Mise en place LAPS

_________________

Revenir en arrière

Pourquoi LAPS ? 

La gestion des mots de passes d’administrateurs locaux sont cruciaux ! 

A mon arrivé chez Patrimum tout les admins locaux avaient un login/mdp identiques, ce qui est une vilnérabilité du SI, dans le cas ou un utilisateur malveillant obtenant ce mot de passe (via keylogger par exemple, ou récupération du hash du mot de passe et brutforce) il pourrait obtenir un moyen de persistance sur tout les postes.

  • Avec LAPS, dites adieux a la gestions chronophage des mots de passes locaux, ils sont généré automatiquement avec des délais courts, pas besoin de les retenir, de plus les mots de passes peuvent être robustes. 

Présentation

Windows LAPS (Local Administrator Password Solution) est une solution de Microsoft intégrée à Windows (post mise à jour) qui permet de :

  • Générer automatiquement un mot de passe local Administrateur unique
  • Le stocker de façon sécurisée dans l’Active Directory
  • Faire tourner périodiquement ce mot de passe
  • Afficher ce mot de passe uniquement aux administrateurs autorisés

Prérequis

  • Contrôleur de domaine sous Windows Server 2016 ou supérieur
  • Postes clients : Windows 10 21H2+, Windows 11, Windows Server 2019+ (avec mises à jour d’avril 2023 ou supérieures)
  • Schéma Active Directory mis à jour pour LAPS

Étape 1 : Mise à jour du schéma Active Directory

Sur un contrôleur de domaine avec les bons privilèges :

Update-LapsADSchema

→ Cela ajoute les nouveaux attributs nécessaires à LAPS dans le schéma AD.

Étape 2 : Vérifier la présence des attributs LAPS

Dans ADSI Edit :

  • Connectez-vous à la partition de domaine
  • Affichez les propriétés d’un objet ordinateur
  • Vérifiez la présence des attributs suivants :
    • msLAPS-PasswordExpirationTime
    • msLAPS-Password
    • msLAPS-EncryptedPassword

Étape 3 : Donner les droits d’écriture aux ordinateurs

Exécutez :

Set-LapsADComputerSelfPermission -Identity "OU=Ordinateurs,DC=mondomaine,DC=local"

→ Cela autorise les ordinateurs à écrire leur mot de passe chiffré dans l’AD.

Étape 4 : Création de la GPO LAPS

  1. Ouvrir la console GPMC (Gestion des stratégies de groupe)
  2. Créer une nouvelle GPO (ex: GPO_Windows_LAPS)
  3. Lier cette GPO à l’OU cible (contenant les ordinateurs)
  4. Éditer la GPO :
    • Configuration ordinateur > Modèles d’administration > Système > LAPS

Paramètres à configurer :

  • Enable password backup for LAPS : Activé
  • Backup directory : Active Directory
  • Do not allow password expiration time longer than required by policy : Activé (optionnel)
  • Password Settings :
    • Complexité : recommandé = « Large Set »
    • Longueur : 14 caractères minimum
    • Expiration : 30 jours (modifiable)

Étape 5 : Accès aux mots de passe

Par défaut, seuls les administrateurs peuvent lire les mots de passe. Pour accorder le droit à un groupe spécifique :

Set-LapsADReadPasswordPermission -Identity "OU=Ordinateurs" -AllowedPrincipals "Groupe_Lecteurs_LAPS"

Contact

LinkedIn : Paul Castagnet
Mail : contact@paul-castagnet.fr

Informations

Mentions légales
Plan du site