Ver destacados

Cómo instalar y configurar LAPS en Windows Server 2016

Aprende cómo instalar y configurar LAPS para gestionar las contraseñas y permisos de los administradores en Windows Server 2016.
Escrito por
25.1K Visitas  |  Publicado feb 13 2017 12:18
Favorito
Compartir
Comparte esta pagina a tus Amigos y Contactos usando las siguientes Redes Sociales


Velar por una máxima seguridad es el objetivo en un entorno organizacional y cuando trabajamos con Windows Server 2016 contamos con numerosas configuraciones que nos da la posibilidad de aumentar estos niveles de seguridad tanto a nivel del servidor como de los equipos cliente.

 

Hoy hablaremos de una herramienta en especial que muy pocos administradores conocen y es la utilidad LAPS.
Analizaremos en detalle cómo implementar LAPS en Windows Server 2016 y conoceremos su funcionalidad y alcance.

 

Qué es LAPS
LAPS (Local Administrator Password Solution – Solución de contraseñas de administración local) es una herramienta diseñada por Microsoft con el fin de proporcionar una contraseña a los administradores locales del sistema y su alcance abarca a los equipos cliente del dominio.

 

Esta herramienta almacena de forma centralizada las contraseñas de los administradores y estos a su vez determinan qué tipo de usuarios pueden leer estas contraseñas, lo cual garantiza un alto nivel de seguridad y privacidad.

 

 

Funciones de LAPS
LAPS puede realizar lo siguiente:
  • Generar contraseñas únicas.
  • Almacenarlas de forma segura en el Directorio Activo.
  • Establecer contraseñas de forma aleatoria.
  • Comprobar si la contraseña del administrador local ha caducado para proceder a su renovación.
  • Informar del estado de la contraseña al administrador.
  • Definir las características de la contraseña como tamaño, complejidad, etc.
  • Protege contra la eliminación accidental de equipos cliente.
  • Implementación sencilla.
  • Modelo de seguridad integrado con el Directorio Activo.
  • Conserva el historial de las contraseñas.
  • Permite sistemas de encriptación adicionales.
  • Las contraseñas generadas por LAPS están protegidas por el sistema Kerberos lo cual garantiza altos estándares de seguridad.

 

Requisitos para la implementación de LAPS en Windows Server 2016
Existen una serie de requisitos mínimos para implementar la herramienta y que su funcionamiento sea el adecuado en el servidor. Estos requisitos son:
  • Tener habilitado el rol de Directorio Activo o Active Directory.
  • Tener .NET Framework 4.0
  • PowerShell 2.0
  • Soporta todas las ediciones de Windows tanto a nivel de cliente como de Servidor.

 

 


1. Cómo instalar LAPS en Windows Server 2016

 

Paso 1

La herramienta LAPS puede ser descargada desde el siguiente enlace. Allí seleccionamos la edición a descargar, 32 o 64 bits. Para este tutorial usaremos Windows Server 2016 de 64 bits.

 

 LAPS

 

Paso 2

Una vez descargado el instalador de acuerdo a nuestro equipo procedemos a ejecutarlo y se desplegara la siguiente ventana. Allí pulsamos en Next y en la siguiente ventana aceptaremos los términos de licencia.

 

 

Paso 3

Pulsamos de nuevo en Next y a continuación seleccionamos o no las características adicionales de LAPS. La primera opción AdmPwd GPO Extension es la que nos permite administrar todos los equipos del dominio. Para habilitar alguna de estas características pulsamos sobre ella y seleccionamos la opción Entire feature will be instaled on local hard drive

 

Una vez definidos estos parámetros pulsamos en Next y estaremos listos para el proceso de instalación de LAPS en Windows Server 2016.

 

 

Paso 4

Pulsamos en el botón Install para iniciar el proceso el cual dura muy poco tiempo. Y al final pulsamos en Finish para salir del asistente.

 

 

 


2. Cómo crear grupos de administración en Windows Server 2016

 

Es idea que tengamos dentro de nuestra estructura ciertos grupos de lectura y escritura en las maquinas del dominio.

