Solución de contraseña de administrador local (LAPS)
Nuestra solución de contraseña para administrador local (LAPS) se creó para resolver el problema de usar cuentas idénticas en su entorno para soporte a usuarios o elevación de privilegios. LAPS crea contraseñas seguras para cuentas locales que se almacenan de forma segura en su propio Azure Key Vault. Para la auditoría, tiene la opción de proporcionar una Application Insights instancia o un Log Analytics Workspace.
Requisitos previos
Antes de que pueda empezar con LAPS, debe cumplir los siguientes requisitos previos:
Configurar Application Insights O Log Analytics Workspace
Habilite explícitamente los tipos de cuenta LAPS mediante la configuración de grupo (o de usuario)
A continuación veremos ambos.
Registro
Application Insights y Log Analytics desempeñan un papel importante al usar LAPS. Las solicitudes de contraseña iniciadas por LAPS se registran mediante RealmJoin y se envían a la instancia configurada de Application Insights o a Log Analytics Workspace. De este modo, tendrá una visibilidad completa de quién está recuperando contraseñas.
Solo es necesario elegir una forma de registro: Application Insights o Log Analytics. El registro es opcional al configurar LAPS y se puede omitir si su organización no necesita esta información.
Puede encontrar más detalles en nuestros Application Insights y Log Analytics artículos.
Configuración de grupo
LAPS admite las siguientes configuraciones globales.
LocalAdminManagement.Inactive
false
Establézcalo en true para forzar la desactivación de esta función. Esto limpiará y eliminará todas las cuentas locales.
LocalAdminManagement.CheckInterval
"01:00"
Intervalo para comprobaciones internas de configuración (HH:mm)
Se admiten los siguientes tipos de cuenta.
LocalAdminManagement.EmergencyAccount
sin definir (inactivo)
LocalAdminManagement.SupportAccount
sin definir (inactivo)
LocalAdminManagement.PrivilegedAccount
sin definir (inactivo)
Cada tipo de cuenta puede configurarse de forma independiente mediante las siguientes configuraciones comunes. Algunos tipos tienen configuraciones especiales descritas en su respectiva sección.
En la siguiente tabla $ representa cualquiera de los tres Account objeto JSON de arriba.
$.DisplayName
"RealmJoin Local Administrator"
Nombre para mostrar
$.PasswordCharSet
"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"
Conjunto de caracteres para el generador de contraseñas (excluye caracteres parecidos)
$.PasswordLength
20
Longitud de la contraseña
$.MaxStaleness
Especial. Consulte Recreación de cuentas.
Plantillas de contraseña predefinidas, consulte Generación de contraseñas.
$.Expiration
Especial. Consulte Cuenta privilegiada.
Fecha fija de expiración de la cuenta (formato ISO-8601)
$.PasswordRenewals
Especial. Consulte Cuenta privilegiada.
Fecha fija de expiración de la cuenta (formato ISO-8601)
contraseña generación
De forma predeterminada, se generarán contraseñas realmente aleatorias basadas en las configuraciones PasswordCharSet y PasswordLength. El conjunto de caracteres predeterminado se eligió para excluir caracteres de apariencia similar como I1l y O0. El generador criptográfico de números aleatorios de Windows se utiliza para proporcionar una aleatoriedad de alta calidad para la generación.
RealmJoin gestionará automáticamente los problemas con los requisitos de complejidad de Windows al crear cuentas. Como ocurre con todas las contraseñas realmente aleatorias, a veces las contraseñas generadas pueden no satisfacer los requisitos de complejidad. Si esto ocurre, RealmJoin realizará hasta tres rondas de generación de contraseñas hasta que se genere una contraseña válida. Existe una pequeña probabilidad estadística de que se superen todos los reintentos. En este caso, verá un mensaje en el archivo de registro del servicio similar a Se superaron todos los reintentos. El proceso completo se reiniciará en la siguiente ejecución de las comprobaciones internas de configuración (consulte la configuración CheckInterval).
