Microsoft LAPS

Introduction

• Présentation de la solution Microsoft LAPS:

Dans le paysage IT en constante évolution, la gestion des mots de passe des comptes administrateurs locaux est une préoccupation majeure pour les entreprises de toutes tailles. Un mauvais contrôle de ces accès peut donner lieu à de sérieuses failles de sécurité, compromettant ainsi l’intégrité des systèmes d’information. C’est dans ce contexte que Microsoft a développé LAPS (Local Administrator Password Solution), un outil de gestion des mots de passe gratuit, léger et efficace qui offre une solution robuste à ce problème.

La solution Microsoft LAPS est un outil de gestion des mots de passe de comptes administrateurs locaux qui vise à rendre la tâche de gestion de ces mots de passe plus sûre et plus contrôlable. LAPS permet de contrôler et de surveiller le changement de mot de passe de chaque ordinateur dans votre domaine Active Directory, en mettant l’accent sur la sécurité, l’automatisation et la centralisation.

Dans cet article, nous allons vous présenter en détail la solution Microsoft LAPS, son fonctionnement, ses avantages, ainsi que la manière dont vous pouvez l’implémenter dans votre environnement IT. Que vous soyez un administrateur système cherchant à renforcer la sécurité de votre réseau, ou simplement un professionnel IT désireux d’en savoir plus sur les outils disponibles pour gérer les mots de passe administrateurs de vos machines locaux, la solution LAPS n’attend que vous.

En vous guidant pas à pas à travers ce processus, nous espérons vous donner les outils et les connaissances nécessaires pour tirer le meilleur parti de cette solution puissante. Alors, commençons notre voyage pour comprendre et mettre en œuvre la solution Microsoft LAPS.

• Pourquoi c’est important pour la gestion des mots de passe administrateur local.

1. Sécurité accrue : Un administrateur local a des droits complets sur une machine spécifique. Un pirate qui obtient l’accès à un compte d’administrateur local peut installer des logiciels malveillants, désactiver des protections de sécurité, accéder à des données sensibles, et bien plus encore. L’automatisation et la gestion centralisée des mots de passe d’administrateur local par LAPS empêchent l’accès non autorisé, renforçant ainsi la sécurité de chaque machine dans le réseau.
2. Conformité réglementaire : De nombreuses réglementations de l’industrie, telles que le RGPD en Europe, exigent des contrôles stricts sur les accès et les identités. Une gestion adéquate des mots de passe des administrateurs locaux aide à respecter ces exigences.
3. Réduction des risques d’attaques pass-the-hash : Dans ces attaques, un attaquant qui a obtenu un mot de passe administrateur local peut se déplacer latéralement dans le réseau pour accéder à d’autres ressources. LAPS aide en partie à prévenir ces attaques en s’assurant que chaque ordinateur a un mot de passe d’administrateur local unique, et sécurisé.
4. Automatisation de la gestion des mots de passe : LAPS automatise le processus de rotation des mots de passe des administrateurs locaux, ce qui élimine le besoin de le faire manuellement et réduit donc le risque d’erreurs humaines.
5. Traçabilité : Avec LAPS, chaque changement de mot de passe est consigné dans un journal. Cela permet aux administrateurs de suivre les modifications de mot de passe et d’identifier les activités suspectes.

L’importance de la gestion des mots de passe administrateur local ne doit donc pas être sous-estimée. Un mauvais contrôle de ces mots de passe peut donner lieu à des brèches de sécurité graves. En utilisant un outil comme Microsoft LAPS, vous pouvez améliorer considérablement la sécurité de votre environnement informatique.

Comprendre Microsoft LAPS

Microsoft LAPS, ou Local Administrator Password Solution, est une solution gratuite fournie par Microsoft pour gérer les mots de passe des comptes administrateurs locaux dans un environnement de domaine Active Directory. Cette solution offre une manière sécurisée, automatique et centralisée de gérer ces mots de passe, ce qui augmente significativement la sécurité de l’infrastructure IT.

Comment cela fonctionne et comment il améliore la sécurité:

Fonctionnement de Microsoft LAPS

LAPS fonctionne en étendant le schéma Active Directory (AD) pour inclure deux nouveaux attributs pour chaque objet ordinateur dans l’AD. Les attributs sont « ms-Mcs-AdmPwd » pour stocker le mot de passe de l’administrateur local, et « ms-Mcs-AdmPwdExpirationTime » pour déterminer quand le mot de passe expire et doit être changé.

