Dans un environnement Active Directory, la sécurité des postes clients est essentielle. Un problème fréquent dans les infrastructures est l’utilisation d’un mot de passe identique pour le compte administrateur local sur toutes les machines. Cette mauvaise pratique permet à un attaquant, une fois le mot de passe connu, de se déplacer latéralement sur tout le réseau.
Windows LAPS (Local Administrator Password Solution) est un outil intégré à Windows qui permet de gérer automatiquement les mots de passe des comptes administrateurs locaux. Il permet de générer des mots de passe uniques, de les stocker de manière sécurisée dans Active Directory et de les faire expirer régulièrement.
Cette procédure a pour but de :
Avant de commencer la mise en œuvre de Windows LAPS, assurez-vous que :
Avant de pouvoir utiliser LAPS, il faut ajouter les nouveaux attributs à Active Directory. Pour cela :
Update-LapsADSchema
Cette commande ajoute des attributs personnalisés (comme msLAPS-Password) aux objets ordinateurs du domaine pour stocker les mots de passe localement générés.
Ensuite, il faut attribuer les droits pour permettre aux ordinateurs de stocker leur mot de passe, et aux administrateurs autorisés de les consulter.
Set-LapsADComputerSelfPermission -Identity "OU=Ordinateurs,DC=entreprise,DC=local"
Cette commande autorise les machines de l’OU spécifiée à écrire leur mot de passe dans Active Directory.
Set-LapsADReadPasswordPermission -Identity "OU=Ordinateurs,DC=entreprise,DC=local" -AllowedPrincipals "Groupe-Admin"
Cela permet aux membres du groupe "Groupe-Admin" de récupérer les mots de passe.
Set-LapsADReadPasswordPermission -Identity "OU=Ordinateurs,DC=entreprise,DC=local" -DeniedPrincipals "Groupe-Non-Autorisés"
Pour activer LAPS sur les postes clients, il faut appliquer une GPO spécifique.
Lancez la console Gestion de stratégie de groupe via gpmc.msc.
Créez une nouvelle GPO, par exemple : GPO - Windows LAPS.
Liez cette GPO à l’unité d’organisation (OU) contenant les machines cibles.
Éditez la GPO et naviguez vers :
Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Gestion du mot de passe local (Windows LAPS)
Activez les options suivantes :
EnabledActive DirectoryAdministrateur local par défautSur un poste client, appliquez la GPO en exécutant :
gpupdate /force
gpupdate /force
Invoke-LapsPolicyProcessing
Utilisez PowerShell pour lire le mot de passe stocké :
Get-LapsADPassword -Identity "NomDuPC"
Cela affiche le mot de passe administrateur local, ainsi que sa date d’expiration. On peut aussi aller le lire via ADSIEdit.msc dans les attributs de l’objet ordinateur (msLAPS-Password).
L’activation de Windows LAPS renforce la sécurité du parc informatique en permettant une gestion individuelle et centralisée des mots de passe des comptes administrateurs locaux. En évitant l’usage de mots de passe statiques partagés, LAPS diminue fortement le risque de compromission en cas d'attaque.
Ses avantages principaux sont :
La mise en place de cette solution m’a permis de :
Ce projet m’a permis de mettre en œuvre une solution concrète et utile, en phase avec les recommandations actuelles de sécurité, tout en développant des compétences techniques transférables à d’autres missions d’administration système.