Articles Tagués ‘Guide pas à pas LAPS’

Introduction

Le produit LAPS (Local Administrator Password Solution) est un outil gratuit édité par Microsoft permettant de gérer automatiquement le mot de passe du compte administrateur local des systèmes d’exploitation Windows.

La solution se base par défaut sur le SID du compte administrateur local (S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXXX-500).

L’utilisation du SID plutôt que le « SamAccountName » du compte BUILTING\administrateur (administrateur local de la machine) supprime l’adhérence à la langue du système installé, il est donc possible de déployer sur des environnements en français dont le compte se nomme « Administrateur » que des environnements en anglais où ce même compte se nomme « Administrator ».

La solution fonctionne aussi si vous avez renommé le compte Administrateur via GPO avec l’option :

Configuration ordinateur‘>’Paramètres Windows’> ‘Paramètres de sécurité’ > ‘Stratégies locales‘ > ‘Options de sécurité‘ > ‘Comptes : renommer le compte Administrateur‘ :

Note : vous pouvez trouver la liste des SID remarquables dans les KB Microsoft ci-dessous :

https://support.microsoft.com/fr-fr/help/243330/well-known-security-identifiers-in-windows-operating-systems

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc978401(v=technet.10)

 

Le mot de passe est généré de manière aléatoire et automatique avec une politique de complexité définie à l’avance et configurable. Ce même mot de passe est ensuite stocké au sein d’Active Directory dans un attribut du compte ordinateur « ms-MCS-AdmPwd ». Le mot de passe est donc unique à chaque machine.

Avant l’arrivée du produit LAPS, il était possible de configurer le mot de passe du compte Administrateur via GPO, plus précisément les GPP. Cette solution a été retirée par Microsoft car non sécure. De plus le mot de passe était global sur l’ensemble des ordinateurs recevant la GPO et en cas de changement il n’était pas possible de s’assurer que l’ensemble des machines aient été mise à jour. Il existe d’autre méthode via script PowerShell par exemple.

Avec LAPS lorsqu’il arrive qu’une machine soit corrompu ou que le mot de passe administrateur soit communiqué à un utilisateur, l’ensemble du parc machine n’est pas remis en cause.

Vous trouverez dans le lien ci-dessous le détail sur les failles de sécurité des GPO :

https://support.microsoft.com/en-us/help/2962486/ms14-025-vulnerability-in-group-policy-preferences-could-allow-elevati

La solution LAPS apporte les avantages suivants :

  • Sécurité :
    • Mot de passe généré aléatoirement.
    • Mot de passe unique.
    • Mot de passe changé régulièrement.
    • Possibilité d’ajuster la complexité du mot de passe
    • Possibilité de forcer le changement de mot de passe.
    • Mot de passe stocké dans AD et protégé par des ACL.
    • Echange entre client et AD chiffrés par Kerberos.
  • Management :
    • Configuration via GPO.
    • Module PowerShell pour l’installation, la configuration et gestion.
    • Disponibilité d’un client Lourd Graphique (GUI).

 

Lien de téléchargement

Microsoft LAPS est disponible en téléchargement gratuit depuis l’URL suivante :

https://www.microsoft.com/en-us/download/details.aspx?id=46899

 

Ceci est un extrait de l’eBook « Microsoft LAPS – Déploiement et Configuration en Entreprise« .

Pour en savoir plus, cliquez sur l’image suivante :

Publicités