Lorsqu’un mot de passe est arrivé à expiration, la solution LAPS génère un nouveau mot de passe aléatoire, qui est ensuite stocké dans l’attribut « ms-Mcs-AdmPwd ». Le mot de passe est crypté lors du transit pour garantir qu’il ne peut pas être intercepté. Il est ensuite défini comme le mot de passe de l’administrateur local pour l’ordinateur concerné.

La solution LAPS assure également que chaque ordinateur dans l’Active Directory a un mot de passe d’administrateur local unique, ce qui élimine le risque d’une personne malveillante utilisant un mot de passe trouvé ou volé sur plusieurs machines.

Description de l’image

Amélioration de la sécurité avec Microsoft LAPS

LAPS améliore la sécurité de plusieurs façons :

1. Mots de passe uniques : Chaque ordinateur a un mot de passe d’administrateur local unique, ce qui réduit le risque qu’un attaquant puisse utiliser un mot de passe trouvé ou volé pour accéder à plusieurs machines.
2. Changement automatique des mots de passe : LAPS change automatiquement les mots de passe après un certain délai, ce qui limite la fenêtre pendant laquelle un mot de passe volé peut être utilisé.
3. Stockage sécurisé des mots de passe : Les mots de passe sont stockés dans un attribut sécurisé dans l’Active Directory, et ne sont accessibles qu’à ceux qui ont les permissions appropriées.
4. Traçabilité : Chaque changement de mot de passe est consigné, permettant aux administrateurs de suivre les modifications de mot de passe et d’identifier les activités suspectes.

En somme, Microsoft LAPS est une solution essentielle pour améliorer la sécurité dans les environnements Active Directory. Il offre une gestion des mots de passe robuste et automatique, augmentant la sécurité tout en simplifiant la gestion des mots de passe administrateurs locaux.

Pré-requis pour l’implémentation de Microsoft LAPS

L’installation de Microsoft LAPS nécessite de respecter certaines conditions en termes de matériel, de logiciel et de rôles d’utilisateur. Voici les pré-requis à prendre en compte :

Pré-requis matériels : LAPS n’impose pas de contraintes matérielles spécifiques au-delà de celles requises par le système d’exploitation et le domaine Active Directory. Cependant, pour une performance optimale, il est recommandé de disposer d’un système avec suffisamment de RAM et de puissance de processeur pour gérer les demandes de gestion des mots de passe.

Pré-requis logiciels :

1. Domaine Active Directory : LAPS fonctionne en étendant le schéma Active Directory. Par conséquent, un environnement de domaine Active Directory est nécessaire.
2. Client LAPS : Le client LAPS doit être installé sur tous les ordinateurs clients du domaine pour lesquels vous souhaitez gérer les mots de passe administrateur local. Les clients LAPS sont compatibles avec Windows 7 SP1 et versions ultérieures, et Windows Server 2008 R2 SP1 et versions ultérieures.
3. Console de gestion LAPS : Pour gérer LAPS, vous aurez besoin de la console de gestion LAPS, qui peut être installée sur n’importe quel système d’exploitation Windows qui supporte PowerShell 3.0 et versions ultérieures.
4. PowerShell : PowerShell 3.0 ou une version ultérieure est nécessaire pour utiliser les commandes LAPS.

Rôles et droits nécessaires :

1. Droits d’administrateur de domaine : Pour installer et configurer LAPS, vous aurez besoin de droits d’administrateur de domaine. Ces droits sont nécessaires pour étendre le schéma Active Directory et pour configurer les paramètres de stratégie de groupe.
2. Droits d’accès aux mots de passe LAPS : Par défaut, seuls les administrateurs de domaine peuvent accéder aux mots de passe LAPS. Cependant, vous pouvez déléguer cet accès à d’autres utilisateurs ou groupes en leur donnant les droits « Lire » et « Réinitialiser le mot de passe » sur l’attribut « ms-Mcs-AdmPwd » pour les objets ordinateur dans l’AD.
3. Droits d’installation du client LAPS : Pour installer le client LAPS sur les ordinateurs du domaine, vous aurez besoin des droits d’administrateur local sur ces ordinateurs.

Assurez-vous de respecter ces pré-requis avant de commencer à installer et à configurer LAPS. Une préparation adéquate garantira un processus d’installation en douceur et une utilisation réussie de LAPS pour gérer vos mots de passe d’administrateur local.

LAPS Workflow en tant que tâche de fond sur une machine cliente (Local) :

Une fois que l’appareil géré est configuré avec une gpo qui active Windows LAPS, la machine cliente prend la main sur la génération du mot de passe du compte local configuré à travers le Core Logic (Laps.dll). Lorsque le mot de passe expire, la machine cliente génère un nouveau mot de passe aléatoire qui est conforme aux exigences de longueur et de complexité de la politique appliqué via GPO. Le mot de passe est validé lorsque la politique de complexité de mot de passe de l’appareil local est respecté.

