Gestión de Active Directory » Instalación del agente

¿Como identificar cambios en LAPS?

La Solución de contraseñas de administrador local (LAPS, Local Administrator Password Solution) actúa como repositorio central de las contraseñas de los administradores locales en Active Directory. Supervisar y auditar continuamente los cambios en LAPS es esencial para rastrear quién está viendo y modificando las credenciales de los administradores locales. Esto puede ayudar a detectar comportamientos anómalos exhibidos por personas con acceso a información privilegiada y acelerar el análisis forense en caso de percance.

Seguimiento de los cambios en LAPS

Prueba gratuita de 30 días con todas las funciones

  • Con auditoría nativa de AD

  • Con ADAudit Plus

Cómo hacer seguimiento de los cambios en LAPS con ADAudit Plus

  • Una vez instalado ADAudit Plus, configura automáticamente las directivas de auditoría necesarias para la auditoría de Active Directory.

  • Para habilitar la configuración automática: Inicie sesión en la consola web de ADAudit Plus → Domain Settings → Audit Policy: Configure.

  • Los cambios en LAPS pueden identificarse siguiendo los pasos que se mencionan a continuación:

    1. Inicie sesión en ADAudit Plus.
    2. Seleccione el Domain requerido en la lista desplegable.
    3. Vaya a la pestaña de Reports
    4. Vaya a LAPS Audit
    5. Seleccione LAPS Password Read

    como-identificar-cambios-en-LAPS-5 

  • Estos son algunos de los detalles que puede obtener en este informe:

    1. Object Name: nombre del objeto informático
    2. Modified time: hora a la que se ha modificado el atributo LAPS
    3. Who Changed: nombre del usuario que realizó el cambio
    4. Domain Controller: nombre del controlador de dominio
    5. Message: Explica la modificación de LAPS en formato verbose
    6. Modified attributes: indica el atributo LAPS que ha sido alterado
    7. Remarks: Indica el tipo de acceso que se ha realizado

  • Los cambios de caducidad de la contraseña LAPS pueden seguirse siguiendo los pasos que se mencionan a continuación:

    1. Inicie sesión en ADAudit Plus.
    2. Seleccione el Domain requerido en la lista desplegable.
    3. Vaya a la pestaña Reports.
    4. Vaya a LAPS Audit
    5. Seleccione LAPS Password Expiry Changes.

    como-identificar-cambios-en-LAPS-6 

  • Estos son algunos de los detalles que puede obtener en este informe:

    1. New account name: nombre del objeto informático.
    2. Caller user name: nombre del usuario que ha modificado la fecha y hora de caducidad de la contraseña.
    3. Modified time: la hora a la que se ha modificado el valor de expiración de la contraseña.
    4. Modified attributes: indica el atributo LAPS que ha sido alterado.
    5. New value: la fecha y hora actuales de caducidad de la contraseña después de la modificación.
    6. Old Value: la fecha y hora de expiración antes de la modificación.

  • ADAudit Plus permite a los administradores de TI tener una imagen completa de todas las actividades que ocurren dentro de la red de una organización. La supervisión en tiempo real y los informes listos para usar que genera ADAudit Plus facilitan el seguimiento de los cambios críticos realizados en LAPS, así como la detección y prevención de contratiempos.

Con la auditoría nativa de AD, así es como puede supervisar el historial de contraseñas de LAPS:

  • Paso 1: Habilite la directiva “Inicio de sesión de cuentas
  • Inicie el “Administrador de servidores” en la instancia de servidor de Windows.
  • En Administrar, seleccione “Administración de directivas de grupo” e inicie la Consola de administración de directiva de grupo.
  • Navegue a “Bosque” --> “Dominio” --> “Su dominio” --> “Controladores de dominio”.
  • Crear una nueva GPO y vincularla al dominio que contiene el objeto del equipo, o editar cualquier GPO existente que esté vinculada al dominio para abrir el “Editor de administración de directivas de grupo”.
  • Vaya a “Configuración del equipo” -> “Configuración de Windows -> “Configuración de seguridad” -> “Configuración de directiva de auditoría avanzada” -> “Directiva de auditoría” -> “Acceso DS”

