Présentation de Microsoft LAPS : Configuration, installation et sécurité

Microsoft LAPS est une des solutions les plus efficaces pour protéger les mots de passe des administrateurs et empêcher les utilisateurs non autorisés d'accéder à des systèmes ou à des données auxquels ils ne sont pas censés avoir accès.
David Harrington
6 minute de lecture
Dernière mise à jour 27 juin 2023
Microsoft LAPS est l'une des solutions les plus efficaces pour protéger les mots de passe des administrateurs et empêcher les utilisateurs non autorisés d'accéder à des systèmes ou à des données auxquels ils ne sont pas censés avoir accès. La solution LAPS (Local Administrator Password Solution) de Microsoft est un outil de gestion des mots de passe qui consiste à randomiser les mots de passe des administrateurs au sein d'un même domaine.

Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

Sans un outil comme LAPS, la compromission d'un seul mot de passe d'administrateur peut entraîner l'exposition ou le vol de tous les autres. En obligeant tous les administrateurs à utiliser des mots de passe uniques qui changent régulièrement, les entreprises empêchent les utilisateurs de se contenter des mots de passe qui leur sont attribués par défaut ou qu'ils n'aient le même mot de passe dans le système. Dans cet article, nous allons aborder les notions de base de Microsoft LAPS et les exigences d'installation. Nous vous expliquerons également comment installer LAPS et le faire fonctionner en toute sécurité au sein de votre entreprise et de vos systèmes informatiques.

Qu'est-ce que Microsoft LAPS ?

microsoft laps definition

La solution Microsoft LAPS permet de gérer les mots de passe des administrateurs locaux et de partager les autorisations. Les mots de passe sont stockés dans Active Directory (AD). LAPS randomise et met automatiquement à jour les mots de passe de façon régulière, pour éviter que deux utilisateurs n'aient les mêmes mots de passe et que ceux-ci ne deviennent obsolètes et plus vulnérables au piratage. Avant LAPS, de nombreux administrateurs système utilisaient soit le même mot de passe dans tout le domaine, soit des conventions de nommage similaires rendant ainsi l'ensemble du système plus vulnérable. En résumé, Microsoft LAPS veille à ce que tous les appareils et utilisateurs de votre système disposent de mots de passe uniques et robustes afin d'éviter les fuites de données ou les connexions non autorisées.

Exigences d'installation de LAPS

Il existe plusieurs exigences techniques clés nécessaires à l'installation de Microsoft LAPS. Tout d'abord, vous devez avoir au minimum le .NET Framework 4.0 et PowerShell 2.0. Vous devrez également utiliser Windows Server 2003 SP1 ou une version supérieure qui permet à LAPS de gérer le mot de passe de l'administrateur local. Tous les systèmes de bureau doivent exécuter Windows Vista SP2 ou supérieur. Vous devrez également utiliser Windows Server 2003 SP1 ou supérieur pour votre environnement Active Directory. LAPS nécessite également une mise à jour du schéma pour prendre en charge les attributs ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime. Ces attributs permettent de stocker à la fois le mot de passe de l'administrateur local et sa date d'expiration. Si votre pile technologique Microsoft est à jour, vous n'aurez aucun problème à respecter les exigences minimales pour l'installation de LAPS.

Configurer Microsoft LAPS

setting up laps

Après l'installation, la configuration de Microsoft LAPS s'effectue en quelques étapes simples et linéaires.

1. Validez vos composants

Tout d'abord, vérifiez que vous avez tous les composants LAPS à disposition, tels que votre interface utilisateur client lourd, le module Powershell, les modèles de stratégies de groupe et l'extension GPO AdmPwd. Il se peut que vous n'ayez pas besoin de toutes ces fonctions spécifiques, mais la plupart des consoles de gestion requièrent un ou plusieurs de ces composants avant la configuration de LAPS.

2. Étendez le schéma Active Directory

L'extension du schéma AD permet à vos systèmes et à votre réseau d'intégrer LAPS. Pour ce faire, vous pouvez exécuter Powershell. Vous devez ajouter deux attributs : ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime. Ces deux attributs stockent le mot de passe administrateur et sa date d’expiration. 

