Es un año nuevo, lo que tiende a sugerir que es hora de adoptar nuevas soluciones, software o métodos para proteger una red Windows. De hecho, ese es un instinto engañoso. Es mucho mejor volver a lo básico en nuestras redes, que a menudo se descuidan a medida que incorporamos más software y más métodos que claramente no funcionan.
Puede que sea más fácil o conveniente implementar nuevas herramientas de protección externa, pero no llegan a la raíz del problema: la facilidad con la que los atacantes pueden tomar el control una vez que están dentro de una red. Lo que deberíamos hacer es asegurar los cimientos de nuestros dominios y protegernos contra los movimientos laterales, una técnica de ataque prominente empleada durante mucho tiempo por los malos actores. Con solo descifrar una contraseña de administrador local, pueden obtener acceso rápido y fácil a cuentas en muchas máquinas a través de una red.
Implementar completamente Windows LAPS
Para empezar, cada red debe tener una solución de contraseña de administrador local (LAPS) de Windows completamente implementada y funcional. Mientras que antiguamente teníamos que instalar LAPS manualmente en cada estación de trabajo, con Windows 10 y 11 y Server 2019 y Server 2022 desde abril de 2023, el código LAPS está incluido en la plataforma. Puede utilizar Active Directory o Entra (anteriormente Azure AD) para controlar y administrar el cifrado de contraseñas locales.
Windows LAPS proporciona específicamente los siguientes beneficios:
- Protección contra ataques pass-the-hash y transversales laterales.
- Seguridad mejorada para escenarios de mesa de ayuda remota.
- Capacidad para iniciar sesión y recuperar dispositivos que de otro modo serían inaccesibles.
- Un modelo de seguridad detallado (listas de control de acceso y cifrado de contraseñas opcional) para proteger las contraseñas almacenadas en Windows Server Active Directory.
- Soporte para el modelo de control de acceso basado en roles de Entra para proteger las contraseñas almacenadas en Entra ID.
Diferentes dispositivos utilizan diferentes métodos para unirse a una red, por lo que será necesario planificar en consecuencia para administrar los distintos métodos empleados para la copia de seguridad de contraseñas en cada caso. Por ejemplo, aquellos dispositivos que están unidos solo a Entra o Azure AD tienen una copia de seguridad de sus contraseñas solo en Entra o Azure AD.
Los dispositivos que están unidos a Active Directory tienen una copia de seguridad de sus contraseñas en Active Directory. Si un dispositivo es híbrido, se puede hacer una copia de seguridad de su contraseña en Entra, Azure AD o en el Active Directory tradicional. Si todavía utiliza la solución Microsoft LAPS heredada, reserve tiempo y recursos para implementar Windows LAPS. Proteger al administrador local es sólo una de las posibles formas de proteger mejor una red. Pero a menudo estas protecciones adicionales requieren pruebas para garantizar que las estaciones de trabajo sigan funcionando como se espera.