Compartir a través de

Evaluación de seguridad: uso de Microsoft LAPS

  • Artículo

¿Qué es Microsoft LAPS?

La "Solución de contraseñas de administrador local" (LAPS) de Microsoft proporciona administración de contraseñas de cuenta de administrador local para equipos unidos a un dominio. Las contraseñas se aleatorizan y almacenan en Active Directory (AD), protegidas por ACL, por lo que solo los usuarios aptos pueden leerlas o solicitar su restablecimiento.

Esta evaluación de seguridad solo admite Microsoft LAPS heredado .

¿Qué riesgo supone la implementación de LAPS para una organización?

LAPS proporciona una solución al problema de usar una cuenta local común con una contraseña idéntica en cada equipo de un dominio. LAPS resuelve este problema estableciendo una contraseña aleatoria diferente y rotada para la cuenta de administrador local común en todos los equipos del dominio.

LAPS simplifica la administración de contraseñas y ayuda a los clientes a implementar defensas más recomendadas contra ciberataques. En concreto, la solución mitiga el riesgo de escalación lateral que se produce cuando los clientes usan la misma combinación de cuenta local administrativa y contraseña en sus equipos. LAPS almacena la contraseña de la cuenta de administrador local de cada equipo en AD, protegida en un atributo confidencial en el objeto de AD correspondiente del equipo. El equipo puede actualizar sus propios datos de contraseña en AD y los administradores de dominio pueden conceder acceso de lectura a usuarios o grupos autorizados, como administradores del departamento de soporte técnico de la estación de trabajo.

Cómo usar esta evaluación de seguridad?

  1. Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar qué dominios tienen algunos (o todos) dispositivos Windows compatibles que no están protegidos por LAPS o que no han cambiado su contraseña administrada por LAPS en los últimos 60 días.

    Vea qué dominios tienen dispositivos desprotegidos por LAPS.

  2. En el caso de los dominios que están parcialmente protegidos, seleccione la fila correspondiente para ver la lista de dispositivos no protegidos por LAPS en ese dominio.

    Seleccione dominio con dispositivos desprotegidos por LAPS.

    Nota:

    Si todo el dominio no está protegido con LAPS, no verá la lista de todos los dispositivos desprotegidos.

  3. Realice las acciones adecuadas en esos dispositivos descargando, instalando y configurando o solucionando problemas de Microsoft LAPS mediante la documentación proporcionada en la descarga.

    Corrija los dispositivos desprotegidos por LAPS.

Nota:

Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza a los pocos minutos de la implementación de las recomendaciones, el estado todavía puede tardar tiempo hasta que se marca como Completado.

Recursos adicionales