Aviso de seguridad 3062591 de Microsoft – Ya está disponible la Solución de contraseña del administrador local (LAPS)

Ya está disponible la Solución de contraseña del administrador local (LAPS)

Publicado: 1º de mayo de 2015

Resumen ejecutivo


Microsoft ofrece la Solución de contraseña del administrador local (LAPS) que proporciona una solución a la utilización de una cuenta local común con una contraseña idéntica en todos los equipos en un dominio. LAPS resuelve este problema mediante el establecimiento de una contraseña aleatoria diferente para la cuenta de administrador local común en todos los equipos en el dominio. Los administradores de dominio que utilicen la solución pueden determinar qué usuarios, como los administradores de escritorio de ayuda, están autorizados para leer las contraseñas.

Las credenciales idénticas de cuentas locales comprometidas podrían permitir la elevación de privilegios si un atacante las utiliza para escalar de un usuario/administrador local a un administrador de dominio/empresa. Se necesitan credenciales de administrador local para las ocasiones cuando se requiere inicio de sesión sin acceso al dominio. En entornos de gran tamaño, la administración de contraseñas puede llegar a ser compleja, lo que lleva a prácticas de seguridad pobres, y este tipo de entornos aumentan en gran medida el riesgo de un ataque de repetición de credenciales tipo Pass-the-Hash (PtH).

LAPS simplifica la administración de contraseñas al tiempo que ayuda a los clientes a implementar las defensas recomendadas contra ataques cibernéticos. En particular, la solución mitiga el riesgo de escalada lateral que se produce cuando los clientes utilizan la misma combinación de cuenta y contraseña local administrativas en sus equipos.

Recomendación

Instale LAPS para gestionar automáticamente las contraseñas de cuenta del administrador local en los equipos unidos a un dominio para que las contraseñas sean únicas en cada equipo administrado, generado al azar, y almacenadas centralmente en la infraestructura de Active Directory.

LAPS almacena la contraseña de la cuenta del administrador local de cada equipo en Active Directory, en un atributo confidencial en el objeto correspondiente de Active Directory del equipo. El equipo está autorizado a actualizar sus propios datos de la contraseña en Active Directory y los administradores de dominio pueden conceder acceso de lectura a los usuarios o grupos autorizados, como los administradores del escritorio de ayuda de las estaciones de trabajo.

La solución se basa en la infraestructura de Active Directory y no requiere de otras tecnologías de soporte. LAPS utiliza una extensión del lado del cliente (CSE) de la Directiva de grupo que se instala en los equipos administrados para realizar todas las tareas de gestión. Las herramientas de gestión de la solución proporcionan una configuración y administración fáciles.

Para obtener más información, consulte:

Preguntas frecuentes del Aviso


¿Cuál es el alcance del aviso? 
Para los equipos unidos a un dominio de Active Directory. Los administradores de dominio de cada organización determinan qué usuarios, como los administradores del escritorio de ayuda, están autorizados a leer y restablecer las contraseñas.

¿Por qué utilizar LAPS en lugar de otros administradores de contraseñas? 
Otros administradores de contraseña típicamente requieren hardware adicional, o bien, confiar en un producto de otro fabricante, o el uso de otras prácticas inseguras, como el manejo de hojas de cálculo Excel para las contraseñas.

¿Puede LAPS gestionar una cuenta del administrador local no denominada como "administrador"? 
Sí.

¿Cuáles son las ventajas de utilizar LAPS para almacenar y administrar las contraseñas? 
LAPS proporciona un enfoque simplificado para:

  • Asignar periódicamente y de manera aleatoria las contraseñas del administrador local, asegurando así que se realicen las actualizaciones de contraseña en Active Directory antes de modificar secretos y contraseñas locales.

  • Almacenar de manera central los secretos en la infraestructura existente de Active Directory.

  • Controlar el acceso usando los permisos de la lista de control de acceso (ACL) de Active Directory.

  • Transmitir contraseñas codificadas desde PCs a Active Directory a través de la encriptación utilizando el protocolo Kerberos versión 5 y el cifrado del Estándar avanzado de codificación (AES) de forma predeterminada.

La Atención al cliente de LAPS está disponible en los Servicios de Apoyo Premier de Microsoft.