Lorsqu’un nouveau mot de passe est validé, la machine cliente stocke le mot de passe dans l’annuaire configuré, soit Windows Server Active Directory, soit Azure Active Directory. Un temps d’expiration de mot de passe est définit (basé sur les paramètres que l’on à définit dans la gpo appliqué sur la machine) est également calculé et stocké dans l’annuaire. La machine cliente régénérera le mot de passe automatiquement lorsque le temps d’expiration du mot de passe est atteint.

Lorsque le mot de passe du compte local est stocké dans l’annuaire concerné, un administrateur autorisé peut y accéder. Les mots de passe stockés dans Azure Active Directory sont sécurisés par un modèle de contrôle d’accès basé sur les rôles. Les mots de passe stockés dans Windows Server Active Directory sont sécurisés par des listes de contrôle d’accès (ACL) et, en option, par le cryptage du mot de passe.

Vous pouvez régénérer un mot de passe avant la date d’expiration normalement prévue. La regénération d’un mot de passe avant sa date d’expiration s’effectue selon l’une des méthodes suivantes :

• Intervenir manuellement sur le dispositif géré lui-même en utilisant un compte administrateur. Par exemple, vous pouvez utiliser la cmdlet Reset-LapsPassword.
• Invoquez l’action d’exécution ResetPassword dans le CSP Windows LAPS.
• Modifier le délai d’expiration du mot de passe dans l’annuaire (s’applique uniquement à Windows Server Active Directory).
• Déclencher une rotation automatique lorsque le compte géré est utilisé pour s’authentifier auprès du dispositif géré.

Windows LAPS utilise une tâche en arrière-plan (Tache de fond) qui s’exécute toutes les heures pour traiter la politique active.

Attention : Cette tâche n’est pas mise en œuvre à l’aide du planificateur de tâches de Windows. Microsoft ne fournit pas  de détails quant à la méthode utilisé pour exécuter cette tache en arrière plan.

Lorsque la tâche d’arrière-plan est lancée, elle exécute le flux de base suivant :

La principale différence entre le flux d’exécution d’azure Active Directory et le flux d’exécution de Windows Server Active Directory est liée à la manière dont le délai d’expiration du mot de passe est vérifié.

Dans le scénario Azure Active Directory, la machine local (Service LAPS) n’interroge pas Azure Active Directory au sujet de la date d’expiration du mot de passe. Au lieu de cela, le délai d’expiration est conservé localement sur l’appareil.

Dans le scénario Windows Server Active Directory, lla machine local (Service LAPS) interroge régulièrement l’annuaire pour demander le délai d’expiration du mot de passe, et elle agit lorsque le mot de passe expire.

Installation de Microsoft LAPS

Configuration du serveur :

1 – Téléchargez le package depuis le site officiel microsoft (Version 64Bits)

2- Lancez l’installation, et choisir l’option Management Tools et ses sub features (Fat client UI, Powershell Module, GPO Editor Template)

Fat Client UI : Nous permet d’interagir avec le LAPS, via une interface graphique (Visualisation de MDP, sans passer  par l’AD…)
Powershell Module : Nous permet d’interagir avec LAPS via des commandes Powershell (Reinitialisation des MPD…)
GPO Editor template : C’est les templates ADMX, qui vont nous servir a déployer des gpo.

3 – Création des nouveaux attribues dans le schéma Active Directory (Attention, le domaine doit posséder le rôle de Schema Master):

• Lancez Powershell en tant qu’administrateur.
• Importez le module LAPS en exécutant cette commande :
  • Import-Module AdmPwd.PS

• Ajoutez les deux attribues de LAPS au schéma en exécutant la commande suivante :
  • Update-AdmPwdADSchema

Le ms-Mcs-AdmPwdExpirationTime, correspond à l’attribue de la date d’expiration du mot de passe
Le ms-Mcs-AdmPwd, correspond à l’attribue du mot de passe.

Attention, le ms-Mcs-AdmPwd sera stocké en claire dans l’Active Directory, la méthode pour sécurisé ce mot de passe sera discuter dans les prochains point de l’article.

Jusqu’à présent nous avons installer l’outil LAPS, sur le serveur AD, et nous allons faire de même pour la machine client a fin de lui donnée l’autorisation de stocké le mot de passe et la date d’expiration de l’administrateur local dans l’AD.