Trabajar con contraseñas realmente aleatorias puede ser complicado, por eso también se admiten plantillas predefinidas especiales.
Predefinido 1 ⇒
[1 mayúscula][3 minúscula][4 dígitos]Tuci9325Lnso5050Khwn2174
Predefinido 2 ⇒
Key-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]-[6 dígitos]¡Se admite la configuración PasswordLength! La configuración determina el número de bloques de dígitos.
Key-012993-230956-976475(PasswordLength = 3)Key-497254-679158-631224-278319(PasswordLength = 4)Key-506179-861369-706482-613244-730371-097689-404350-340073(predeterminado)
Predefinido 3 ⇒
[palabra]-[palabra]-[palabra]-[palabra]-[palabra]-[palabra]generado a partir de Eff Long List¡Se admite la configuración PasswordLength! La configuración determina el número de palabras.
Exciting-Unearth-Cried-87(PasswordLength = 3)Neurology-Astute-Debate-Marshy-15(PasswordLength = 4)Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26(predeterminado)
Recreación de cuentas
Después de que se use una cuenta, RealmJoin puede configurarse para eliminar y recrear la cuenta usando la configuración MaxStaleness . De este modo, las cuentas estarán siempre intactas. Si no se configura, las cuentas nunca se recrearán y permanecerán indefinidamente.
RealmJoin eliminará la cuenta y su perfil. Todos los archivos se eliminarán permanentemente.
Si una cuenta sigue en uso —aún con sesión iniciada, sesión abierta, aplicación iniciada con ADM y aún en ejecución— la cuenta agotará igualmente el tiempo, pero no podrá eliminarse. No se puede crear una nueva cuenta mientras la cuenta anterior no se elimine.
Evitar conflictos
Aunque RealmJoin hace todo lo posible para evitar conflictos de nombres al administrar las cuentas en un dispositivo, siempre existe la posibilidad de que las cuentas ya existan en un dispositivo y causen conflictos. Por eso la configuración NamePattern admite estos tokens con un significado especial para RealmJoin. Los tokens se transformarán mediante la función especificada y su parámetro de longitud tras los dos puntos.
{HEX:8}⇒F4D027EF,B3C4F74E, ... (caracteres hexadecimales aleatorios){DEC:6}⇒506453,066946, ... (caracteres decimales aleatorios){COUNT:2}⇒01,02, ... (contador, se mantendrá01si no existen conflictos)
Cuenta de emergencia
Este tipo de cuenta es su acceso de respaldo al dispositivo en caso de que falle de forma catastrófica. Se creará de forma proactiva. Así siempre tendrá acceso para recuperación. Recomendamos configurarlo para recreación de cuentas.
Ejemplo
Clave LocalAdminManagement.EmergencyAccount (para configuraciones comunes, consulte configuración de grupo)
Cuenta de soporte
Este tipo de cuenta puede configurarse para creación bajo demanda. Está diseñado para usarse en una ventana de tiempo limitada de 12 horas en modo bajo demanda.
Las cuentas de soporte y sus perfiles se eliminarán 12 horas después de solicitar la cuenta, independientemente del uso (después de que el usuario de soporte cierre sesión). Todos los archivos se eliminarán permanentemente.
Al usar el modo bajo demanda, la recreación de la cuenta (MaxStaleness) no debe usarse. Puede interferir con su flujo de trabajo de soporte.
Requisitos para el flujo de trabajo bajo demanda:
El modo se habilita estableciendo
"OnDemand": true.Un usuario ha iniciado sesión
El agente de RealmJoin se está ejecutando
El dispositivo está conectado a Internet
El dispositivo puede الوصول al backend de RealmJoin
El agente de RealmJoin puede tardar hasta 30 minutos en detectar la solicitud. El usuario con sesión iniciada puede acelerar este proceso eligiendo "Sincronizar este dispositivo" en el menú de la bandeja de RealmJoin.
