución de problemas de LAPS

Las políticas siempre son un poco difíciles de solucionar. Para LAPS tenemos un par de opciones para depurar cualquier problema que surja. El primer paso sería comprobar el visor de eventos. Puede encontrar todos los eventos relacionados con LAPS en el visor de eventos en Aplicaciones y servicios > Microsoft > Windows > LAPS:

 

Si usa Intune para la implementación de Windows LAPS, también puede ver el informe en el Centro de administración de Intune (Endpoint Manager). Abra la directiva en Endpoint Security > Account Protection y haga clic en Ver informe.

 

Otra opción es generar un informe de diagnóstico con PowerShell. Ejecute el cmdlet en el punto de conexión para generar un informe. En la exportación, encontrará un registro de eventos y un archivo CSV con todos los eventos relacionados con LAPS.Get-LapsDiagnostics

 

Preguntas más frecuentes

Update-LapsADSchema: el usuario no tiene suficientes derechos de acceso.

Para ampliar el esquema de AD, deberá ser miembro de los administradores de esquema de grupo de seguridad que puede encontrar en Active Directory. Asegúrese de cerrar o iniciar sesión después de agregar la cuenta a Administradores de esquema.

 

Update-LapsADSchema no se reconoce

Asegúrese de haber instalado las últimas actualizaciones en sus servidores Windows y reiniciar el servidor después de la actualización.

 

Error: la solución de contraseña de administrador local no está habilitada para este inquilino

Deberá habilitar LAPS en Azure Active Directory. En Azure Active Directory, abra Dispositivos > Configuración del dispositivo y habilite Configuración del administrador local. Este error también aparece en el registro de eventos en el identificador de evento 10059

 

Terminando

El nuevo Windows LAPS es una gran mejora con respecto a la antigua solución Microsoft LAPS. Todo lo que necesita ahora está integrado en la última versión de Windows, lo que la convierte en una solución sólida. La implementación de la nueva versión es bastante sencilla, especialmente si está utilizando Microsoft Intune (Endpoint Manager).

 

Espero que este artículo te haya ayudado con la implementación del nuevo LAPS.