• Exécuter la commande suivante sur Powershell, et adaptez la selon votre configuration :
  • Set-AdmPwdComputerSelfPermission -OrgUnit « Chemin_de_L’ou_ou_se_trouve_le_pc_a_autorisé »

Dans ma configuration, la machine cliente se trouve dans l’OU Paris qui est dans l’OU Conseil qui est dans le domain bbparis.local

Afin de s’assurer de la conformité de notre manipulation, une vérification des droits est obligatoire !

Avec cette commande nous allons voir qui à le droit de lire les mots de passes stocké par LAPS dans l’AD.
Find-AdmPwdExtendedRights -Identity « Nom_de_L’OU » 

Si on veux rajouter modifier, ou supprimé des utilisateurs, nous pouvons le faire depuis la console ADSI (barre de rechercher tapez ADSI).
Click droit sur ADSI  Edit > Connecter à > gardez tout par défaut > Click sur OK
Recherchez votre OU et faites Click droit sur votre OU > Propriété
Cliquez sur l’onglet Sécurité (en haut à droite), puis cliquez sur Avancée
Choisissez le groupe ou la personne à qui vous souhaitiez ajouter ou supprimé le droit de lire les mots de passe
Cochez Tout les droits étendue (All extended rights) si vous voulez lui attribué le droit, autrement décochez le.
Validez l’opération

• Copie des fichiers Admx/Adml au bon endroit.
  Dans mon cas je suis en mode magasin central, c’est à dire, que les fichiers admx sont stocké dans \\mondomaine\sysvol\mondomaine\Policies\PolicyDefinitions
  Vous allez donc copier le fichier AdmPwd.admx C:\Windows\PolicyDefinitions  dans le dossier  \\votredomaine\sysvol\votredomaine\Policies\PolicyDefinitions
  
  

Vous devez copier également le fichier Adml, depuis  dans son dossier C:\Windows\PolicyDefinitions\en-US  dans le dossier ou sont stocké vos fichiers Adml, dans mon cas : \\votredomaine\sysvol\votredomaine\Policies\PolicyDefinitions\en-US

Configuration des Clients

• Téléchargement et Installation du package MSI télécharger depuis Microsoft (le même qu’on à télécharger sur le serveur). Sauf que pour l’installation nous allons choisir l’option Managed GPO Extension.

Les GPO LAPS

• Les templates de LAPS contiennent 4 stratégies :
  • Password Settings : à travers laquelle on configure la complexité des mots de passe.
  • Name of Administrator Account to manage : Vous déclarez uniquement le nom du compte administrateur que vous avez créer. L’administrateur local (built-in) est reconnu automatiquement (grâce à son SID), même si vous le renommer.
  • Do not allow password expiration time longer than requiered by policy : Lorsque vous activez ce paramètre, toute expiration planifiée du mot de passe (par défaut elle est de 30 jours) qui dépasse la durée définie par la politique « Paramètres du mot de passe » ne sera PAS autorisée.
  • Enable local admin password management : Activer le service LAPS, sans cette activation le service LAPS ne sera pas fonctionnel.

Activation et configuration du service LAPS :

• Via la Gpo que vous avez créer et affecté à votre OU, vous allez :
  • Activer la stratégie Password settings et mettez les valeurs suivantes  :
    • Lettres Majuscule + Minuscules + Chiffres + Caractère Spéciaux
    • la longueur du mot de passe sera de : 20
    • La durée d’expiration : 30 jours
  • Activez la stratégie Name of administrator account to manage : vous mettez le nom du compte Admin que vous voulez. Dans mon cas, j’ai créer un compte Administrateur sur la machine que j’ai nommée AdminLocal. Je vais donc ajouter ce compte et passer le paramètre en Enabled
  •  Cochez la case Enable pour la stratégie Enable local admin password management.
• Coté client, faite un gpupdate /force (mettez vous en administrateur)
• Vérifié avec gpresult -r que la gpo est bien appliqué.

Vérification coté Active Directory :

Dans la console ADUC :

• Allez dans l’OU sur laquelle vous avez appliqué votre gpo LAPS.
• Sélectionnez un ordinateur et faites Click droit \ Propriété \ Éditeur D’attribue.
• Descendez jusqu’à ms-MCS-AdmPwd et vous allez retrouver le mot de passe du AdminLocal de cette machine.
• La date d’expiration aussi, mais elle est en nano seconde, pour la convertir en un format lisible par les humain vous pouvez utiliser la commande suivante sur Powershell : w32tm /ntte Le_chiffre_obtenu_dans_l’attribue_date

Utilisation de l’interface graphique pour Administrer LAPS :

