LAPS (Local Administrator Password Solution) es la solución de Microsoft para habilitar la cuenta Administrador local en Windows de forma segura. Con LAPS podemos configurar un intervalo de rotación y unos requisitos de complejidad para la contraseña de esta cuenta Administrador y será accesible a nivel de dominio.
Por ejemplo, podemos establecer que la contraseña de Administrador local cambie cada 7 días, tenga una longitud de 14 caracteres y utilice mayúscula, minúscula, números y símbolos. De esta forma, un atacante lo tendría difícil para acceder usando esta cuenta.
Podemos habilitar LAPS para almacenar la contraseña en Active Directory o en Entra ID. Antiguamente, el proceso era algo engorroso porque debíamos desplegar un agente en todos los equipos del dominio y una serie de directivas para configurarlo. Sin embargo, Microsoft ha cambiado el proceso este último año y ahora es muy fácil de desplegar.
LAPS está integrado en el sistema operativo con las últimas actualizaciones de Windows 10 y Windows 11 (actualización de abril de 2023 en adelante), por lo que ya no es necesario desplegar un agente. Las políticas siguen siendo necesarias, pero con Intune es tan fácil como completar un asistente.
Pero antes de llegar a ese punto, tendremos que haber habilitado LAPS a nivel de Entra ID y tendremos que desplegar un perfil de configuración para habilitar la cuenta Administrador local en los equipos.
Cómo habilitar LAPS en Microsoft Entra ID
Accedemos al centro de administración de Microsoft Entra y nos dirigimos a Identidad > Dispositivos > Todos los dispositivos > Configuración del dispositivo.
Allí, nos desplazamos hacia la parte inferior y encontraremos la configuración «Habilitar la solución de contraseñas de administrador local (LAPS) de Microsoft Entra» y pulsamos en «Sí». Por último, guardamos los cambios.
Para habilitar la cuenta de Administrador local (y renombrarla), podemos seguir los pasos de este tutorial que publiqué anteriormente.
Cómo desplegar LAPS utilizando Microsoft Intune
Vamos al centro de administración de Microsoft Intune y, una vez allí, nos dirigimos a Seguridad de los puntos de conexión > Protección de cuentas.
Hacemos clic en «Crear directiva». Como plataforma elegimos «Windows 10 y versiones posteriores» y en Perfil escogemos «Local admin password solution (Windows LAPS).
Le damos un nombre descriptivo y añadimos una breve descripción (recordemos que esto es una buena práctica).
Y ahora empieza lo bueno… Las configuraciones recomendables son estas:
- Directorio de copia de seguridad: Copia de seguridad solo en Azure AD
- Días de vigencia de la contraseña: 7
- Nombre de la cuenta de administrador: Sin configurar (cogerá el nombre de la cuenta Administrador local por defecto, sea cual sea, incluso si lo hemos cambiado)
- Complejidad de la contraseña: Letras grandes + letras pequeñas + números + caracteres especiales
- Longitud de la contraseña: Configurado en 14 caracteres
- Acciones posteriores a la autenticación: Restablecer contraseña
- Retraso posterior al restablecimiento de autenticación: Configurado en 24 horas (24 horas después de usar la contraseña, rotará y establecerá una nueva)
Continuamos con el asistente y asignamos la política a un grupo o a todos los dispositivos administrados por Intune.
Finalmente, revisamos las opciones elegidas y pulsamos en «Crear».
Cómo ver la contraseña creada por LAPS en Intune
Una vez se haya desplegado la política, podemos ver la contraseña generada en los distintos dispositivos de Intune. Abrimos uno de ellos y pulsamos en «Contraseña de administrador local». Después, tendremos que pulsar en «Mostrar contraseña de administrador local».
En el panel que se abre aparecerá tanto el usuario Administrador local como su contraseña y ya podremos utilizarla en el dispositivo.