James Thew - Fotolia
Administration : comment se servir de la fonction Windows LAPS
Windows LAPS est le moyen proposé par Microsoft pour sécuriser les mots de passe de l’administrateur local, lesquels peuvent servir à contourner une connexion problématique à Active Directory sur un poste d’entreprise.
Windows pose un problème de sécurité fondamental dans la mesure où presque tous les appareils Windows contiennent un compte d'administrateur local. Ces comptes sont nécessaires en cas de problème de connexion à Active Directory ou quand l'administrateur a besoin d'un autre moyen pour se loguer sur l'appareil.
Pour les entreprises qui souhaitent renforcer la sécurité de ces informations d'identification, Microsoft propose une fonctionnalité gratuite dans son système d'exploitation, appelée Windows Local Administrator Password Solution (Windows LAPS). Cette fonctionnalité automatise la gestion des mots de passe du compte de l'administrateur local. Windows LAPS assure la rotation des mots de passe de l'administrateur local afin de sécuriser l'environnement.
Microsoft a mis à jour cette fonctionnalité en avril 2023 pour en faire un élément natif du système d'exploitation Windows et l'appelle désormais Windows LAPS.
Quelles sont les fonctionnalités de Windows LAPS ?
Windows LAPS stocke les mots de passe des administrateurs locaux dans Active Directory et dans sa plateforme cloud de gestion des identités et des accès, Entra ID, anciennement connue sous le nom d'Azure Active Directory. La version précédente de LAPS ne fonctionnait qu'avec Active Directory.
Non seulement Windows LAPS protège les mots de passe des comptes administrateurs, mais il protège également les entreprises contre plusieurs types de risques de sécurité, notamment les attaques de type « pass the hash ». Une amélioration récente de Windows LAPS est la présence d’un modèle de sécurité finement granulaire et le contrôle des accès d’après les rôles définis sur Azure.
Windows LAPS a également introduit le chiffrement et l'historique des mots de passe. Les entreprises qui utilisent Active Directory sur site doivent exécuter un domaine Windows Server 2016 ou plus récent pour utiliser la fonction de chiffrement des mots de passe.
Enfin, Windows LAPS permet d'automatiser la gestion et le stockage des mots de passe pour le compte Directory Services Restore Mode sur le contrôleur de domaine.
Attention à ne pas confondre Windows LAPS et Microsoft LAPS
L'implémentation originale de LAPS, publiée en 2016, était connue sous le nom de Microsoft LAPSS. La version actuelle est appelée Windows LAPS. Windows LAPS et Microsoft LAPS ne peuvent pas gérer le même compte sur la même machine.
La plupart des entreprises remplacent simplement l'ancienne version de LAPS par Windows LAPS. Étant donné qu'il y a une courbe d'apprentissage avec Windows LAPS, Microsoft offre un mode d'émulation Microsoft LAPS pour que Windows LAPS fonctionne comme l'ancienne version.
Une autre option consiste à utiliser à la fois Microsoft LAPS et Windows LAPS jusqu'à ce que vous vous sentiez à l'aise avec la version moderne. Pour utiliser les deux fonctions de sécurité sur la même machine, il faudrait créer un nouveau compte d'administrateur local sur les équipements administrés, avec un nom différent pour l'utilisation des stratégies Windows LAPS.
Quelles sont les conditions préalables à l'utilisation de Windows LAPS ?
Windows LAPS fonctionne sur les systèmes d'exploitation Windows suivants qui disposent de la mise à jour du 11 avril 2023 ou d'une version ultérieure :
Windows 10.
Windows 11 22H2.
Windows Server 2019.
Windows Server 2022.
Microsoft a inclus la fonctionnalité Windows LAPS mise à jour via ses mises à jour Windows afin de l'intégrer au système d'exploitation plutôt que de la télécharger séparément.
Comment déployer Windows LAPS ?