• Dans la barre de recherche tapez Laps UI puis excutez la.
• Tapez le nom de votre ordinateur et cliquez sur recherchez
  • Il vous affichera le mot de passe et la date d’expiration
    • Cette manipulation vous pouvez la faire sur Powershell avec la commande : Get-AdmPwdPassword -ComputerName Nom_du_PC
• Forcez le changement de mot de passe avec la console LAPS UI :
  • Définissez la date et l’heure actuel et cliquez sur Set.
    • Cette manipulation vous pouvez la faire sur Powershell avec la commande :
      • Pour une réinitialisation instantanée : Reset-AdmPwdPassword -ComputerName Nom_Machine
      • Pour une réinitialisation différer : Reset-AdmPwdPassword -ComputerName Nom_Machine -WhenEffective « 14.08.2023 07h00 »

Les Logs LAPS

LAPS, par défaut ne génère pas des logs sur toutes ses opérations, il génère lors des erreurs uniquement cependant on peut configurer certaines règles pour qu’il soit plus bavard :

Sur Powershell :

Set-AdmPwdAuditing -OrgUnit $OU-of-Computers-to-Audit -AuditedPrincipals:$Group–to-Audit

Si un utilisateur accède à l’attribut ms-Mcs-AdmPwd dans AD, l’événement 4662 sera consigné dans le journal des événements de sécurité des contrôleurs de domaine. Le schemaIDGUID de l’attribut ms-Mcs-AdmPwd, xxxxx, sera enregistré dans le cadre de l’événement et pourra être utilisé pour rechercher l’événement dans vos journaux. (Veuillez noter que vous devrez rechercher ce GUID dans ADSI Edit car il sera unique à votre environnement).

Il existe une autre méthode en passant par le registre :

Vous pouvez activer la journalisation supplémentaire en créant une nouvelle valeur REG_DWORD nommée ExtensionDebugLevel dans le Registre : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}\ .Mettez la valeur à 0 (valeur par défaut) pour consigner uniquement les erreurs, à 1 pour consigner les erreurs et les avertissements, et à 2 pour une consignation verbeuse.

Astuces et exemples pratiques

• Donner le droit à un groupe de voir les mots de passe :
  Via Powershell Exécutez : Set-AdmPwdReadPasswordPermission -Identity « DN_OU » -AllowedPrincipals « Nom_du_Groupe »
  
• Donnez le droit a un groupe de réinitialisé les mots de passe :
  Via Powershell Exécutez : Set-AdmPwdResetPasswordPermission -Identity « DN_de_votre_OU » -AllowedPrincipals « Nom_du_Groupe »

DN = Distinguished Name, si votre OU s’appelle IT-Tech, qui est dans la racine du domaine BBParis.local alors le DN de votre OU sera : « OU=Paris, DC=BBParis, DC=Local »

• Listez toutes les machines dans une OU, avec les mots de passe des comptes Admin local en une seule commande : Via Powershell Exécutez : Get-ADComputer -Filter * -SearchBase « DN_OU » | Get-AdmPwdPassword
• Reset de mot de passe de tous les comptes Administrateur local :
  Via powershell Exécutez :  Get-ADComputer –Filter * -SearchBase “DN_OU” | Reset-AdmPwdPassword -ComputerName {$_.Name}

Conclusion

Au fil de cet article, nous avons exploré Microsoft LAPS – une solution efficace pour renforcer la sécurité des mots de passe administrateur locaux. De sa signification à son fonctionnement, des prérequis pour l’implémentation à son installation, nous avons couvert les aspects essentiels pour vous aider à débuter avec LAPS. Nous avons également vu comment activer les logs pour LAPS sur Windows Server.

Microsoft LAPS est une ressource précieuse, offrant une réponse simple et robuste à une question de sécurité courante. Nous invitons à présent nos lecteurs à partager leurs propres expériences d’utilisation de LAPS dans la section commentaires. Après tout, la sécurité informatique est un effort de groupe, et le partage de connaissances est crucial pour renforcer nos défenses communes.

FAQ

Réponses aux questions fréquemment posées sur Microsoft LAPS pour vous aider à clarifier les idées et le concept de LAPS.

• Peut-on spécifier le mot de passe d’un compte local Adminiutrateur sur une machine managé par LAPS ?
  LAPS utilise une randomisation des mots de passe pour les sécuriser contre les attaques telles que le « Pass-the-Hash ». De plus, il veille à ce que le mot de passe de l’administrateur local soit régulièrement modifié. Si nous imposions un mot de passe spécifique à plusieurs clients, cela contrecarrerait l’efficacité de ces mesures de protection, pouvant compromettre la sécurité globale du système.

