Modos de administración de cuentas LAPS de Windows
Conozca los diferentes modos de administración de cuentas que admite la Solución de contraseñas de administrador local de Windows (Windows LAPS).
Importante
La característica de administración automática de cuentas de Windows LAPS solo se admite en Windows 11 24H2, Windows Server 2025 y versiones posteriores.
Información general
El propósito principal de Windows LAPS es rotar regularmente la contraseña de una cuenta local de Windows. Esta cuenta puede ser la cuenta predefinida de administrador o una cuenta nueva personalizada. El administrador de TI puede elegir entre dos modos diferentes para configurar y administrar la cuenta de destino: manual y automático. Ambos modos tienen sus ventajas y desventajas.
Hay dos modos diferentes disponibles para administrar la cuenta de destino.
El modo manual de administración de cuentas es el modo predeterminado. En el modo manual, el administrador de TI es responsable de la configuración de todos los aspectos de la cuenta administrada, excepto la contraseña, que administra y controla Windows LAPS.
El modo automático de administración de cuentas es un modo opcional. En el modo automático, Windows LAPS es responsable de la configuración de todos los aspectos de la cuenta administrada, incluida la creación y eliminación básicas de la cuenta según sea necesario, además de la contraseña de la cuenta.
Modo manual de administración de cuentas
El modo manual es el modo predeterminado. El administrador de TI tiene la opción de seleccionar la cuenta predefinida de administrador o una nueva cuenta personalizada. Esta opción se configura mediante la configuración de directiva AdministratorAccountName. Si la configuración AdministratorAccountName está vacía, se administra la cuenta predefinida de administrador de lo contrario, AdministratorAccountName especifica el nombre de una cuenta local personalizada.
Cuando se especifica una cuenta local personalizada, el administrador de TI es responsable de crear esa cuenta antes de habilitar Windows LAPS: Windows LAPS no crea la cuenta en este modo. Hay muchas maneras de crear una cuenta local:
- Configuración del CSP de cuentas
- Implementación de scripts de administración basados en directivas personalizados
- Agregar la cuenta de destino a una imagen base del sistema operativo.
Estos mecanismos agregan complejidad adicional que se puede evitar mediante el modo de administración automática de cuentas.
En este modo, la contraseña de la cuenta de destino está protegida contra alteraciones accidentales o descuidadas. Todos los demás cambios de configuración de la cuenta están permitidos.
Modo automático de administración de cuentas
El modo automático es un modo desactivado de manera predeterminada. Una vez activado, el administrador de TI puede elegir entre los siguientes detalles de configuración:
- Si desea seleccionar la cuenta predefinida de administrador o una nueva cuenta personalizada
- El nombre de la cuenta
- Si se activa o desactiva la cuenta
- Si desea aleatorizar el nombre de la cuenta
Detalles de la configuración automática de la cuenta
Cuando el modo automático está activado, la cuenta administrada se configura de la siguiente manera:
- La cuenta se convierte en miembro del grupo de administradores locales
- Se desactiva la opción de contraseña no requerida
- Se desactiva el indicador de contraseña que no vence nunca
- La descripción de la cuenta se modifica para indicar que Windows LAPS controla la cuenta
Mejoras y consideraciones de seguridad de administración automática de cuentas
Al igual que cualquier cuenta de usuario, las cuentas locales de Windows representan un vector de vulnerabilidad potencial para los atacantes. Esta amenaza también está presente para las cuentas administradas por Windows LAPS, aunque se mitiga en gran medida por las contraseñas muy complejas generadas (y rotadas periódicamente) por Windows LAPS. La administración automática de cuentas ofrece dos mejoras que pueden mitigar aún más las amenazas cuando se desea más garantía para entornos de alta amenaza.
En primer lugar, mantener la cuenta administrada en un estado deshabilitado elimina completamente la posibilidad de que la cuenta pueda ser el destino de una difusión de contraseña o un ataque similar. Sin embargo, mantener la cuenta administrada en un estado deshabilitado presenta fricción: la cuenta administrada debe habilitarse (a través de la manipulación de directivas de GPO o MDM) para poder usar la cuenta.
