Evaluación de seguridad: uso de Microsoft LAPS
¿Qué es Microsoft LAPS?
La "Solución de contraseñas de Administración istrator local" (LAPS) de Microsoft proporciona administración de contraseñas de cuenta de administrador local para equipos unidos a un dominio. Las contraseñas se almacenan aleatoriamente y se almacenan en Active Directory (AD), protegidas por ACL, por lo que solo los usuarios aptos pueden leerla o solicitar su restablecimiento.
Esta evaluación de seguridad solo admite MICROSOFT LAPS heredado.
¿Qué riesgo supone no implementar LAPS para una organización?
LAPS proporciona una solución al problema de usar una cuenta local común con una contraseña idéntica en todos los equipos de un dominio. LAPS resuelve este problema estableciendo una contraseña aleatoria rotada diferente para la cuenta de administrador local común en todos los equipos del dominio.
LAPS simplifica la administración de contraseñas al tiempo que ayuda a los clientes a implementar defensas más recomendadas contra ciberataques. En concreto, la solución mitiga el riesgo de escalado lateral que resulta cuando los clientes usan la misma combinación de contraseña y cuenta local administrativa en sus equipos. LAPS almacena la contraseña de la cuenta de administrador local de cada equipo en AD, protegida en un atributo confidencial en el objeto de AD correspondiente del equipo. El equipo puede actualizar sus propios datos de contraseña en AD y los administradores de dominio pueden conceder acceso de lectura a usuarios o grupos autorizados, como administradores del departamento de soporte técnico de estación de trabajo.
Cómo usar esta evaluación de seguridad?
Revise la acción recomendada en https://security.microsoft.com/securescore?viewid=actions para detectar cuáles de los dominios tienen algunos dispositivos Windows compatibles (o todos) que no están protegidos por LAPS o que no han cambiado su contraseña administrada de LAPS en los últimos 60 días.
En el caso de los dominios que están parcialmente protegidos, seleccione la fila correspondiente para ver la lista de dispositivos no protegidos por LAPS en ese dominio.
Nota:
Si todo el dominio no está protegido con LAPS, no verá la lista de todos los dispositivos desprotegidos.
Realice las acciones adecuadas en esos dispositivos mediante la descarga, instalación y configuración o solución de problemas de Microsoft LAPS mediante la documentación proporcionada en la descarga.
Nota:
Aunque las evaluaciones se actualizan casi en tiempo real, las puntuaciones y los estados se actualizan cada 24 horas. Aunque la lista de entidades afectadas se actualiza en unos minutos a partir de la implementación de las recomendaciones, el estado puede tardar tiempo hasta que se marque como Completado.