Skip to content
Velaa98 edited this page Jun 16, 2019 · 9 revisions

CLAPS (Cloud Local Administrator Password Solution)

Introducción

En un entorno empresarial de Windows cuando hablamos de un dominio implicamos la necesidad de un administrador para el mismo, damos por hecho que al ser una cuenta con altos privilegios dentro de la organización debe estar protegida correctamente. Al ser una única cuenta o un número limitado de ellas, no habría gran inconveniente en gestionar credenciales seguras y únicas para cada una de ellas.

Por otro lado también tenemos al administrador local de cada equipo del dominio, y aquí es donde llega el problema: ¿Qué hacemos con las credenciales de estos administradores?

Son cuentas a las cuales en un entorno enlos usuarios no deben tener acceso y para ello deben ser protegidas correctamente, para evitar un ataque con saltos laterales entre equipos descartamos la opción de una contraseña segura pero igual para todos los equipo. Con el mismo objetivo descartamos usar patrones que al ser averiguados por un atacante pueda de igual modo saltar lateralmente. Por ende, ¿cómo lo hacemos?.

Objetivos

Aumentar la seguridad del dominio evitando la reutilización de credenciales para usuarios privilegiados.

¿Por qué surge?

CLAPS surge debido a una necesidad real que existe en las empresas actuales. Microsoft hace unos años dio una solución oficial, LAPS, pero a día de hoy está algo desactualizada y no suple las necesidades de los entornos empresariales actuales.

Debo mencionar la existencia de otra solución para el problema actual, SLAPS, puesto que las primeras versiones de CLAPS fueron basadas en ella.

¿Qué es CLAPS?

Es una solución en la nube desarrollada por mi para gestionar las credenciales del administrador local de los equipos unidos al dominio y así evitar la reutilización de estas en varios equipos.

CLAPS es posible gracias a algunos de los servicios de Azure como son Azure Key Vault y Azure Functions.

¿Cuál es el problema?

El uso repetido de credenciales para un usuario privilegiado del sistema es un gran problema de seguridad. Si un atacante consigue obtener dichas credenciales, podría moverse lateralmente de equipo en equipo por todo el dominio.

¿Cómo lo soluciona?

Al igual que LAPS, gestiona las credenciales de los administradores locales de los equipos del dominio de forma que solo aquellos usuarios autorizados tendrán acceso a ellas.

¿Es para todos?

No. CLAPS en su versión actual solo es compatible con entornos empresariales que hagan uso exclusivamente de AAD y clientes con Windows 10.

¿Es lo mismo CLAPS que LAPS?

No. Si bien tienen los mismos objetivos y solucionan el mismo problema, su principal diferencia está en el entorno empresarial para el cual están desarolladas.

¿Y CLAPS que SLAPS?

No exactamente. A diferencia de LAPS, estas dos soluciones si que están pensadas para el entorno empresarial actual. Sin embargo a SLAPS le falta un plus de seguridad para ser viable en un entorno empresarial actual, ahí es donde entra en juego CLAPS, que a pesar de no estar terminada, desde su origen se están contemplando los problemas de seguridad para solucionarlos en futuras versiones.

You can’t perform that action at this time.