• LAPS détecte-t-il si quelqu’un change le mot de passe de l’administrateur local ?
  LAPS ne détecte pas si le mot de passe de l’administrateur local est modifié. Il vérifie uniquement l’expiration du mot de passe. Si l’ordinateur reste sur le domaine, une réinitialisation forcée peut être effectuée pour mettre à jour le mot de passe dans Active Directory.
  
• LAPS peut-il réappliquer le mot de passe stocké dans Active Directory si un utilisateur avec des droits d’administrateur local le modifie ?
  LAPS ne peut pas réappliquer le mot de passe stocké dans Active Directory si un utilisateur avec des droits d’administrateur local le modifie. LAPS se contente de vérifier la date d’expiration du mot de passe et ne saurait pas si le mot de passe a été modifié.
  
• Comment gérer le mot de passe de l’administrateur local avec LAPS si un utilisateur ayant des droits d’administrateur local peut le modifier ?
  Si un employé ayant des droits d’administrateur modifie le mot de passe sans autorisation, cela dépendra du règlement intérieur de l’entreprise. L’entreprise doit avoir une politique claire concernant ce qu’un utilisateur peut ou ne peut pas faire avec des droits d’administrateur. Si une violation est détectée, les ressources humaines prendrons le relais pour traiter l’incident.Si l’organisation ne veut pas gérer le problème par le biais des ressources humaines, une solution pourrait être de retirer les droits d’administrateur à l’utilisateur. Si cela n’est pas possible, une autre option serait d’appliquer une politique distincte sur l’ordinateur de l’utilisateur qui réduit le seuil pour les changements de mot de passe de l’administrateur à 1 jour.Si l’utilisateur a le droit de changer le mot de passe, on pourrait envisager d’utiliser un compte d’administrateur secondaire avec un nom différent pour le département informatique. Cela permet à l’utilisateur de continuer à gérer l’administrateur local tout en donnant au département informatique un « accès de secours » au système si nécessaire. Sinon, une solution tierce pourrait être nécessaire.
• Dans le cas d’une cyberattaque ou le pirate malveillant met la main sur le fichier (NTDS.dit), l’attaquant aura-t-il accès à tous les mots de passe des administrateurs locaux de notre réseau, stockés en texte clair ?
  Clairement oui ! Il aura tout les mots de passe des comptes d’administrateur local pour toute les machines gérer par LAPS. Mais ce n’est pas le plus grave, car il aura en sa possession les hash des comptes utilisateurs et des comptes Administrateur du domaine qui sont plus sensible que des comptes d’administrateur local. Si un attaquant met la main sur le fichier NTDS.dit, on peut considéré que le domaine est complètement compromis.
• Le mot de passe du compte d’administrateur local a été modifié et/ou le mot de passe enregistré dans Active Directory est erroné. Comment puis-je accéder au compte d’administrateur local sur l’ordinateur ?
  Deux options s’offrent à vous en cas de besoin de réinitialisation du mot de passe. La première est de forcer la réinitialisation du mot de passe, puis de mettre à jour la stratégie de groupe sur le système, à condition de pouvoir se connecter à celui-ci. Si la connexion est impossible, la seconde option consiste à utiliser un outil comme DaRT (Diagnostic and Recovery Toolkit) pour démarrer le système sur un support externe et réinitialiser le mot de passe de l’administrateur local.

Sécurisation des mots de passe :

Les sections suivantes fournissent des informations importantes sur l’utilisation de Windows LAPS avec Windows Server Active Directory.

Sécurité des mots de passe :
Lorsque vous sauvegardez des mots de passe dans Windows Server Active Directory, les mots de passe des comptes locaux gérés sont stockés sur l’objet ordinateur. Windows LAPS sécurise ces mots de passe en utilisant deux mécanismes :

• • • ACL
    • Mots de passe cryptés

• Les listes de contrôle d’accès (ACL) :

La première ligne de sécurité des mots de passe dans Windows Server Active Directory utilise des listes de contrôle d’accès (ACL) qui sont configurées sur l’objet ordinateur qui contient une unité d’organisation (OU). Les listes de contrôle d’accès sont héritées de l’objet informatique lui-même. Vous pouvez spécifier qui peut lire divers attributs de mot de passe à l’aide de la cmdlet Set-LapsADReadPasswordPermission. De même, vous pouvez spécifier qui peut lire et définir l’attribut de délai d’expiration du mot de passe à l’aide de la cmdlet Set-LapsADResetPasswordPermission.