3. Configurez les paramètres de mot de passe

Une fois que vous avez étendu le schéma AD, vous allez configurer les paramètres de mot de passe LAPS. Dans les Paramètres de mot de passe, vous pouvez configurer des éléments tels que la complexité, la longueur et la date d'expiration des mots de passe. LAPS génère de nouveaux mots de passe avec ces paramètres. Cette étape est essentielle pour garantir que vos mots de passe LAPS sont suffisamment complexes et changent fréquemment. 

4. Appliquez les autorisations d'accès

Vous devez maintenant vous assurer que seules les personnes autorisées ont accès aux paramètres et aux mots de passe LAPS. Vous devrez nommer l'administrateur qui gérera le compte, saisir ses informations et activer son accès. Vous avez également la possibilité d'utiliser le compte administrateur par défaut et les détails qui sont fournis à chaque installation de LAPS. 

5. Configurez la stratégie de groupe

Votre AD est maintenant configuré pour stocker et recevoir des mots de passe et les autorisations correctes ont été attribuées. La dernière étape importante de l'installation de LAPS consiste à créer une stratégie de groupe pour configurer le composant client LAPS. Il suffit d'ouvrir l'éditeur de gestion de stratégie de groupe, de sélectionner « Créer un objet de stratégie de groupe » et de lui donner un nom approprié. Maintenant, vous pouvez laisser LAPS effectuer son travail. Le système génère et modifie les mots de passe en fonction de la complexité et les intervalles de temps définis dans votre stratégie de groupe et de vos paramètres administratifs. Seuls les administrateurs désignés peuvent accéder à LAPS et effectuer des modifications.

Garantir la sécurité de LAPS

ensuring laps is secure

Vous pouvez utiliser diverses mesures et outils pour garantir que LAPS est sécurisé et qu'aucun de vos mots de passe ou accès au système n'est compromis.

Gérez les autorisations en PowerShell

Puisque l'installation de LAPS ajoute de nouveaux attributs à votre système, vous devrez vérifier que les autorisations d'accès à ces attributs sont correctement appliquées. L'accès à l'attribut ms-McsAdmPwd ne doit être accordé qu'aux utilisateurs qui en ont besoin. Grâce à des scripts d'autorisation facilement disponibles, il est possible de vérifier l'accès actuel aux attributs et d'appliquer automatiquement de nouvelles autorisations si nécessaire.

Retirez toutes les autorisations étendues

Nous vous conseillons également de retirer l'autorisation « Tous les droits étendus » qui existe par défaut dans LAPS. En retirant cette autorisation, vous empêcherez les utilisateurs et les groupes de consulter les mots de passe des comptes d'administrateurs locaux à partir de périphériques non autorisés. Les mots de passe étant stockés sous forme d'attribut texte dans PowerShell, le retrait des autorisations étendues empêche les personnes de découvrir les mots de passe par hasard.

Verrouillez les autorisations de réinitialisation du mot de passe

Dans LAPS, certains utilisateurs peuvent réinitialiser leurs mots de passe. Lors de l'installation et de la configuration, vérifiez que l'administrateur local est le seul à avoir l'autorisation de réinitialiser des mots de passe. Le droit de réinitialiser les mots de passe doit être strictement limité dans tous les contextes, et Microsoft LAPS ne fait pas exception.

Formation et sensibilisation des administrateurs

Organisez des sessions de formation administrateur sur l'installation, la configuration et l'utilisation sécurisées de LAPS à l'échelle de l'entreprise. Comme pour tout nouveau logiciel ou toute nouvelle technologie, il est essentiel que les administrateurs soient conscients des vulnérabilités potentielles de LAPS et qu'ils sachent empêcher les utilisateurs non autorisés de consulter les mots de passe ou de modifier les paramètres par accident.

Approche intégrée de la sécurité des données

Une configuration adéquate ne doit pas être votre seule ligne de défense contre la compromission de LAPS. Vous devriez également envisager de déployer un logiciel de détection et de réponse aux menaces qui vous avertira de tout accès ou utilisateur non autorisé. Elle doit faire partie d'une plateforme de sécurité des données : un ensemble de processus et de pratiques conçus pour protéger LAPS et l’écosystème de vos technologies de l’information.