Il existe deux options pour déployer Windows LAPS. La première consiste à utiliser Intune pour créer une stratégie LAPS, qui est ensuite envoyée aux appareils Windows administrés par l’entreprise.
L'autre option consiste à pousser les paramètres LAPS vers les appareils gérés via la stratégie de groupe, ce qui n'est approprié que pour la gestion des appareils Windows reliés à un domaine.
Comment créer la stratégie Intune pour Windows LAPS ?
Pour gérer Windows LAPS via Intune, commencez par ouvrir le centre d'administration Microsoft Intune et sélectionnez l'onglet Sécurité des terminaux.
Cliquez sur Protection des comptes, puis sur le lien Créer une stratégie, comme le montre la figure 1. L'interface affiche une invite à choisir une plateforme et un profil. Définissez la plateforme sur Windows 10 et les versions ultérieures, puis définissez le profil sur Local Admin Password Solution (Windows LAPS).
Lorsque vous y êtes invité, donnez un nom au profil et cliquez sur Suivant pour passer à l'écran Paramètres de configuration afin de spécifier le répertoire de sauvegarde, les exigences en matière de longueur et de complexité du mot de passe, ainsi que d'autres paramètres utiles.
Cliquez sur Suivant pour appliquer une balise d'étendue personnalisée ou utiliser la balise d'étendue par défaut.
Cliquez à nouveau sur Suivant, ce qui ouvre l'écran Affectations et permet de sélectionner l'endroit où appliquer la politique.
Cliquez sur Suivant pour afficher l'écran qui présente un résumé des options de configuration fournies. Prenez le temps de vérifier ces paramètres. Si tout semble correct, cliquez sur le bouton Créer pour générer la règle.
Comment configurer une stratégie de groupe pour Windows LAPS ?
Vous pouvez utiliser des paramètres de stratégie de groupe pour pousser les paramètres Windows LAPS vers des appareils reliés à un domaine, mais vous devez d'abord préparer Active Directory. Plus précisément, vous devez étendre le schéma Active Directory pour qu'il prenne en charge Windows LAPS, puis fournir les autorisations nécessaires.
Il est conseillé de sauvegarder Active Directory afin d'annuler les modifications si nécessaire, car l'extension du schéma Active Directory est permanente.
Ensuite, ouvrez une session PowerShell surélevée sur votre contrôleur de domaine et entrez la commande :
Update-LapsADSchema
Si une erreur apparaît parce que la commande n'est pas reconnue, vérifiez que le serveur dispose de toutes les mises à jour disponibles et confirmez son rôle en tant que contrôleur de domaine.
Ensuite, accordez aux ordinateurs reliés au domaine l'autorisation d'utiliser Windows LAPS. La méthode la plus simple consiste à accorder l'autorisation au conteneur Ordinateurs dans Active Directory. La syntaxe de la commande varie en fonction de la structure de votre Active Directory.
Pour les besoins de cet article, nous avons créé un ensemble de machine avec le domaine unique Poseylab.com. Nous avons exécuté la commande PowerShell suivante pour attribuer les autorisations nécessaires au conteneur Ordinateurs dans ce domaine :
Set-LapsADComputerSelfPermission -Identity « CN=Computers,DC=poseylab,DC=com »
Ensuite, configurez la stratégie de groupe pour pousser votre stratégie Windows LAPS. Utilisez l'éditeur de gestion de stratégie de groupe pour trouver les paramètres de stratégie de groupe relatifs à LAPS dans la section Configuration de l'ordinateur > Stratégies > Modèles d'administration > Système > LAPS.
Les mots de passe pour les comptes d'administrateur local ne disparaîtront pas de sitôt. La mise à jour de Windows LAPS est donc une tentative de Microsoft de tirer le meilleur parti d'une situation difficile sur le plan de la sécurité. Ce processus automatisé améliore l'ancien système LAPS de Microsoft. Il serait donc intéressant d'envisager sa mise en œuvre dans votre environnement.