• Mots de passe cryptés :

La deuxième ligne de sécurité des mots de passe utilise la fonction de cryptage des mots de passe de Windows Server Active Directory. Pour utiliser le chiffrement des mots de passe de Windows Server Active Directory, votre domaine doit être exécuté au niveau fonctionnel de domaine (DFL) de Windows Server 2016 ou à une version ultérieure. Lorsqu’il est activé, le mot de passe est d’abord chiffré afin que seul un principal de sécurité spécifique (un groupe ou un utilisateur) puisse le déchiffrer. Le cryptage du mot de passe se produit sur le périphérique géré lui-même avant que le périphérique n’envoie le mot de passe à l’annuaire.

Nous vous recommandons vivement d’activer le chiffrement des mots de passe lorsque vous stockez vos mots de passe Windows LAPS dans Windows Server Active Directory.
Microsoft ne prend pas en charge la récupération des mots de passe LAPS précédemment décryptés dans un domaine exécutant un DFL antérieur à celui de Windows Server 2016. L’opération peut réussir ou échouer selon que les contrôleurs de domaine exécutant des versions antérieures à Windows Server 2016 ont été promus dans le domaine.

Lorsque vous concevez votre modèle de sécurité pour la récupération des mots de passe, tenez compte des informations figurant dans la figure suivante :

Le diagramme illustre les couches de sécurité suggérées pour les mots de passe de Windows Server Active Directory et leurs relations mutuelles.

Le cercle le plus extérieur (vert) est composé de responsables de la sécurité qui ont reçu l’autorisation de lire ou de définir l’attribut de délai d’expiration du mot de passe sur les objets informatiques de l’annuaire. Il s’agit d’une autorisation sensible, mais considérée comme non destructive. Un attaquant qui acquiert cette autorisation peut forcer les dispositifs gérés à effectuer une rotation plus fréquente de ces derniers.

Le cercle du milieu (jaune) est composé de responsables de la sécurité qui ont reçu l’autorisation de lire ou de définir des attributs de mot de passe sur les objets informatiques du répertoire. Il s’agit d’une autorisation sensible qui doit être surveillée de près. L’approche la plus sûre consiste à réserver ce niveau d’autorisation aux membres du groupe de sécurité Domain Admins.

Le cercle intérieur (rouge) ne s’applique que lorsque le chiffrement des mots de passe est activé. Il se compose de groupes ou d’utilisateurs auxquels ont été accordées des autorisations de déchiffrement pour les attributs de mot de passe chiffrés sur les objets informatiques du répertoire. Tout comme la permission du cercle du milieu, cette capacité est une permission sensible et doit être surveillée de près. L’approche la plus sûre consiste à réserver ce niveau d’autorisation aux membres du groupe Domain Admins.

Envisagez de personnaliser vos couches de sécurité en fonction de la sensibilité des machines gérées dans votre entreprise. Par exemple, il peut être acceptable que les appareils des travailleurs informatiques de première ligne soient accessibles aux administrateurs du service d’assistance, mais vous voudrez probablement établir des limites plus strictes pour les ordinateurs portables des cadres de l’entreprise.

La fonction de cryptage des mots de passe de Windows LAPS est basée sur l’API Cryptographie : Next Generation Data Protection API (CNG DPAPI). CNG DPAPI prend en charge plusieurs modes de cryptage, mais Windows LAPS ne prend en charge le cryptage des mots de passe que par rapport à un seul principal de sécurité Windows Server Active Directory (utilisateur ou groupe). Le cryptage sous-jacent est basé sur le cryptage Advanced Encryption Standard 256 bits (AES-256).

Vous pouvez utiliser le paramètre de stratégie ADPasswordEncryptionPrincipal pour définir un principal de sécurité spécifique pour le cryptage du mot de passe. Si ADPasswordEncryptionPrincipal n’est pas spécifié, Windows LAPS crypte le mot de passe par rapport au groupe Domain Admins du domaine du dispositif géré. Avant qu’un dispositif géré ne chiffre un mot de passe, il vérifie toujours que l’utilisateur ou le groupe spécifié peut être résolu.

Windows LAPS prend en charge le cryptage des mots de passe par rapport à un seul principe de sécurité. L’interface DPAPI CNG prend en charge le cryptage de plusieurs principaux de sécurité, mais ce mode n’est pas pris en charge par Windows LAPS car il entraîne un gonflement de la taille des tampons de mots de passe cryptés. Si vous devez accorder des autorisations de déchiffrement à plusieurs mandants de sécurité, vous pouvez, pour résoudre la contrainte, créer un groupe de recouvrement dont les membres sont tous les mandants de sécurité concernés.
Le principal de sécurité autorisé à déchiffrer le mot de passe ne peut pas être modifié après le chiffrement du mot de passe.

