Solución de contraseña de administrador local (LAPS)
Nuestra solución Local Administrator Password Solution (LAPS) se creó para resolver el problema de usar cuentas idénticas en su entorno para soporte de usuarios o escalada de privilegios. LAPS genera contraseñas robustas para cuentas locales que se almacenan de forma segura en su propio Azure Key Vault. Para auditoría, tiene la opción de proporcionar una Application Insights instancia o un Log Analytics Workspace.
Pre-requisitos
Antes de poder comenzar con LAPS debe cumplir los siguientes pre-requisitos:
Configurar Application Insights O Log Analytics Workspace
Habilitar explícitamente los tipos de cuenta LAPS usando configuraciones de grupo (o usuario)
Veremos ambos a continuación.
Registro
Application Insights y Log Analytics desempeñan un papel importante al usar LAPS. Las solicitudes de contraseña desencadenadas por LAPS son registradas por RealmJoin y enviadas a la instancia configurada de Application Insights o al Log Analytics Workspace. De este modo tiene una visión completa de quién está recuperando contraseñas.
Solo se debe elegir una forma de registro: Application Insights o Log Analytics. El registro es opcional al configurar LAPS y se puede omitir si su organización no necesita esta información.
Más detalles pueden encontrarse en nuestros Application Insights como Log Analytics artículos.
Configuraciones de grupo
LAPS admite las siguientes configuraciones globales.
LocalAdminManagement.Inactive
false
Establecer en true para forzar que esta característica esté desactivada. Esto limpiará y eliminará todas las cuentas locales.
LocalAdminManagement.CheckInterval
"01:00"
Intervalo para comprobaciones internas de configuración (HH:mm)
Se admiten los siguientes tipos de cuenta.
LocalAdminManagement.EmergencyAccount
indefinido (inactivo)
LocalAdminManagement.SupportAccount
indefinido (inactivo)
LocalAdminManagement.PrivilegedAccount
indefinido (inactivo)
Cada tipo de cuenta puede configurarse de forma independiente usando las siguientes configuraciones comunes. Algunos tipos tienen configuraciones especiales descritas en su sección respectiva.
En la siguiente tabla $ representa cualquiera de las tres Cuenta objeto JSON de arriba.
$.DisplayName
"RealmJoin Local Administrator"
Nombre para mostrar
$.PasswordCharSet
"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"
Conjunto de caracteres para el generador de contraseñas (excluye caracteres similares)
$.PasswordLength
20
Longitud de la contraseña
$.MaxStaleness
Especial. Véase Recreación de cuenta.
Plantillas predefinidas de contraseña, ver Generación de contraseñas.
$.Expiration
Especial. Véase Cuenta privilegiada.
Fecha de expiración fija de la cuenta (formato ISO-8601)
$.PasswordRenewals
Especial. Véase Cuenta privilegiada.
Fecha de expiración fija de la cuenta (formato ISO-8601)
Renovaciones de contraseña
Por defecto se generarán contraseñas verdaderamente aleatorias basadas en las configuraciones PasswordCharSet como PasswordLength. El conjunto de caracteres predeterminado fue elegido para excluir caracteres de aspecto similar como I1l como O0. Se utiliza el generador de números aleatorios criptográfico de Windows para proporcionar aleatoriedad de alta calidad para la generación.
RealmJoin manejará automáticamente problemas con los requisitos de complejidad de Windows al crear cuentas. Como con todas las contraseñas verdaderamente aleatorias, a veces las contraseñas generadas podrían no satisfacer los requisitos de complejidad. Si esto ocurre, RealmJoin realizará hasta tres rondas de generación de contraseñas hasta que se genere una contraseña viable. Existe una probabilidad estadísticamente pequeña restante de que se excedan todos los reintentos. En ese caso verá un mensaje en el archivo de registro del servicio similar a Se excedieron todos los reintentos. El proceso completo se reiniciará en la siguiente ejecución de las comprobaciones internas de configuración (véase la configuración CheckInterval).
