Evaluación de las soluciones de Solución de contraseñas de administrador local (LAPS) de Windows
Como arquitecto de seguridad, evalúa la solución de contraseñas de administrador local de Windows (WINDOWS LAPS) para determinar cómo aborda los requisitos de su organización para administrar las contraseñas de la cuenta de administrador local. Windows LAPS es una característica de Windows que administra y realiza automáticamente copias de seguridad de contraseñas de cuenta de administrador local en dispositivos unidos a Microsoft Entra y unidos a Active Directory de Windows Server.
Amenazas de seguridad abordadas por Windows LAPS
Las cuentas de administrador local presentan riesgos de seguridad significativos cuando las contraseñas se comparten o reutilizan en todos los dispositivos. Windows LAPS aborda estas amenazas:
- Ataques pass-the-hash: cuando los atacantes capturan un hash de contraseña de administrador local de un dispositivo, pueden usarlo para autenticarse en otros dispositivos con las mismas credenciales. Windows LAPS genera contraseñas únicas para cada dispositivo.
- Recorrido lateral: los atacantes que ponen en peligro un dispositivo a menudo intentan moverse lateralmente a través de la red. Las contraseñas de administrador local únicas limitan este movimiento.
- Persistencia de credenciales: las contraseñas de administrador local estáticas permanecen válidas indefinidamente a menos que se cambien manualmente. Windows LAPS gira automáticamente las contraseñas en función de la directiva.
Escenarios admitidos
Evalúe qué escenario de Windows LAPS coincide con el entorno:
| Scenario | Directorio de copia de seguridad | Caso de uso |
|---|---|---|
| Dispositivos unidos a Microsoft Entra | Microsoft Entra ID | Entornos híbridos o nativos en la nube con la administración de Intune |
| Clientes unidos a Windows Server AD | Windows Server Active Directory | Entornos locales con administración de directivas de grupo |
| Controladores de dominio de Windows Server AD | Windows Server Active Directory | Administración de contraseñas de cuentas DSRM |
| ** Dispositivos ensamblados híbridos | Cualquiera de los dos directorios (uno a la vez) | Organizaciones con identidad local y en la nube |
Evaluación del directorio de copia de seguridad
La elección del directorio de copia de seguridad afecta al modelo de seguridad, las herramientas de administración y el control de acceso.
Copia de seguridad del identificador de Entra de Microsoft
- Las contraseñas se almacenan en el objeto de dispositivo Microsoft Entra con cifrado adicional
- El control de acceso usa RBAC de Microsoft Entra con roles integrados (administrador global, administrador de dispositivos en la nube, administrador de Intune)
- Admite roles personalizados y unidades administrativas para el acceso pormenorizado
- Las directivas de acceso condicional pueden proteger las operaciones de recuperación de contraseñas
- Los registros de auditoría realizan un seguimiento de las actualizaciones de contraseñas y los eventos de recuperación a través de Microsoft Entra
Copia de seguridad de Windows Server Active Directory
- Las contraseñas se almacenan en atributos en objetos de equipo
- El control de acceso usa ACL en objetos de equipo y unidades organizativas
- El cifrado de contraseña opcional usa DPAPI de CNG (AES-256) y requiere el nivel funcional de dominio de Windows Server 2016 o posterior. Puede configurar qué entidad de seguridad puede descifrar (el valor predeterminado es Administradores de dominio).
- El historial de contraseñas se puede almacenar (requiere el cifrado habilitado; no está disponible con el identificador de Entra de Microsoft)
- Se recomienda habilitar el cifrado de contraseñas al almacenar contraseñas en AD
Capacidades de política
Al evaluar Windows LAPS, tenga en cuenta estas funcionalidades:
- Complejidad de la contraseña: admite la longitud y la complejidad de la contraseña configurables, además de la generación de frase de contraseña (Windows 11 24H2 y versiones posteriores)
- Destino de la cuenta: puede administrar la cuenta de administrador integrada (identificada por RID, no nombre), una cuenta personalizada con nombre o una cuenta administrada creada automáticamente.
- Rotación automática: las contraseñas se rotan en función de una directiva de antigüedad configurable.
- Acciones posteriores a la autenticación: después de usar la contraseña administrada para la autenticación, Windows LAPS puede restablecer automáticamente la contraseña y cerrar la cuenta, reiniciar el dispositivo o finalizar los procesos restantes. Esto limita la ventana durante la que una contraseña recuperada sigue siendo válida.
Comparación de modelos de seguridad
| Capacidad | Microsoft Entra ID | Windows Server AD |
|---|---|---|
| Cifrado de contraseña en reposo | Siempre (capa adicional) | Opcional (requiere DFL 2016+) |
| Modelo de control de acceso | RBAC con roles personalizados | ACL en unidades organizativas y objetos de equipo |
| Acceso condicional | Compatible | No disponible |
| Historial de contraseñas | No está soportado | Compatible |
| Registro de auditoría | Registros de auditoría de Microsoft Entra | Registros de eventos de Windows |
| Compatibilidad con contraseñas de DSRM | No está soportado | Compatible |
| Protección de expiración de contraseñas | N/A | Impide la alteración de la fecha de caducidad en Active Directory |
| Protección contra alteraciones de cuentas | Compatible | Compatible |
La protección de expiración de contraseñas (PasswordExpirationProtectionEnabled, habilitada de forma predeterminada) impide la modificación del atributo de expiración de contraseña en Active Directory, que de lo contrario podría usarse para evitar la rotación.
