Microsoft LAPS est une solution gratuite de chez Microsoft comme vous l’avez certainement deviner, elle permet une gestion plus sécurisé des mots de passe de compte administrateur local dans votre domaine.
Avec Windows LAPS, vous n’avez plus à vous soucier du mot de passe d’un compte d’administrateur local sur vos appareils reliés à Microsoft Entra ou à Windows Server Active Directory. Windows LAPS s’occupe de tout (plus au moins) : il change et sauvegarde automatiquement le mot de passe pour vous selon la stratégie que vous lui fournissez bien évidemment. Il fait de même pour le mot de passe de compte DSRM (Directory Services Restore Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Ainsi, seul un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser.
Il convient de souligner l’existence de deux versions de LAPS : l’ancienne version, dite Legacy, et la version actuelle que nous allons examiner.
Pour introduire ce concept, envisageons un scénario relativement réaliste : Vous occupez le poste de SysAdmin dans une entreprise et êtes responsable de la gestion de 500 ordinateurs clients. Par conséquent, vous travaillez avec une équipe de techniciens sur site qui, pour des raisons techniques, doivent régulièrement effectuer certaines opérations sur ces ordinateurs en utilisant les privilèges d’administrateur local. Avant l’introduction de LAPS, plusieurs méthodes étaient employées pour gérer les mots de passe des comptes administrateurs locaux, dont les suivantes :
- Utiliser un mot de passe unique pour l’ensemble du parc informatique.
- Attribuer un mot de passe spécifique à chaque groupe de machines selon le département (Marketing, Ventes, IT, etc.).
Dans tous les cas, le technicien sur site avait accès au mot de passe administrateur local des ordinateurs, sans que l’administrateur ne sache où ce mot de passe était conservé, ni comment, pourquoi il était utilisé, ou prévu d’être utilisé ultérieurement.
L’introduction de LAPS vise à résoudre cette problématique, représentant ainsi une solution fortement appréciée.
Les avantages de Windows LAPS sont nombreux :
Il vous protège des attaques pass-the-hash et latérales
Il vous assure une sécurité optimale pour les cas de support technique à distance
Il vous permet de vous connecter à des appareils indisponibles et de les remettre en marche
Il vous offre un modèle de sécurité performant (listes de contrôle d’accès et chiffrement de mot de passe facultatif) pour sécuriser les mots de passe stockés dans Windows Server Active Directory
Il vous supporte le modèle de contrôle d’accès basé sur les rôles Azure pour sécuriser les mots de passe stockés dans Microsoft Entra ID
Mais avant de se lancer dans l’installation du nouveau LAPS, il faut s’assurer que vos machines correspondent aux versions suivantes :
- Windows 11 22H2 – Mise à jour du 11 avril 2023
- Windows 11 21H2 – Mise à jour du 11 avril 2023
- Windows 10 – Mise à jour du 11 avril 2023
- Windows Server 2022 – Mise à jour du 11 avril 2023
- Windows Server 2019 – Mise à jour du 11 avril 2023
Source : Microsoft.comInstallation de LAPS sur un environnement Windows Serveur 2019 et Windows 11
La solution LAPS est disponible depuis le 23 octobre 2023 dans l’Active Directory, et aussi sur Microsoft Entra ID (anciennement Azure Active Directory). Dans ce tutoriel, nous allons nous intéressé à l’installation de la solution en mode on-premises.
Faites une sauvegarde avant de procéder à l’installation !
Le Geeekologue
Mise à jour du schéma de l’AD :
La commande suivante, doit être exécuter sur un contrôleur de domaine avec un compte appartenant au groupe Administrateur de schéma.
PS C:\> Update-LapsADSchemaDonner à la machine cliente la possibilité de modifier son mot de passe :
Pour utiliser la solution LAPS, la machine cliente doit pouvoir changer et sauvegarder son mot de passe dans l’AD. Cette permission sera définie au niveau de l’OU où se situe la machine concernée par la mise en place de la solution LAPS.
PS C:\> Set-LapsADComputerSelfPermission -Identity "OU=PC,OU=Direction,DC=paris,DC=geekologue,DC=com"La machine cliente se trouve dans l’OU PC qui est dans l’OU Direction du domaine paris.geekologue.com
On peut bien évidemment appliqué l’autorisation au niveau du domaine, mais ce n’est pas un Best Practice.
Vérifier les permissions :
Les droits étendus sont des permissions spéciales qui permettent d’accéder à des informations sensibles, comme les mots de passe Windows LAPS. Ces mots de passe sont marqués comme confidentiels dans l’Active Directory pour éviter qu’ils ne soient exposés.
Il faut donc limiter les droits étendus aux seuls utilisateurs ou groupes qui en ont besoin, selon votre stratégie (Tiering…).
Pour savoir qui a les droits étendus sur une OU, on peut utiliser l’applet de commande :
PS C:\> Find-LapsADExtendedRights -Identity "OU=PC,OU=Direction,DC=paris,DC=geekologue,DC=com"