  • En Acceso DS, active la auditoría para los eventos de Éxito y error de las siguientes directivas:

    1. Auditar acceso del servicio de directorio
    2. Auditar cambios de servicio de directorio

    como-identificar-cambios-en-LAPS-1 

  • En GPMC, elija el GPO modificado y haga clic en “Agregar” en la sección “Seguridad” en el panel derecho.
  • Escriba 'Todos' en el cuadro de texto para aplicar la GPO modificada a todos los objetos, haga clic en 'Comprobar nombres' para confirmar la misma.
  • Presione “Aceptar” y salga de GPMC.
  • Para aplicar estos cambios en todo el dominio, ejecute el comando 'gpupdate /force', en la consola "Ejecutar".
  • Paso 2: Permita auditoría de AD a través de ADSI Edit
  • Desde su “Administrador de servidores”, vaya a “Herramientas”y seleccione “ADSI Edit”.
  • Haga clic con el botón derecho en el nodo “ADSI Edit” en el panel izquierdo y seleccione la opción “Conectar a”. Esto abre la ventana “Configuración de conexión”.

  • Seleccione la opción “Contexto de nomenclatura predeterminado” de la lista desplegable “Seleccione un contexto de nomenclatura conocido”.

    como-identificar-cambios-en-LAPS-2 

  • Haga clic en “Aceptar” y regrese a la ventana de ADSI Edit. Expanda “Contexto de nomenclatura predeterminado” y seleccione el sub-nodo “DC” asociado. Haga clic con el botón derecho en este sub-nodo y haga clic en “Propiedades”.

  • En la ventana 'Propiedades', vaya a la pestaña 'Seguridad' y seleccione 'Avanzado'. Después de eso, seleccione “Auditoría” y haga clic en “Agregar”.

    como-identificar-cambios-en-LAPS-3 

  • Haga clic en Seleccionar una entidad de seguridad. Esto hará que aparezca una ventana de Seleccione Usuario, Equipo o Grupo.
  • Escriba Todos en el cuadro de texto y verifíquelo con Comprobar nombres.
  • El campo entidad de seguridad en la ventana de Entrada de auditoría ahora muestra Todos.
  • En el menú desplegable Tipo, seleccione Todos para auditar los eventos de Éxito y Error.
  • En el menú desplegable “Seleccionar”, elijaEste objeto y todos los objetos descendientes. Esto permite la auditoría de los objetos descendientes de la unidad organizativa.
  • Seleccione Control total en la sección de Permisos.
  • Haga clic en Aplicar, luego en Aceptar y cierre la consola.
  • Paso 3: Vea eventos en el Visor de eventos
  • En la ventana Visor de eventos, vaya a Registros de Windows ➔ Registros de seguridad .
  • Haga clic en Filtrar registro actual en Acción en el panel derecho.
  • Busque el ID de evento 4662 que identifica los cambios de contraseña en LAPS.

  • Puede hacer doble clic en el evento para ver las Propiedades del evento.

    como-identificar-cambios-en-LAPS-4 

  • Estos pasos deben repetirse para todas las estaciones de trabajo para auditar los cambios en LAPS. Comprobar manualmente cada evento lleva mucho tiempo, es ineficaz y prácticamente imposible para las grandes organizaciones.

¿Se está volviendo demasiado la auditoría nativa?

Simplifique la auditoría e informes de Active Directory con ADAudit Plus.

Obtenga su prueba gratuitaPrueba gratuita de 30 días con todas las funciones

ADAudit Plus simplifica el seguimiento del historial de contraseñas LAPS ofreciendo un informe predefinido de cambios de expiración de contraseñas LAPS junto con una representación gráfica intuitiva del mismo para facilitar su comprensión. ADAudit Plus también le ofrece la opción de generar informes personalizados y exportarlos en el formato que prefiera (PDF, XLS, HTML y CSV).

Satisfaga todas sus necesidades de auditoría y de seguridad de TI con ADAudit Plus.
Active DirectoryWorkstationServidores de archivosServidores Windows CumplimientoProductos relacionados