La protección contra alteraciones de contraseña de cuenta rechaza intentos no autorizados de cambiar la contraseña de la cuenta administrada fuera de LAPS, devolviendo un error y registrando el evento.
Licencias
La característica LAPS de Windows está disponible sin costo adicional. La copia de seguridad de contraseñas en Windows Server Active Directory no tiene requisitos de licencia. La copia de seguridad de contraseñas en microsoft Entra ID requiere Microsoft Entra ID Gratis o superior. Las características de administración de Intune y el acceso condicional pueden requerir licencias adicionales.
Migración desde LAPS heredada
El producto LAPS heredado de Microsoft está en desuso a partir de Windows 11 23H2. La instalación del paquete MSI de LAPS heredado está bloqueada en versiones más recientes del sistema operativo. Evalúe la ruta de migración:
- Windows LAPS no requiere que se instale LAPS legado.
- El modo de emulación de LAPS heredado admite escenarios de migración
- Las organizaciones pueden ejecutar ambas soluciones en paralelo durante la migración si tienen como destino cuentas diferentes.
- Windows LAPS utiliza los mismos atributos de esquema de AD que el LAPS heredado para asegurar la compatibilidad con versiones anteriores.
Opciones de la herramienta de administración
Evalúe qué enfoque de administración se ajusta al modelo operativo:
| Herramienta | Más adecuado para | Consideración clave |
|---|---|---|
| Microsoft Intune | Dispositivos unidos a Microsoft Entra y unidos de forma híbrida | Directivas centralizadas de seguridad de puntos de conexión, rotación de contraseñas a través de acciones de dispositivo, recuperación directa de contraseñas en el Centro de administración |
| Directiva de grupo | Dispositivos unidos a AD en entornos tradicionales | Las plantillas administrativas de Windows LAPS se incluyen en Windows; destinatarios conocidos a través de unidades organizativas |
| PowerShell | Operaciones no planificadas y guionización | Recuperación de contraseñas, rotación forzada y configuración de permisos para escenarios respaldados por AD |
Lista de comprobación de criterios de evaluación
Al evaluar Windows LAPS para su organización, evalúe estos factores:
Cobertura de dispositivos
- ¿Qué porcentaje de dispositivos están vinculados a Microsoft Entra en comparación con AD?
- ¿Hay dispositivos en versiones anteriores del sistema operativo que requieran LAPS heredada?
- ¿Necesita administrar contraseñas DSRM en controladores de dominio?
Requisitos de control de acceso
- ¿Quién necesita la capacidad de recuperar contraseñas de administrador local?
- ¿Necesita protección de acceso condicional para la recuperación de contraseñas?
- ¿Se requieren unidades administrativas para la administración delegada?
Cumplimiento y auditoría
- ¿Qué registro de auditoría es necesario para el acceso a contraseñas?
- ¿Los requisitos normativos exigen el cifrado de contraseñas?
- ¿Cuánto tiempo se debe conservar el historial de contraseñas?
Integración operativa
- ¿Intune está disponible para la implementación de directivas?
- ¿Están establecidos los procesos de gestión de directivas de grupo?
- ¿Qué flujos de trabajo del departamento de soporte técnico necesitan acceso a la contraseña de administrador local?
Requisitos de la plataforma
Windows LAPS está disponible en estas plataformas:
- Windows 11 23H2 y versiones posteriores (incluidos de forma nativa); Windows 11 22H2 y 21H2 con actualización de abril de 2023
- Windows 10 (con la actualización de abril de 2023 o posterior)
- Windows Server 2025 y versiones posteriores (incluidos de forma nativa)
- Windows Server 2022 (con la actualización de abril de 2023 o posterior)
- Windows Server 2019 (con la actualización de abril de 2023 o posterior)
Windows LAPS no es compatible con dispositivos registrados en Microsoft Entra (solo con dispositivos unidos e híbridos) ni con plataformas que no sean Windows.
Recomendación de diseño
Para la mayoría de las organizaciones, evalúe la implementación de Windows LAPS con:
- Id. de Microsoft Entra como directorio de copia de seguridad para dispositivos administrados en la nube
- Cifrado de contraseña habilitado para cualquier contraseña almacenada en Windows Server AD
- Directivas de seguridad de puntos de conexión de Intune para la administración centralizada
- Directivas de acceso condicional que protegen la recuperación de contraseñas para entornos confidenciales
- Registro de auditoría habilitado para realizar un seguimiento de todas las operaciones de recuperación de contraseñas