 

Paso 1

Para esto accedemos al Administrador del servidor y allí vamos a Herramientas / Usuarios y equipos de Active Directory. Allí crearemos los siguientes grupos en la unidad organizativa Solvetic:
  • LAPS PC R: El cual posibilita acceso de lectura.
  • LAPS PC RW: Permite acceso de escritura.
  • LAPS Servers: Nos permite gestionar servidores si aplica.

 

 

Paso 2

El siguiente paso consiste en otorgar los permisos en cada grupo, para ello tenemos dos grupos llamados Redacción y Gestión. En el grupo LAPS PC R añadiremos ambos grupos:

 

 

Paso 3

Y en el grupo LAPS PC RW añadiremos solo al grupo de Gestión el cual podrá realizar modificaciones. El proceso para la creación de los grupos y el añadido de miembros ya es conocido por todos por lo cual no profundizamos en ella.

 

 

 


3. Cómo ampliar el esquema de Active Director en Windows Server 2016


El siguiente paso consiste en extender el esquema del servidor con el fin de permitir que las funcionalidades de LAPS sean optimas y compatibles con el dominio.

 

Paso 1

Para ejecutar esta tarea el usuario debe ser miembro del grupo Administradores de esquema. Ahora será necesario abrir una consola de Windows PowerShell como administradores e ingresar el siguiente comando:
Update-AdmPwdADSchema
Paso 2

Tendremos el siguiente resultado.De este modo hemos extendido nuestro esquema en el Active Directory.

 

 

Nota
En caso de presentarse algún error al momento de ejecutar el comando debemos importar el cmdlet correspondiente usando la siguiente línea:
Import-Module AdmPwd.PS

 

Paso 3

El siguiente paso consiste en dar los permisos a los equipos alojados en las unidades organizativas puedan actualizar su contraseña en el Directorio Activo. Para esto ejecutaremos el siguiente cmdlet:
Set-AdmPwdComputerSelfPermission –OrgUnit (Nombre OU)

 

Paso 4

Una vez definido esto será necesario otorgar permisos a los grupos creados bien sea de lectura o escritura. Para esto usaremos el siguiente cmdlet:
Set-AdmPwdReadPasswordPermission –OrgUnit (Nombre OU) –AllowedPrincipals “grupo”

 

Paso 5

En este caso hemos añadido los dos grupos creados y este cmdlet otorga privilegios de lectura. Ahora otorgaremos los permisos de escritura al grupo LAPS PC RW ingresando el siguiente cmdlet. Vemos que se han concedido los permisos requeridos.
Set-AdmPwdResetPasswordPermission –OrgUnit Solvetic –AllowedPrincipals “LAPS PC RW”

 

 


4. Cómo configurar la política de grupo para la gestión de los equipos en Windows Server 2016


A continuación, crearemos la política de grupo que nos va a dar el acceso a los equipos a gestionar.

 

Paso 1

Para esto vamos al Administrador del servidor / Herramientas / Administración de directivas de grupo.
Allí seleccionaremos la política a editar, podemos crear una nueva política o usar la política por defecto, damos clic derecho sobre ella y seleccionamos Editar.

 

Paso 2

En la ventana desplegada vamos a la ruta:
  • Configuracion del equipo
  • Directivas
  • Configuracion de software

 

 

Paso 3

En la ventana desplegada pulsamos clic derecho sobre la opción Instalación de software y seleccionamos la opción Nuevo / Paquete.

 

 

Paso 4

Allí será necesario buscar los instaladores de LAPS que hemos descargado, en este caso los hemos copiado en la ruta Sysvol:

 

 

Paso 5

Seleccionamos los paquetes y veremos el siguiente mensaje. Dejamos la opción por defecto y pulsamos Aceptar.

 

 

Paso 6

Podemos ver el paquete LAPS configurado en la política. Será necesario copiar el paquete LAPS de 32 bits para los equipos con esta arquitectura.

