El nuevo LAPS de Windows ahora es una función integrada, disponible a través del último martes de parches
Microsoft comenzó a implementar ayer sus actualizaciones de Patch Tuesday para Windows 10 y Windows 11 . Uno de los elementos mencionados en el registro de cambios de Windows 11 fue una nueva Solución de contraseña de administrador local de Windows (LAPS). Si bien es comprensible que Microsoft no entró en muchos detalles con respecto a esta capacidad en su registro de cambios, ha publicado una publicación de blog dedicada que describe el cambio en detalle.
Para aquellos que no lo sabían, antes de hoy, los LAP solo estaban disponibles como un paquete MSI que podía descargarse manualmente desde el Centro de descarga de Microsoft. Los administradores de TI lo usaban principalmente para proteger las cuentas de administrador local en los dispositivos Windows implementados, recuperar dispositivos iniciando sesión con una cuenta de administrador local y administrar identidades en máquinas unidas a Azure Active Directory, entre muchas otras cosas.
Sin embargo, con la última actualización del martes de parches lanzada ayer, esta variante de LAPS ahora se denominará «LAPS heredado», ya que Microsoft ha integrado de forma nativa el producto directamente en Windows. El gigante tecnológico de Redmond dice que esto se ha hecho debido a la «demanda popular», y que la solución de bandeja de entrada ahora está disponible en los siguientes Windows WeU:
- Windows 11 Pro, EDU y Enterprise
- Windows 10 Pro, EDU y Enterprise
- Windows Server 2022 y Windows Server Core 2022
- Servidor Windows 2019
También hay varias características nuevas para Windows LAPS, se enumeran a continuación:
- LAPS es compatible con Azure Active Directory (en versión preliminar privada actualmente, versión preliminar pública próximamente)
Recupera contraseñas almacenadas a través de Microsoft Graph.
Crea dos nuevos permisos de Microsoft Graph para recuperar solo los «metadatos» de la contraseña (es decir, para aplicaciones de monitoreo de seguridad) o la propia contraseña de texto sin cifrar confidencial.
Proporciona políticas de control de acceso basado en roles de Azure (Azure RBAC) para la creación de políticas de autorización para la recuperación de contraseñas.
Incluye compatibilidad con el portal de administración de Azure para recuperar y rotar contraseñas.
¡Le ayuda a administrar la función a través de Intune!
Rota automáticamente la contraseña después de usar la cuenta.
- Nuevas capacidades para escenarios locales de Active Directory
Cifrado de contraseña: ¡Mejora en gran medida la seguridad de estos secretos confidenciales!
Historial de contraseñas: le brinda la posibilidad de volver a iniciar sesión en las imágenes de copia de seguridad restauradas.
Copias de seguridad de contraseñas del modo de restauración de servicios de directorio (DSRM): ¡Ayuda a mantener sus controladores de dominio seguros al rotar estas contraseñas de recuperación críticas de forma regular!
Modo de emulación: útil si desea continuar usando las herramientas y configuraciones de políticas de LAPS anteriores mientras se prepara para migrar a las nuevas funciones.
Rotación automática: rota automáticamente la contraseña después de usar la cuenta.
- Nuevas funciones para escenarios de Azure AD y AD locales
La administración de políticas enriquecidas ahora está disponible a través de la Política de grupo y el Proveedor de servicios de configuración (CSP)
La rotación de la contraseña de la cuenta LAPS de Windows a pedido desde el portal de Intune es muy útil cuando, por ejemplo, se maneja un posible problema de incumplimiento.
El registro de eventos dedicado se encuentra en Aplicaciones y servicios. Consulte Registros > Microsoft > Windows > LAPS > Operacional para obtener diagnósticos mejorados.
El nuevo módulo de PowerShell incluye capacidades de administración mejoradas. Por ejemplo, ahora puede rotar la contraseña a pedido usando el nuevo cmdlet Reset-LapsPassword.
Los dispositivos combinados híbridos son totalmente compatibles.
Lo bueno para los administradores de TI es que ambas versiones de LAPS pueden coexistir actualmente, pero Microsoft recomendó no usar ambas para configurar la misma cuenta, ya que puede causar conflictos de políticas. Puede comenzar a usar el nuevo LAPS en implementaciones elegibles que hayan instalado las actualizaciones del martes de parches de abril ahora mismo.
Deja una respuesta