¿Cómo funciona LAPS? 
El núcleo de la solución de LAPS es una extensión del lado del cliente (CSE) GPO que lleva a cabo las siguientes tareas y puede cumplir las siguientes acciones durante una actualización de GPO:

  1. Comprueba si ya expiró la contraseña de la cuenta del Administrador local.

  2. Genera una nueva contraseña cuando ya expiró la anterior o se requiere cambiar antes del vencimiento.

  3. Valida la nueva contraseña contra de la política de contraseñas.

  4. Informa la contraseña a Active Directory, almacenándola con un atributo confidencial con la cuenta de equipo en Active Directory.

  5. Anuncia la próxima fecha de caducidad para la contraseña de Active Directory, almacenándola con un atributo con la cuenta del equipo en Active Directory.

  6. Cambia la contraseña de la cuenta del Administrador.

Los usuarios con permiso pueden leer la contraseña desde Active Directory. Los usuarios elegibles pueden solicitar un cambio de contraseña en su PC.

¿Cuáles son las características de LAPS? 
LAPS incluye las siguientes características.

Seguridad que proporciona la capacidad de:

  • Generar aleatoriamente las contraseñas que se cambian automáticamente en las máquinas administradas.

  • Efectivamente mitigar los ataques de PtH.

  • Protección de contraseña forzada durante el transporte cifrado que utiliza el protocolo Kerberos versión 5.

  • Usar las Listas de control de acceso (ACL) para proteger las contraseñas en Active Directory y fácilmente implementar un modelo de seguridad detallada.

Capacidad de administración que permite:

  • Configurar los parámetros de las contraseñas, incluyendo su duración, complejidad y longitud.

  • Forzar el restablecimiento de contraseñas por máquina.

  • Usar un modelo de seguridad que se integra con las ACL en Active Directory.

  • Utilizar cualquier herramienta de administración de Active Directory; se proporcionan herramientas personalizadas, como Windows PowerShell.

  • Protección contra la eliminación de la cuenta del equipo.

  • Implementar fácilmente la solución con una huella mínima.

¿Cuáles son los requisitos de la solución? 
LAPS incluye los siguientes requisitos.

Active Directory:

  • Windows Server 2003 Service Pack 1 (SP1) o posterior.

Máquinas administradas:

  • Windows Server 2003 SP2 o posterior, o Windows Server 2003 x64 Edition SP2 o posterior.

Nota: Las máquinas con Itanium no son compatibles.

Herramientas de administración:

  • .NET Framework 4.0

  • Windows PowerShell 2.0 o posterior

Otra información


Microsoft Active Protections Program (MAPP)

Para mejorar las protecciones de seguridad de los clientes, Microsoft proporciona información sobre vulnerabilidades a los principales proveedores de software de seguridad antes de cada publicación mensual de actualización de seguridad. Los proveedores de software de seguridad pueden usar esta información para proporcionar protecciones actualizadas a los clientes mediante su software o dispositivos, como antivirus, sistemas de detección de intrusiones en la red o sistemas de prevención de intrusiones en el host. Para determinar si hay protecciones activas de los proveedores de software de seguridad disponibles, visite los sitios Web de protecciones activas que proporcionan los socios, enumeradas en Socios de Microsoft Active Protections Program (MAPP).

Retroalimentación

Soporte

Descargo de Responsabilidad

La información proporcionada en este aviso se suministra "tal cual", sin garantía de ningún tipo. Microsoft renuncia a toda garantía, expresa o implícita, incluidas las garantías de comercialización y adecuación para un propósito particular. En ningún caso Microsoft Corporation o sus proveedores serán responsables de los daños directos, indirectos, incidentales, consecuentes, pérdida de utilidades o daños especiales, aun si Microsoft Corporation o sus proveedores han sido advertidos de la posibilidad de tales daños. Algunos estados no permiten la exclusión o limitación de responsabilidad por daños consecuentes o incidentales, por lo que no se deberá aplicar la limitación anterior.

Revisiones

  • V1.0 (1º de mayo de 2015: Aviso publicado).

 

Original: https://technet.microsoft.com/es-es/library/security/3062591.aspx