Qu'est ce que Microsoft LAPS et comment le mettre en place ?

Qu'est ce que Microsoft LAPS ?

Microsoft LAPS est la version historique de Windows LAPS, qui est uniquement compatible avec les versions de Windows suivantes:
  •  Windows 11 Pro, EDU, and Enterprise
  •  Windows 10 Pro, EDU, and Enterprise
  • Windows Server 2022
  •  Windows Server 2019

 

Pourquoi déployer Microsoft LAPS sur votre domaine Active Directory ?

Microsoft LAPS est utilisé pour gérer les mots de passe des administrateurs locaux sur vos appareils joints au domaine Active Directory.
LAPS (Local Administrator Password Solution), crée un mot de passe unique, fort et aléatoire pour chaque poste de travail, serveur et stocke le mot de passe dans Active Directory.
L'avantage de Microsoft LAPS est que seuls les utilisateurs disposant des autorisations appropriées peuvent accéder aux mots de passe et au compte d'administrateur local. Et plus important encore, les attaquants ne pourront pas se propager latéralement sur d'autres ordinateurs lorsqu'un compte d'administrateur local a été compromis.
Le déploiement de LAPS s'effectue en 6 étapes, qui prennent environ 3H de travail.
 

Étape 1: déploiement (sur l'ordinateur de management de LAPS)

  1. Téléchargez sur le lien Microsoft officiel le logiciel MSI correspondant a votre architecture (x64 ou i386).
  2. Lancez l'exécutable pour démarrer l'installateur :
  3. Acceptez les conditions de licence et cliquez sur next :
  4. Installez toutes les fonctionnalités – sous l'onglet Management Tools, cliquez sur Entire feature will be installed on local hard drive :
  5. Cette étape termine l'installation de LAPS sur l'ordinateur qui va manager LAPS (habituellement le Contrôleur de domaine ou un serveur sensible de type Tiers 0)


Étape 2 : déployer LAPS sur les postes clients

Vous aurez besoin du même fichier téléchargé précédemment afin d'installer LAPS group policy client-side extension (CSE) sur chacun des postes clients. Pour déployer le fichier, vous pouvez le faire de différentes manières mais la plus simple étant de le faire par GPO.
 

Étape 3 : étendre le schéma Active Directory

Vous devez être connectés avec un compte membre du groupe "Schéma Active Directory".
  1. Lancez la commande suivante dans une invite de commande Powershell :
    Import-module AdmPwd.PS

    Update-AdmPwdADSchema

    Le résultat de cette commande doit être Success.
  2. Vous pouvez vérifier que cette étape ce soit terminée correctement en vérifiant dans les attributs des objets d'un ordinateur. Regardez les attributs ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime, bien qu'ils n'aient pas encore de valeur :

 

Étape 4 : configurer les permissions

Les autorisations d'écriture sur les attributs ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime doivent être modifiées.
Cette étape est nécessaire pour que les ordinateurs puissent mettre à jour le mot de passe et la date d'expiration du mot de passe de l'administrateur local. Cela se fait en utilisant PowerShell.
  1. Identifiez l'OU (Organizational Unit) contenant vos objets Active Directory Computer. Ici, ils sont dans l'OU ADPro Computers :
  2. Installez le module ADMPWD.ps si ce n'est pas déjà fait puis lancez la commande suivante:
    Set-AdmPwdComputerSelfPermission -OrgUnit "VOTRE OU"

 

Étape 5 : configurer les droits utilisateurs (permettre la lecture des mots de passe)

Par défaut, seuls les membres du groupe Administrateurs du domaine peuvent lire le mot de passe de l'administrateur local. Vous pouvez ajouter des utilisateurs ou des groupes supplémentaires avec PowerShell. Cette pratique est une excellente pratique d'administration Active Directory permettant de segmenter les droits et empêchera une compromission du domaine en cas de compromission des droits LAPS.
 
Dans cet exemple, nous ajoutons le groupe it_wrk_admins pour avoir l'autorisation d'afficher le mot de passe de l'administrateur local.
  1. Dans une invite de commandes PowerShell, lancez la commande suivante :
    Set-AdmPwdReadPasswordPermission -Identity "ADPro Computers" -AllowedPrincipals "it_wrk_admins"
  2. Vérifiez que la commande a bien été effectuée en lançant :
    Find-AdmPwdExtendedRights -Identity "VOTRE OU"

Vous souhaitez uniquement autoriser les administrateurs informatiques approuvés à lire le mot de passe de l'administrateur local. Les utilisateurs standards ne doivent pas en être autorisés.
 

Étape 6 : configuration de la stratégie de groupe

La dernière étape de configuration consiste à créer une stratégie de groupe pour les paramètres LAPS.
  1. Ouvrez la console de management des stratégies de groupe.
  2. Créez une nouvelle GPO sur l'OU contenant vos ordinateurs :
  3. Editez la GPO en allant dans Computer Configuration > Policies > Administrative Templates > LAPS :
  4. Cliquez sur la stratégie Enable local admin password management, puis Enable puis OK :
  5. Cliquez sur la stratégie Password Settings puis Enable, Choisissez la complexité des mots de passe puis cliquez sur OK :
 

Vous avez terminé la configuration de Microsoft LAPS.

 

Optionnel (compte administrateur local spécifique)

Vous n'avez pas besoin de configurer cette stratégie pour le compte administrateur built in, même si vous l'avez renommé. Cette étape est nécessaire seulement si vous utilisez un compte d'administrateur local personnalisé.
 
Par exemple, si vous utilisez un compte d'administrateur local personnalisé nommé IT_Admin, vous pouvez utiliser cette stratégie pour que LAPS gère ce compte :