Cuando no está en modo bajo demanda, se creará de forma proactiva.
Ejemplo
Clave LocalAdminManagement.SupportAccount (para configuraciones comunes, consulte configuración de grupo)
Cuenta privilegiada
Este tipo de cuenta está diseñado para ser utilizado por usuarios avanzados que necesitan privilegios de administrador regulares pero controlados en sus propios dispositivos. Se puede especificar una fecha fija de expiración de la cuenta (Expiration).
Para este tipo, la recreación de la cuenta (MaxStaleness) no debe usarse. El objetivo es tener una cuenta persistente para sus usuarios.
Se admiten rotaciones forzadas de contraseña:
2021-11-20T12:34:56+01:00: Cualquier marca de tiempo explícita en ISO-8601. Se pueden especificar varias marcas de tiempo.DayAfterCreate: Después de que se haya creado la cuenta, la contraseña de la cuenta se cambiará. Esto es útil cuando se supone que los usuarios deben configurar Windows Hello para opciones de inicio de sesión adicionales.Anual,MensualoSemanal: El intervalo más corto tiene prioridad (Semanal>Mensual>Anual). Si no se especifican más condiciones, los valores predeterminados son "primer día del mes" paraMensualo "lunes" paraSemanalAdemás,Anualtoma como valor predeterminado la fecha del último cambio de contraseña + 365 días. Se pueden especificar los siete días de la semana. Así que simiércolesySemanalse especifican, la contraseña se cambiará todos los miércoles. SimiércolesyMensualse especifican, la contraseña se cambiará el primer miércoles de cada mes. CombinarAnualcon días de la semana establecerá la fecha límite en el día de la semana especificado más tardío posible justo antes de que se cumplan 365 días.
Ejemplo
Clave LocalAdminManagement.PrivilegedAccount (para configuraciones comunes, consulte configuración de grupo)
Acceso a contraseñas
Use el Portal de RealmJoin para acceder a las contraseñas.
Habilitar autoservicio
Los usuarios pueden acceder a las cuentas creadas en sus propios dispositivos (son "PrimaryUser") cuando se habilita mediante el RealmJoin Portal a partir de la versión 2022.5.1. Para habilitarlo, defina una configuración usando la clave Allow.SelfLAPS. Esta configuración puede definirse en grupos y usuarios. Como ocurre con todas las configuraciones con el prefijo Allow.* se combinan con lógica AND entre el usuario y todos sus grupos.
El valor también puede ser un simple booleano true/false. Esto puede usarse como comodín y abarca todos los tipos de cuenta actuales y futuros. Tenga en cuenta que esto solo se recomienda para deshabilitar el acceso (false).
En el pasado se recomendaba establecer esta configuración en true. Sin embargo, a medida que seguimos ampliando RealmJoin, se agregarán nuevos tipos de cuenta. Por lo tanto, se recomienda encarecidamente migrar todos los valores true a la notación de objeto más explícita
Una configuración de ejemplo podría verse así:
Todos los trabajadores remotos
{ "EmergencyAccount": true }
Los trabajadores remotos pueden acceder a la cuenta de emergencia de sus propios dispositivos.
Todos los desarrolladores
{ "EmergencyAccount": true, "PrivilegedAccount": true }
Los desarrolladores pueden acceder a su cuenta de emergencia y a su cuenta privilegiada, sin importar si son trabajadores remotos o no.
Todos los aprendices
false
Los aprendices nunca deben tener acceso a ninguno de los tres tipos de cuenta y a todos los tipos futuros, incluso si son trabajadores remotos o desarrolladores
SelfLAPS es más potente que el rol habitual de LAPS. Dicho esto, si un usuario administrador está administrando LAPS con su cuenta de usuario habitual, no podrá administrar su propio LAPS.
Mitigación: habilite SelfLAPS para estas cuentas de administrador o utilice cuentas de administrador separadas.
Última actualización
¿Te fue útil?