Las contraseñas verdaderamente aleatorias pueden ser difíciles de manejar, por eso también se admiten plantillas predefinidas especiales.
Predefinido 1 ⇒
[1 mayúscula][3 minúsculas][4 dígitos]Tuci9325Lnso5050Khwn2174
Predefinido 2 ⇒
Key-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]¡Se admite la configuración PasswordLength! La configuración determina el número de bloques de dígitos.
Key-012993-230956-976475(PasswordLength = 3)Key-497254-679158-631224-278319(PasswordLength = 4)Key-506179-861369-706482-613244-730371-097689-404350-340073(predeterminado)
Predefinido 3 ⇒
[palabra]-[palabra]-[palabra]-[palabra]-[palabra]-[palabra]generado a partir de Eff Long List¡Se admite la configuración PasswordLength! La configuración determina el número de palabras.
Exciting-Unearth-Cried-87(PasswordLength = 3)Neurology-Astute-Debate-Marshy-15(PasswordLength = 4)Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26(predeterminado)
Recreación de cuenta
Después de que se use una cuenta, RealmJoin puede configurarse para eliminar y recrear la cuenta usando la configuración MaxStaleness . De este modo las cuentas siempre estarán intactas. Si no se configura, las cuentas nunca se recrearán y permanecerán indefinidamente.
RealmJoin eliminará la cuenta y su perfil. Todos los archivos serán eliminados permanentemente.
Si una cuenta aún está en uso —aún iniciada, sesión abierta, aplicación iniciada como ADM con ella y todavía en ejecución— la cuenta seguirá caducando, pero no podrá ser eliminada. No se podrá crear una nueva cuenta mientras la cuenta antigua no sea eliminada.
Evitación de conflictos
Aunque RealmJoin hace todo lo posible por evitar conflictos de nombres al administrar las cuentas en un dispositivo, siempre existe la posibilidad de que ya existan cuentas en un dispositivo que provoquen conflictos. Por eso la configuración NamePattern admite estos tokens con un significado especial para RealmJoin. Los tokens serán transformados por la función especificada y su parámetro de longitud después de los dos puntos.
{HEX:8}⇒F4D027EF,B3C4F74E, ... (caracteres hexadecimales aleatorios){DEC:6}⇒506453,066946, ... (caracteres decimales aleatorios){COUNT:2}⇒01,02, ... (contador, permanecerá01si no existen conflictos)
Cuenta de emergencia
Este tipo de cuenta es su acceso de respaldo al dispositivo en caso de que falle catastróficamente. Se creará de forma proactiva. De este modo siempre tendrá acceso para la recuperación. Recomendamos configurarla para recreación de cuenta.
Ejemplo
Clave LocalAdminManagement.EmergencyAccount (para configuraciones comunes ver configuraciones de grupo)
Cuenta de soporte
Este tipo de cuenta puede configurarse para creación bajo demanda. Está diseñada para usarse en una ventana de tiempo limitada de 12 horas en modo bajo demanda.
Las cuentas de soporte y sus perfiles serán eliminados 12 horas después de solicitar la cuenta independientemente del uso (después de que el usuario de soporte haya cerrado sesión). Todos los archivos serán eliminados permanentemente.
Al usar el modo bajo demanda la recreación de cuentas (configuración MaxStaleness) no debe usarse. Puede interferir con su flujo de trabajo de soporte.
Requisitos para el flujo de trabajo bajo demanda:
El modo está habilitado configurando
"OnDemand": true.Un usuario ha iniciado sesión
El agente RealmJoin se está ejecutando
El dispositivo está conectado a Internet
El dispositivo puede alcanzar el backend de RealmJoin
Puede tardar hasta 30 minutos en que el agente RealmJoin detecte la solicitud. El usuario que ha iniciado sesión puede acelerar este proceso eligiendo "Sincronizar este dispositivo" desde el menú de la bandeja de RealmJoin.
