Resolviendo el lío de la administración local

-

 Una de las medidas básicas de la seguridad de la información tiene que ver con cuentas es aplicar el principio del mínimo privilegio (PoLP).  Ya mucho de ha hablado de este tema e incluso tiene una entrada en Wikipedia: https://en.wikipedia.org/wiki/Principle_of_least_privilege

El principio dice que los usuarios y los procesos deben ejecutarse con el mínimo de privilegios posibles y es aquí donde entran las cuentas de usuarios.

Una mala práctica es dejar que los usuarios sean administradores de sus estaciones de trabajo, ya que tendrían el control total de una parte del sistema corporativo que potencialmente podría poner en riesgo a la organización completa. No solo temas de seguridad, sino que también se daría la posibilidad que los usuarios usen sus equipos para fines personales como jugar, especialmente cuando se entregan dispositivos de última generación con características de hardware de sobra para ejecutar el último juego publicado. 

Lo comento, porque donde trabajo he visto esta situación y llegamos, en cojunto con la decisión de la plana gerencial, a que los usuarios no deben tener privilegios sobre sus equipos y que la instalación de las aplicaciones se iba a resolver a través de un ticket.

El problema radica en que son algo así como 120 usuarios y teníamos que configurar las cuentas de usuario. Para esta tarea utilizamos el combo Active Directory + System Center ConfigMgr. Tenemos usuarios que no van a la oficina por contrato remoto y otros que están de manera híbrida. La creación de la cuenta fue resuelta con el combo y ahora venía el drama de la contraseña y la disponibilidad del equipo de TI para resolver las necesidades. (La cuenta debe formar parte del grupo de admins local)

LAPS (Local Administration Password Solution) Viene incluido en Windows Server 2022 y consiste en que la contraseña de administrador local (creada en el paso anterior) queda almacenada en el dominio donde se pueden gestionar la rotación y el vencimiento.

Implementar LAPS es una tarea sencilla. Más de una hora no tomará la instalación, que consiste en una extensión del esquema y habilitar las OU para que puedan manejar las contraseñas. Lo que toma tiempo es que la GPO que hace la configuración en los equipos haga efecto en el equipo, pero nada que un gpupdate /force no pueda solucionar.

Cada vez que un usuario requiera de privilegios de administración, se le entrega la contraseña almacenada en el dominio y se puede definir su expiración. Si quieres que la contraseña sea rotada, puedes generar una tarea programada en los equipos de cliente y cada una hora que haga una rotación.

No explicaré como es el proceso, pero pueden encontrar información aquí https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-windows-server-active-directory , en links de Google y tutoriales en Youtube que explicarán mejor que yo :) 

LAPS fue la solución. LAPS será tu solución para manejar contraseñas de admin local de los usuarios.

Hasta la próxima.

Comentarios

Publicar un comentario

Entradas populares de este blog

EDR: decisiones técnicas y comerciales

-
El mercado del software es amplio. Dentro la amplitud están las "soluciones" de seguridad que prometen y se comprometen a minimizar y mitigar los riesgos, controlar el impacto ante una amenaza y generar inteligencia para que las respuestas y las alertas sean oportunas. Ya ni puedo nombrar todas las marcas, productos, versiones y ediciones de software orientados a la seguridad de nicho. Debo decir que hay herramientas que no son necesariamente de seguridad, pero apoyan en la construcción de procedimientos y cumplir con controles de certificaciones, como ISO, o framworks como NIST o CIS. Cuando me preguntan sobre el mejor EDR, XDR o NGAV, la verdad es que no tengo idea. No he tenido la dicha de contar con un laboratorio y darles duro hasta que mueran, pero si he conocido bastantes en el mercado, he participado en pruebas de concepto y he trabajado con algunos en entornos productivos y amenazas reales. Como digo, no tengo idea cuál será el mejor o cuál será el peor. Tengo alguno...
Leer más

La vocación y la vocación

-
Desde hace más de 15 años que vengo escuchando que las carreras de las áreas de informática serían las carreras del futuro y, como tal, serían ampliamente demandados profesionales del área. El área más común es del desarrollo de software y de ahí ha generado demandas en la evolución misma del ciclo de desarrollo de software.  A raíz de la popularidad es que ha habido un explosivo aumento de cursos por internet que ofrecen aprender a programar en pocas semanas y salir pidiendo un sueldo base más alto de lo que el mercado podría pagar. He visto profesionales de otras áreas que toman estos cursos solo con la intención de tener un mejor sueldo. En comunidades de internet son recurrentes las preguntas del corte de cuánto ganarían si siendo profesional de otra área se dedicara al desarrollo. Hablo de desarrollo, porque es lo más común. Hay una burbuja que está reventando. Profesionales que pican código abundan y hacen que el precio de mercado sea cada vez más bajo. Del mismo modo, hay pr...
Leer más

¿Debo estudiar informática?

-
En febrero ya siempre está mayoritariamente zanjada la elección y matrícula de estudiantes que terminaron su educación secundaria o de aquellos que prefirieron tomar una decisión más tarde. He escuchado y leído muchas preguntas acerca de la carrera, empleabilidad y salario. También hay mitos bien formados que confunden a los más novatos (y a los no tanto también). La oferta es amplia. Extremada e innecesariamente amplia: universidades, institutos profesionales y centros de formación técnica. Quizá ese no es el problema. Veo que en la mayoría de los casos el drama está en el desconocimiento de las funciones de la informática. En esta sección de FAQ intentaré aclarar conceptos. Aquí voy: 1) ¿Qué es la informática?  Es una rama de la ingeniería que se encarga de tratar con sistemas de información, funcionamiento y comunicación. 2) ¿Cuál es la función de un profesional del área de la informática?  Diseñar, analizar, desarrollar, mantener, mejorar, comunicar, dar soporte, asegurar,...
Leer más