Historique chiffré des mots de passe
Windows LAPS prend en charge une fonction d’historique des mots de passe pour les clients et les contrôleurs de domaine Windows Server Active Directory reliés à un domaine. L’historique des mots de passe n’est pris en charge que lorsque le cryptage des mots de passe est activé. L’historique des mots de passe n’est pas pris en charge si vous stockez des mots de passe en texte clair dans Windows Server Active Directory.

Lorsque l’historique des mots de passe cryptés est activé et qu’il est temps d’effectuer une rotation du mot de passe, le dispositif géré lit d’abord la version actuelle du mot de passe crypté à partir de Windows Server Active Directory. Le mot de passe actuel est ensuite ajouté à l’historique du mot de passe. Les versions antérieures du mot de passe dans l’historique sont supprimées si nécessaire pour respecter la limite maximale configurée de l’historique.

Pour que la fonction d’historique des mots de passe fonctionne, le périphérique géré doit disposer d’autorisations SELF pour lire la version actuelle du mot de passe crypté à partir de Windows Server Active Directory. Cette condition est remplie automatiquement lorsque vous exécutez la cmdlet Set-LapsADComputerSelfPermission.

We recommend that you never grant permissions to a managed device to decrypt an encrypted password for any device, including for the device itself.

Windows LAPS prend en charge la sauvegarde du mot de passe du compte DSRM sur les contrôleurs de domaine Windows Server. Les mots de passe des comptes DSRM ne peuvent être sauvegardés que dans Windows Server Active Directory et si le cryptage des mots de passe est activé. Dans le cas contraire, cette fonction fonctionne presque de la même manière que la prise en charge des mots de passe cryptés pour les clients connectés à Windows Server Active Directory.

La sauvegarde des mots de passe DSRM dans Azure Active Directory n’est pas prise en charge.

Lorsque la sauvegarde du mot de passe DSRM est activée, le mot de passe DSRM actuel de n’importe quel contrôleur de domaine peut être récupéré si au moins un contrôleur de domaine de ce domaine est accessible.

Mais considérons un scénario catastrophique dans lequel tous les contrôleurs de domaine d’un domaine sont hors service. Dans ce cas, aucun mot de passe DSRM ne sera disponible. Pour cette raison, nous vous recommandons d’utiliser le support DSRM de Windows LAPS comme le premier composant d’une stratégie plus large de sauvegarde et de récupération de domaine. Nous recommandons fortement que les mots de passe DSRM soient régulièrement extraits de l’annuaire et sauvegardés dans un magasin sécurisé en dehors de Windows Server Active Directory. Windows LAPS n’inclut pas de stratégie de sauvegarde dans un magasin externe.

Protection contre la falsification du mot de passe d’un compte
Lorsque Windows LAPS est configuré pour gérer le mot de passe d’un compte d’administrateur local, ce compte est protégé contre toute altération accidentelle ou négligente. Cette protection s’étend au compte DSRM lorsque le compte est géré par Windows LAPS sur un contrôleur de domaine Windows Server Active Directory.

Windows LAPS rejette les tentatives inattendues de modification du mot de passe du compte avec une erreur STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Chaque rejet de ce type est signalé par un événement 10031 dans le canal du journal des événements de Windows LAPS.

Désactivé en mode sans échec de Windows
Lorsque Windows est démarré en mode sans échec, en mode DSRM ou dans tout autre mode de démarrage autre que le mode par défaut, Windows LAPS est désactivé et aucun mot de passe n’est sauvegardé.

Références et Ressources Supplémentaires

• https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-concepts
• https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-scenarios-windows-server-active-directory
• https://learn.microsoft.com/en-us/windows/client-management/mdm/laps-csp
• https://www.it-connect.fr/

Info En Vrac a trier et intégrer 

Transfer of password from managed computer to Active Directory is protected by Kerberos Encryption, so it is not possible to know the password by sniffing the network traffic.

Managed machine itself only has a permission to write the password to its own computer account. This means that it does not have a permission to read any password back from Active Directory – so in case that machine is compromised, attacker still can’t read the password of built-in administrator account from AD.

• Simplicity of implementation of transport encryption: When transferring passwords from managed workstations to the AD, it is necessary to protect it from eavesdropping on the wire. AD client on managed workstation supports Kerberos-based encryption for LDAP protocol operations. Encryption relies only on Kerberos authentication protocol that is available to any domain-joined workstation by default. That means that there is no need to implement other encryption means (such as SSL or IPSec) that require additional planning and implementation of prerequisites (such as deployment of server certificates to domain controllers and PKI infrastructure in place)