Articles Tagués ‘eBook LAPS’

A propos de cet eBook

Cet eBook est un guide pas à pas qui vous présente en détail l’outil Microsoft LAPS : vous apprenez à travers ce livre comment concevoir et déployer cette solution en Entreprise (via GPO, SCCM…Etc) , vous découvrirez également le fonctionnement de LAPS et les modules qui le composent. De plus Plusieurs « Trucs & Astuces » ainsi que des retours d’expérience de l’auteur sont partagés sur cet eBook.

Le déploiement de LAPS sur une infrastructure Windows Nano Server est également détaillé dans cet eBook.

Si vous souhaitez renforcer la sécurité de votre S.I, rencontrez des soucis de gestion liées aux mots de passe des comptes « Administrateurs » locaux de vos machines, ou souhaitez simplement découvrir l’outil LAPS, cet eBook est fait pour vous J.

Publics concernés par cet eBook

Ce guide pas à pas peut intéresser plusieurs populations IT :

  • RSSI /Adjoint RSSI
  • Architecte Infrastructure /Systèmes Microsoft
  • Consultant Infrastructure /Systèmes Microsoft
  • Chef de Projet Sécurité IT
  • Ingénieur Systèmes Microsoft
  • Ingénieur Sécurité IT
  • Administrateur Systèmes Microsoft
  • Administrateur Sécurité IT
  • Toute personne désirant apprendre et maîtriser la solution Microsoft LAPS.

 

L’eBook est disponible sur BecomeITexpert.com, cliquez sur l’image ci-après pour en savoir plus :

 

Très bon eBook de Benoit NUGUES

Bonne lecture à tous :).

A bientôt,

#HK

Publicités

Introduction

Le produit LAPS (Local Administrator Password Solution) est un outil gratuit édité par Microsoft permettant de gérer automatiquement le mot de passe du compte administrateur local des systèmes d’exploitation Windows.

La solution se base par défaut sur le SID du compte administrateur local (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-500).

L’utilisation du SID plutôt que le « SamAccountName » du compte BUILTING\administrateur (administrateur local de la machine) supprime l’adhérence à la langue du système installé, il est donc possible de déployer sur des environnements en français dont le compte se nomme « Administrateur » que des environnements en anglais où ce même compte se nomme « Administrator ».

La solution fonctionne aussi si vous avez renommé le compte Administrateur via GPO avec l’option :

Configuration ordinateur‘>’Paramètres Windows’> ‘Paramètres de sécurité’ > ‘Stratégies locales‘ > ‘Options de sécurité‘ > ‘Comptes : renommer le compte Administrateur‘ :

Note : vous pouvez trouver la liste des SID remarquables dans les KB Microsoft ci-dessous :

https://support.microsoft.com/fr-fr/help/243330/well-known-security-identifiers-in-windows-operating-systems

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc978401(v=technet.10)

 

Le mot de passe est généré de manière aléatoire et automatique avec une politique de complexité définie à l’avance et configurable. Ce même mot de passe est ensuite stocké au sein d’Active Directory dans un attribut du compte ordinateur « ms-MCS-AdmPwd ». Le mot de passe est donc unique à chaque machine.

Avant l’arrivée du produit LAPS, il était possible de configurer le mot de passe du compte Administrateur via GPO, plus précisément les GPP. Cette solution a été retirée par Microsoft car non sécure. De plus le mot de passe était global sur l’ensemble des ordinateurs recevant la GPO et en cas de changement il n’était pas possible de s’assurer que l’ensemble des machines aient été mise à jour. Il existe d’autre méthode via script PowerShell par exemple.

Avec LAPS lorsqu’il arrive qu’une machine soit corrompu ou que le mot de passe administrateur soit communiqué à un utilisateur, l’ensemble du parc machine n’est pas remis en cause.

Vous trouverez dans le lien ci-dessous le détail sur les failles de sécurité des GPO :

https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

La solution LAPS apporte les avantages suivants :

  • Sécurité :
    • Mot de passe généré aléatoirement.
    • Mot de passe unique.
    • Mot de passe changé régulièrement.
    • Possibilité d’ajuster la complexité du mot de passe
    • Possibilité de forcer le changement de mot de passe.
    • Mot de passe stocké dans AD et protégé par des ACL.
    • Echange entre client et AD chiffrés par Kerberos.
  • Management :
    • Configuration via GPO.
    • Module PowerShell pour l’installation, la configuration et gestion.
    • Disponibilité d’un client Lourd Graphique (GUI).

 

Lien de téléchargement

Microsoft LAPS est disponible en téléchargement gratuit depuis l’URL suivante :

https://www.microsoft.com/en-us/download/details.aspx?id=46899

 

Ceci est un extrait de l’eBook « Microsoft LAPS – Déploiement et Configuration en Entreprise« .

Pour en savoir plus, cliquez sur l’image suivante :