LAPS – Local Administrator Password Solution

D-GothLeave a Comment on LAPS – Local Administrator Password Solution
Facebook Twitter Google Plus Instagram YouTube Twitch

LAPS – Sécuriser les mots de passe des administrateurs locaux avec Active Directory

Pourquoi LAPS ?

Si vous administrez un réseau d’entreprise de taille moyenne ou importante, vous avez probablement déjà été confronté à la problématique des mots de passe locaux des comptes « Administrateur » sur les postes de travail et serveurs membres du domaine.
Une fuite de ce mot de passe local, souvent identique sur plusieurs machines, permettrait à un attaquant de se connecter en local ou via le réseau, compromettant potentiellement tout le parc informatique.

Historiquement, plusieurs méthodes ont tenté de résoudre ce problème :

  • Scripts de démarrage : changement automatique des mots de passe via un script exécuté en contexte système — peu fiable, car les mots de passe peuvent transiter en clair ou être exposés dans les fichiers.
  • GPP (Group Policy Preferences) : un temps populaire, jusqu’à ce qu’une vulnérabilité critique soit découverte (cf. ADSecurity.org), exposant les mots de passe en clair dans les GPO XML. Microsoft a d’ailleurs désactivé cette fonctionnalité dès la mise à jour KB2962486.

Pour offrir une solution pérenne, Microsoft publie en mai 2015 la Local Administrator Password Solution (LAPS), permettant une gestion centralisée, sécurisée et automatisée des mots de passe des comptes administrateurs locaux.
Depuis avril 2023, une nouvelle version, Windows LAPS, est intégrée nativement à Windows et gérable directement via Active Directory ou Azure AD (Entra ID).

Concept de LAPS

LAPS a pour objectif d’automatiser la gestion des mots de passe locaux tout en garantissant leur unicité et leur confidentialité.
Le principe est simple :

  1. Chaque ordinateur membre du domaine génère régulièrement un mot de passe fort et unique pour son compte administrateur local.
  2. Ce mot de passe est stocké de manière chiffrée dans Active Directory (ou Azure AD).
  3. Deux attributs spécifiques sont associés à l’objet ordinateur :
    • ms-Mcs-AdmPwd : le mot de passe en clair (chiffré côté AD).
    • ms-Mcs-AdmPwdExpirationTime : la date de prochaine rotation.

Nouveautés de Windows LAPS (2023+)

Microsoft a profondément fait évoluer LAPS.
Voici les principales nouveautés par rapport à la version classique :

  • Intégration native à Windows 10/11 et Windows Server 2022+.
  • Support d’Azure AD / Entra ID (stockage et gestion cloud).
  • Rotation automatique du mot de passe après utilisation.
  • Sauvegarde dans Azure Key Vault (optionnelle).
  • Possibilité de chiffrer les mots de passe avec BitLocker Recovery Key.
  • Politiques LAPS directement intégrées aux GPO (plus besoin d’installer les modèles ADMX manuellement).
  • Gestion PowerShell étendue via le module LAPS (cmdlets comme Get-LapsADPassword, Reset-LapsPassword, etc.).

Environnement de test

Dans notre exemple, nous utilisons :

  • Un contrôleur de domaine Windows Server 2019.
  • Des postes clients Windows 10/11.
  • Une station d’administration équipée des RSAT (Remote Server Administration Tools).
  • Active Directory synchronisé avec Entra ID (facultatif mais recommandé pour tester les nouveautés cloud).

Installation de LAPS (ancienne version ou gestion hybride)

Si vos postes clients ne disposent pas encore de Windows LAPS intégré, vous pouvez installer le package LAPS.msi disponible sur le site de Microsoft :
➡️ Télécharger LAPS classique

Sur la station d’administration, cochez les options Administrative Tools uniquement.
Les extensions clientes (CSE) seront installées via GPO sur les machines cibles.

Extension du schéma Active Directory

L’extension du schéma est nécessaire pour permettre le stockage sécurisé des mots de passe.
Depuis une session PowerShell sur un compte disposant des droits de Schema Admin, exécutez :

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

Cela ajoute deux attributs à la classe computer :

  • ms-Mcs-AdmPwd
  • ms-Mcs-AdmPwdExpirationTime

Vous pouvez vérifier leur présence depuis la console Schéma Active Directory (schmmgmt.msc).

Gestion des autorisations

Une fois le schéma étendu, il faut définir qui peut lire ou écrire ces attributs sensibles.
Microsoft fournit des cmdlets PowerShell dédiées :

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Postes,DC=entreprise,DC=local"
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Postes,DC=entreprise,DC=local" -AllowedPrincipals "HelpDesk"
Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Postes,DC=entreprise,DC=local" -AllowedPrincipals "Administrateurs du domaine"

Ainsi :

  • Chaque ordinateur peut écrire son propre mot de passe.
  • Les administrateurs ou le HelpDesk peuvent le lire.
  • Aucun autre utilisateur ne dispose d’accès.

Déploiement via Stratégie de Groupe (GPO)

Créez une nouvelle GPO (ex. : « LAPS – Configuration locale ») et liez-la à l’OU contenant les postes concernés.
Les paramètres LAPS sont accessibles ici :

Configuration ordinateur
   → Modèles d’administration
      → System
         → LAPS

Les paramètres essentiels :

  • Enable local admin password management : Activé
  • Password Settings : longueur, complexité, période de rotation
  • Do not allow password expiration time longer than required : Recommandé
  • Backup directory : Active Directory / Azure AD selon l’environnement

Pour les postes sans Windows LAPS intégré, déployez aussi la Client Side Extension (CSE) via la même GPO, en diffusant le package .msi.

Vérification et récupération du mot de passe

Une fois la GPO appliquée et le poste redémarré, le mot de passe local est généré et stocké dans Active Directory.
Vous pouvez le consulter de plusieurs façons :

Via PowerShell

Get-AdmPwdPassword -ComputerName PC001

Via la console graphique

L’utilitaire LAPS UI, installé avec les outils d’administration, permet d’afficher le mot de passe et sa date d’expiration pour un ordinateur donné.

Exemple de fonctionnement

  1. La machine PC001 change automatiquement son mot de passe local « Administrateur ».
  2. Le mot de passe fort (32 caractères par défaut) est stocké dans Active Directory.
  3. Le champ ms-Mcs-AdmPwdExpirationTime indique la prochaine rotation (par défaut 30 jours).
  4. Seuls les comptes autorisés peuvent le lire, les autres verront simplement l’attribut vide.

Bonnes pratiques et sécurité

  • Ne réutilisez jamais les mêmes mots de passe : laissez LAPS gérer la rotation automatique.
  • Contrôlez les permissions sur l’OU pour éviter toute fuite accidentelle.
  • Surveillez les accès aux attributs LAPS via les journaux d’audit.
  • Combinez avec BitLocker, Defender et Intune pour une protection renforcée.
  • Activez la rotation post-utilisation (Post Authentication Reset) sur les environnements récents.

En conclusion

LAPS est aujourd’hui une brique essentielle de la sécurité Active Directory.
Que vous utilisiez la version classique ou Windows LAPS intégré, cette solution garantit que chaque machine dispose d’un mot de passe unique, robuste et automatiquement renouvelé — sans intervention manuelle ni risque de fuite.

Pour les environnements hybrides (AD + Azure AD), LAPS devient même un pont naturel vers la gestion cloud, s’intégrant à Microsoft Intune, Entra ID et Azure Key Vault.

En somme, un petit outil gratuit, mais une immense avancée en matière de sécurité d’entreprise.

Leave a Reply