 

 

 


5. Cómo editar política LAPS en Windows Server 2016

 

Paso 1

Con todos estos parámetros configurados procedemos a acceder nuevamente al editor de políticas de grupo y en la ruta Configuracion del equipo / Directivas / Plantillas administrativas / LPAS tendremos las opciones de configuración a usar con LAPS:

 

 

Paso 2

Allí encontramos en el costado derecho las diversas políticas a implementar.
En primer lugar, seleccionamos la política Enable local admin password management siendo esta la política más importante ya que nos va a brindar la posibilidad de habilitar la administración de las contraseñas. Damos doble clic sobre ella y seleccionamos la casilla Habilitada.

 

 

Paso 3

Pulsamos en Aplicar / Aceptar para guardar los cambios. A continuación, editaremos la política llamada Password Settings ya que desde allí gestionaremos la forma como debe ser asignada la contraseña.
Damos doble clic sobre ella y en primer lugar habilitamos la política activando la casilla Habilitada y podemos ver las diversas opciones de ajustes:

 

 

Paso 4

Allí podemos definir el largo de la contraseña, el tiempo de duración, definir mayúsculas, minúsculas o símbolos especiales, etc. Una vez definidos estos ajustes pulsamos en Aplicar / Aceptar para guardar los cambios.
Notemos que en el panel central tenemos consejos sobre que valores mínimos y máximos establecer.

 

Con la política Name of administrator account to manage podemos definir el nombre del administrador que controlara las contraseñas, pero debe ser diferente al administrador por defecto del sistema.
Si no tenemos otro administrador no modificamos esta contraseña.

 

Con la última política Do not allow password expiration time longer than required by policy podemos definir para aumentar el tiempo de expiración de la contraseña.

 


6. Cómo actualizar política en el equipo cliente en Windows Server 2016

 

Paso 1

Para forzar los cambios de las políticas en los equipos cliente, en este caso Windows 10, usaremos el comando gpupdate /force desde el símbolo del sistema y veremos el siguiente mensaje. Ingresamos la letra S para reiniciar el equipo y aplicar los cambios.

 

 

Paso 2

Para verificar que grupos pueden hacer cambios en las políticas de contraseñas vamos a Windows PowerShell y ejecutaremos en primer lugar el siguiente comando:
Find-AdmPwdExtendedRights –OrgUnit (Nombre OU)
Paso 3

Posteriormente para ver en detalle los permisos usaremos el siguiente cmdlet. Allí tenemos el listado completo de grupos con el tipo de acceso.
(Find-AdmPwdExtendedRights –OrgUnit (Nombre OU).ExtendedRightHolders

 

Paso 4

Podemos comprobar que aún no ha sido modificada la propiedad de la contraseña en el equipo cliente dirigiéndonos a la opción Usuarios y equipos de Active Directory, buscando el equipo cliente, dando clic derecho sobre él y seleccionando la opción Propiedades / Editor de atributos. Allí buscamos las líneas siguientes. Como vemos aún no están establecidas.
  • ms-Mcs-Adm-pwd
  • ms-Mcs-Adm-PwdExpirationTime

 

 

Nota
en caso de no tener activa la pestaña Editor de atributos será necesario ir al menú Ver / Características avanzadas en la ventana Usuarios y equipos de Active Directory.

 

Paso 5

Una vez actualicemos las políticas en el equipo cliente podremos ver ya ha sido asignada una contraseña en el equipo:

 

 

De este modo hemos configurado LAPS en Windows Server 2016 para la gestión de nuestros equipos. El uso y configuración de contraseñas en los equipos de un servidor son muy importantes y por eso es adecuado conocerlos en Windows Server. Para seguir gestionando tu seguridad, aquí tienes cómo poder bloquear con contraseña de forma automática los equipos en Windows Server 2016.

 

¿Te ayudó este Tutorial?

Ayuda a mejorar este Tutorial!
¿Quieres ayudarnos a mejorar este tutorial más? Puedes enviar tu Revisión con los cambios que considere útiles. Ya hay 0 usuario que han contribuido en este tutorial al enviar sus Revisiones. ¡Puedes ser el próximo!