En segundo lugar, el mantenimiento de un nombre de cuenta administrado único por dispositivo (a través de la selección aleatoria de nombres de cuenta) dificulta el trabajo de un atacante. En lugar de saber con antelación qué cuenta atacar en todos los dispositivos, el atacante debe averiguar de alguna manera el nombre de la cuenta en un dispositivo de destino determinado. Hay más fricción aquí, ya que el personal de TI debe estar entrenado para no depender de conocer un nombre de cuenta administrada común y de toda la organización.
Los administradores de TI que implementan Windows LAPS en un entorno crítico para la seguridad deben tener en cuenta estas características. Si la fricción introducida mediante la adopción de estas características depende de la frecuencia con la que deben usarse las cuentas administradas por Windows LAPS, además de los requisitos de seguridad de un entorno de TI determinado.
Integración con las directivas de administración de cuentas locales
Windows admite varias directivas para administrar la pertenencia a grupos locales de Windows:
- Directiva RestrictedGroups CSP
- Directiva LocalUsersAndGroups CSP
- Usuarios y grupos locales (directiva de grupo)
- Grupos restringidos (directiva de grupo)
Cada una de las directivas anteriores admite un modo de configuración que puede utilizarse para forzar la eliminación de todos los miembros de un grupo local especificado. Las directivas anteriores ignoran ahora cualquier intento de eliminar la cuenta administrada automáticamente por Windows LAPS del grupo de administradores locales.
Protección contra alteraciones de cuentas
La protección contra alteración de cuentas se amplía en el modo automático. Windows LAPS controla todos los aspectos de configuración de una cuenta administrada automáticamente. Se bloquean los intentos externos de modificar la cuenta administrada. Los administradores de TI no deben crear directivas o scripts que intenten modificar la cuenta administrada.
Windows LAPS rechaza los intentos inesperados de modificar la cuenta con un error STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) o ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Cada rechazo tiene un evento asociado en el canal de registro de eventos de Windows LAPS. Se registran los eventos 10101-10104, que corresponden a qué tipo de modificación se solicitó (modificación básica, modificación del descriptor de seguridad, borrado o eliminación del grupo de administradores locales).
Elección del modo
El modo manual es la mejor opción para situaciones que requieren una configuración única y detallada de la cuenta de destino.
El modo automático es la mejor opción para situaciones con requisitos menos detallados, por ejemplo, solo necesita que la cuenta administrada esté disponible y lista para su uso en una configuración básica con privilegios administrativos. El modo automático también admite la creación de una nueva cuenta personalizada.
| Característica | Modo manual | Modo automático |
|---|---|---|
| Contraseña controlada por Windows LAPS | Sí | Sí |
| El administrador de TI puede personalizar la cuenta | Sí | No |
| Admite la creación automática de cuentas | No | Sí |
| Admite la nomenclatura automática de cuentas | No | Sí |
| Admite la habilitación automática de cuentas\deshabilitación | No | Sí |
| Admite la selección aleatoria de nombres de cuenta automática | No | Sí |
| Admite la integración con directivas de cuenta local | No | Sí |
Importante
Microsoft recomienda que los clientes prefieran el modo de administración automática de cuentas en todo momento, excepto aquellas situaciones (raras) que requieren una configuración única de la cuenta de administración de destino. Además, se recomienda configurar el modo de administración automática de cuentas para crear o establecer como destino una cuenta personalizada y que la cuenta de administrador integrada se deje sin usar y se mantenga en un estado deshabilitado.
Administración de la cuenta del modo de reparación de servicios de directorio
Windows LAPS admite la administración de la contraseña de la cuenta del Modo de reparación de servicios de directorio (DSRM) en los controladores de dominio. Los modos de administración de cuentas manual y automática descritos en este artículo no se aplican a la cuenta DSRM.
Consulte también
Pasos siguientes
Ahora que ya conoce los diferentes modos de administración de cuentas, eche un vistazo a estas otras secciones.