¿Qué es LAPS?

¿Alguna vez ha deseado la capacidad de proteger las cuentas de administrador local en sus dispositivos Windows implementados? ¿Alguna vez ha necesitado recuperar un dispositivo y ha deseado poder iniciar sesión con una cuenta de administrador local? ¿Y qué hay de realizar estas tareas en máquinas unidas a Azure Active Directory?

Es posible que ya esté familiarizado con el producto de seguridad de Microsoft existente conocido como Local Administrator Password Solution (LAPS). LAPS ha estado disponible en el Centro de descarga de Microsoft durante muchos años. Se utiliza para administrar la contraseña de una cuenta de administrador local especificada rotando regularmente la contraseña y haciendo una copia de seguridad de ella en Active Directory (AD). LAPS ha demostrado ser un componente esencial y sólido para la seguridad empresarial de AD en las instalaciones. Nos referiremos cariñosamente a este producto LAPS más antiguo como «Legacy LAPS».

El escenario LAPS en Azure AD, ahora parte de Microsoft Entra, cambiará de versión preliminar privada a pública a finales de este trimestre. Windows LAPS es una gran mejora en prácticamente todas las áreas más allá de Legacy LAPS. ¡Hablemos de algunas de las nuevas y emocionantes capacidades que se incluyen en esta nueva característica de Windows LAPS según sus comentarios!

Integrado de forma nativa en Windows

La función está lista para salir de la caja. ¡Ya no necesita instalar un paquete MSI externo! Cualquier corrección futura o actualización de características se entregará a través de los procesos normales de aplicación de parches de Windows.

LAPS admite Azure Active Directory (en versión preliminar privada)

Junto con Azure AD, LAPS ofrece las siguientes ventajas para administrar contraseñas en la nube, actualmente en versión preliminar privada:

  • Recupera las contraseñas almacenadas a través de Microsoft Graph.
  • Crea dos nuevos permisos de Microsoft Graph para recuperar solo los «metadatos» de contraseña (es decir, para aplicaciones de supervisión de seguridad) o la propia contraseña de texto no cifrado confidencial.
  • Proporciona directivas de control de acceso basado en rol de Azure (RBAC de Azure) para crear directivas de autorización para la recuperación de contraseñas.
  • Incluye compatibilidad con el portal de administración de Azure para recuperar y rotar contraseñas.
  • Le ayuda a administrar la característica a través de Intune.
  • Rota automáticamente la contraseña después de usar la cuenta.

¡Esté atento al blog para profesionales de TI de Windows para conocer el próximo anuncio de versión preliminar pública de estas capacidades!

Nuevas capacidades para escenarios locales de Active Directory

Esto es lo que antes no podía hacer con los LAPS heredados, que ahora están disponibles para usted en las instalaciones:

  • Cifrado de contraseña: ¡mejora en gran medida la seguridad de estos secretos sensibles!
  • Historial de contraseñas: le brinda la posibilidad de volver a iniciar sesión en imágenes de copia de seguridad restauradas.
  • Copias de seguridad de contraseñas del modo de restauración de servicios de directorio (DSRM): ayuda a mantener seguros los controladores de dominio al rotar estas contraseñas de recuperación críticas de forma regular.
  • Modo de emulación: ¡Útil si desea continuar usando la configuración y las herramientas de políticas LAPS anteriores mientras se prepara para migrar a las nuevas funciones!
  • Rotación automática: rota automáticamente la contraseña después de usar la cuenta.

Nuevas características para escenarios de Azure AD y AD locales

Aproveche la administración de directivas enriquecida, la rotación de la contraseña de la cuenta LAPS de Windows en Intune, el registro de eventos dedicado, el nuevo módulo de PowerShell y la compatibilidad híbrida.

  • La administración enriquecida de directivas ahora está disponible a través de la directiva de grupo y el proveedor de servicios de configuración (CSP):
  • Directiva de grupo: %windir%/PolicyDefinitions/LAPS.admx
  • Imagen en miniatura 1 subtitulada Una captura de pantalla de la directiva de grupo de LAPS muestra la configuración de contraseña establecida en habilitada en la consola de LAPSUna captura de pantalla de la directiva de grupo de LAPS muestra la configuración de contraseña establecida en habilitada en la consola de LAPS

  • Una captura de pantalla de la directiva de grupo de LAPS muestra la configuración de contraseña establecida en habilitada en la consola de LAPS
  • CSP: ./Dispositivo/Proveedor/MSFT/LAPS
  • Rotar la contraseña de la cuenta LAPS de Windows a petición desde el portal de Intune es muy útil cuando, por ejemplo, se trata de un posible problema de infracción.
  • El registro de eventos dedicado se encuentra en Aplicaciones y servicios. Consulte Registros > Microsoft > Windows > LAPS > Operational para obtener diagnósticos mejorados.

    Imagen en miniatura 2 subtitulada Una captura de pantalla del Visor de eventos LAPS muestra una descripción de un evento de información seleccionado en OperativoUna captura de pantalla del Visor de eventos LAPS muestra una descripción de un evento de información seleccionado en Operacional
  • El nuevo módulo de PowerShell incluye capacidades de administración mejoradas. Por ejemplo, ahora puede rotar la contraseña a petición mediante el nuevo cmdlet Reset-LapsPassword.

    imagen en miniatura 3 subtitulada Una captura de pantalla de la interfaz de PowerShell y el script muestran el módulo LAPSUna captura de pantalla de la interfaz de PowerShell y el script muestran el módulo LAPS
  • Los dispositivos híbridos unidos son totalmente compatibles.

Cómo usar LAPS ahora mismo

Le recomendamos que empiece a usar la nueva característica Windows LAPS en su implementación existente con la actualización del 11 de abril de 2023. Puede considerar comenzar primero aprovechando el nuevo modo de emulación y luego migrar a las nuevas características de manera gradual. O simplemente puede saltar a las nuevas funciones de inmediato, ¡no nos importará! Le informaremos cuándo cambiará el escenario LAPS en Azure AD de versión preliminar privada a pública más adelante en este trimestre.

Recomendamos encarecidamente adoptar las nuevas características para aprovechar las nuevas mejoras de seguridad. Hacer esto será mucho más seguro para estas contraseñas confidenciales, especialmente cuando se almacenan en Active Directory con cifrado habilitado o en Azure AD.

Fuente: Por demanda popular: ¡Windows LAPS disponible ahora! – Centro de la comunidad de Microsoft