Cuando no está en modo bajo demanda se creará de forma proactiva.
Ejemplo
Clave LocalAdminManagement.SupportAccount (para configuraciones comunes ver configuraciones de grupo)
Cuenta privilegiada
Este tipo de cuenta está diseñado para ser usado por usuarios avanzados que necesitan privilegios de administrador regulares pero controlados en sus propios dispositivos. Se puede especificar una fecha de expiración fija para la cuenta (Expiración).
Para este tipo la recreación de cuentas (configuración MaxStaleness) no debe usarse. La idea es tener una cuenta persistente para sus usuarios.
Se admiten rotaciones forzadas de contraseña:
2021-11-20T12:34:56+01:00: Cualquier marca de tiempo explícita en ISO-8601. Se pueden especificar múltiples marcas de tiempo.DayAfterCreate: Después de que la cuenta haya sido creada, la contraseña de la cuenta será cambiada. Esto es útil cuando se espera que los usuarios configuren Windows Hello para opciones adicionales de inicio de sesión.Anual,MensualoSemanal: El intervalo más corto tiene preferencia (Semanal>Mensual>Anual). Si no se especifican más condiciones, los valores predeterminados son "1er día del mes" paraMensualo "lunes" paraSemanal. Además,Anualpor defecto es la fecha de la última configuración de la contraseña + 365 días. Se pueden especificar los siete días de la semana. Así que simiércolescomoSemanalestán especificados, la contraseña se cambiará todos los miércoles. SimiércolescomoMensualestán especificados, la contraseña se cambiará el primer miércoles de cada mes. CombinarAnualcon días de la semana fijará la fecha límite al día de la semana especificado más tardío posible justo antes de que transcurran 365 días.
Ejemplo
Clave LocalAdminManagement.PrivilegedAccount (para configuraciones comunes ver configuraciones de grupo)
Acceso a contraseñas
Use el Portal de RealmJoin para acceder a las contraseñas.
Habilitar autoservicio
Los usuarios pueden acceder a las cuentas creadas en sus propios dispositivos (son "PrimaryUser") cuando está habilitado usando el Portal de RealmJoin a partir de la versión 2022.5.1. Para habilitarlo, defina una configuración usando la clave Allow.SelfLAPS. Esta configuración puede definirse en grupos y usuarios. Como con todas las configuraciones que tienen el prefijo Allow.* se combinan con AND entre el usuario y todos sus grupos.
El valor también puede ser un booleano puro true/false. Esto puede usarse como comodín y abarca todos los tipos de cuenta actuales y futuros. Tenga en cuenta que esto solo se recomienda para deshabilitar el acceso (false).
En el pasado se recomendaba establecer esta configuración en true. Sin embargo, a medida que seguimos ampliando RealmJoin, se añadirán nuevos tipos de cuenta. Por lo tanto, se recomienda encarecidamente migrar todos los valores true a la notación de objeto más explícita
Una configuración de ejemplo puede verse así:
Todos los trabajadores remotos
{ "EmergencyAccount": true }
Los trabajadores remotos pueden acceder a la cuenta de emergencia de sus propios dispositivos.
Todos los desarrolladores
{ "EmergencyAccount": true, "PrivilegedAccount": true }
Los desarrolladores pueden acceder a su cuenta de emergencia y a su cuenta privilegiada—sin importar si son trabajadores remotos o no.
Todos los aprendices
false
Los aprendices nunca deben tener acceso a ninguno de los tres tipos de cuenta como todos los tipos futuros, incluso si son trabajadores remotos o desarrolladores
SelfLAPS es más restrictivo que el rol LAPS normal. Dicho esto, si un usuario administrador está administrando LAPS con su cuenta de usuario regular, no podrá administrar su propio LAPS.
Mitigación: habilite SelfLAPS para estas cuentas de administrador o use cuentas de administrador separadas.
Última actualización
¿Te fue útil?