FAQ sur Microsoft LAPS

Vous trouverez ci-dessous quelques questions et sujets courants sur Microsoft LAPS, son fonctionnement et son niveau de sécurité.

Microsoft LAPS est-il sécurisé ?

Oui. Microsoft LAPS est une solution parfaitement sécurisée à condition que les autorisations soient définies dans les attributs de l'Active Directory. Tout système ou logiciel peut être la cible de pirates informatiques, mais avec les précautions et la configuration appropriées, LAPS est un outil sûr.

Que veut dire LAPS en informatique ?

Sur le plan purement technique, LAPS est une extension côté client (CSE) de stratégie de groupe conçue pour la sécurité permanente des mots de passe. Elle utilise le service Active Directory de votre système et génère régulièrement de nouveaux mots de passe.

À quoi sert Microsoft LAPS ?

Microsoft LAPS permet d'éviter les mots de passe obsolètes, en double ou trop simples. Ces cas de figures exposent les systèmes à des fuites de données intentionnelles ou accidentelles. Grâce à LAPS, les mots de passe changent régulièrement et sont suffisamment complexes.

Combien coûte LAPS ?

Rien. LAPS est un outil disponible en téléchargement gratuit directement à partir du site Web de Microsoft. Il est fourni aux utilisateurs de Windows et aux entreprises comme mesure supplémentaire de sécurité des mots de passe. Il vous suffit de consacrer du temps et des ressources à l'installation, à la configuration et à la gestion de LAPS.

Conclusion

Les mots de passe obsolètes et en double présentent généralement d'énormes vulnérabilités pour la sécurité des données informatiques. Microsoft LAPS est un excellent moyen de prévenir ces problèmes de manière continue et automatisée. Grâce à l'installation de LAPS et en limitant les droits d'accès aux seuls administrateurs autorisés, vous garantissez que les utilisateurs n'obtiendront jamais un accès non autorisé à votre système avec un ancien mot de passe.

Que dois-je faire maintenant ?

Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:

1

Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.

2

Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.

3

Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.

Essayez Varonis gratuitement.

Obtenez un rapport détaillé sur les risques liés aux données basé sur les données de votre entreprise.
Se déploie en quelques minutes.

Keep reading

Varonis tackles hundreds of use cases, making it the ultimate platform to stop data breaches and ensure compliance.

attaques-par-pulvérisation-de-mots-de-passe-:-comment-réagir-et-comment-les-éviter
Attaques par pulvérisation de mots de passe : comment réagir et comment les éviter
L'utilisation de mots de passe courants ou trop simplistes peut rendre les utilisateurs et les organisations vulnérables à la pulvérisation de mots de passe. Découvrez ce que sont les attaques par pulvérisation de mots de passe, comment elles fonctionnent et ce que vous pouvez faire pour les éviter.
sécurité-des-réseaux-sociaux-:-quelle-protection-pour-vos-données-?
Sécurité des réseaux sociaux : quelle protection pour vos données ?
Sécurité des Réseaux Sociaux : En 2012, une cyberattaque de grande envergure lancée par un hacker nommé « Peace » a volé les mots de passe de plus de 117 millions d’utilisateurs...
ce-sid-est-libre ? le-laboratoire-de-détection-des-menaces-de-varonis-découvre-l’attaque-d’injection-de-sid-synthétiques
Ce SID est libre ? Le laboratoire de détection des menaces de Varonis découvre l’attaque d’injection de SID synthétiques
Une technique par laquelle les acteurs malveillants dotés de privilèges élevés existants peuvent injecter des SID synthétiques dans une ACL créant au passage une porte dérobée et des autorisations masquées.
tirer-le-meilleur-parti-de-data-transport-engine
Tirer le meilleur parti de Data Transport Engine
Si vous n’avez pas besoin des données, débarrassez-vous-en. Si elles sont sensibles, vérifiez qu’elles sont à l’emplacement adéquat et accessibles uniquement aux personnes qui en ont besoin. Les anciens fichiers...