LAPS – Local Administrator Password Solution

D-GothLeave a Comment on LAPS – Local Administrator Password Solution
Facebook Twitter Google Plus Instagram YouTube Twitch

LAPS – SĂ©curiser les mots de passe des administrateurs locaux avec Active Directory

Pourquoi LAPS ?

Si vous administrez un rĂ©seau d’entreprise de taille moyenne ou importante, vous avez probablement dĂ©jĂ  Ă©tĂ© confrontĂ© Ă  la problĂ©matique des mots de passe locaux des comptes « Administrateur » sur les postes de travail et serveurs membres du domaine.
Une fuite de ce mot de passe local, souvent identique sur plusieurs machines, permettrait à un attaquant de se connecter en local ou via le réseau, compromettant potentiellement tout le parc informatique.

Historiquement, plusieurs méthodes ont tenté de résoudre ce problÚme :

  • Scripts de dĂ©marrage : changement automatique des mots de passe via un script exĂ©cutĂ© en contexte systĂšme — peu fiable, car les mots de passe peuvent transiter en clair ou ĂȘtre exposĂ©s dans les fichiers.
  • GPP (Group Policy Preferences) : un temps populaire, jusqu’à ce qu’une vulnĂ©rabilitĂ© critique soit dĂ©couverte (cf. ADSecurity.org), exposant les mots de passe en clair dans les GPO XML. Microsoft a d’ailleurs dĂ©sactivĂ© cette fonctionnalitĂ© dĂšs la mise Ă  jour KB2962486.

Pour offrir une solution pérenne, Microsoft publie en mai 2015 la Local Administrator Password Solution (LAPS), permettant une gestion centralisée, sécurisée et automatisée des mots de passe des comptes administrateurs locaux.
Depuis avril 2023, une nouvelle version, Windows LAPS, est intégrée nativement à Windows et gérable directement via Active Directory ou Azure AD (Entra ID).

Concept de LAPS

LAPS a pour objectif d’automatiser la gestion des mots de passe locaux tout en garantissant leur unicitĂ© et leur confidentialitĂ©.
Le principe est simple :

  1. Chaque ordinateur membre du domaine génÚre réguliÚrement un mot de passe fort et unique pour son compte administrateur local.
  2. Ce mot de passe est stocké de maniÚre chiffrée dans Active Directory (ou Azure AD).
  3. Deux attributs spĂ©cifiques sont associĂ©s Ă  l’objet ordinateur :
    • ms-Mcs-AdmPwd : le mot de passe en clair (chiffrĂ© cĂŽtĂ© AD).
    • ms-Mcs-AdmPwdExpirationTime : la date de prochaine rotation.

Nouveautés de Windows LAPS (2023+)

Microsoft a profondément fait évoluer LAPS.
Voici les principales nouveautés par rapport à la version classique :

  • IntĂ©gration native Ă  Windows 10/11 et Windows Server 2022+.
  • Support d’Azure AD / Entra ID (stockage et gestion cloud).
  • Rotation automatique du mot de passe aprĂšs utilisation.
  • Sauvegarde dans Azure Key Vault (optionnelle).
  • PossibilitĂ© de chiffrer les mots de passe avec BitLocker Recovery Key.
  • Politiques LAPS directement intĂ©grĂ©es aux GPO (plus besoin d’installer les modĂšles ADMX manuellement).
  • Gestion PowerShell Ă©tendue via le module LAPS (cmdlets comme Get-LapsADPassword, Reset-LapsPassword, etc.).

Environnement de test

Dans notre exemple, nous utilisons :

  • Un contrĂŽleur de domaine Windows Server 2019.
  • Des postes clients Windows 10/11.
  • Une station d’administration Ă©quipĂ©e des RSAT (Remote Server Administration Tools).
  • Active Directory synchronisĂ© avec Entra ID (facultatif mais recommandĂ© pour tester les nouveautĂ©s cloud).

Installation de LAPS (ancienne version ou gestion hybride)

Si vos postes clients ne disposent pas encore de Windows LAPS intégré, vous pouvez installer le package LAPS.msi disponible sur le site de Microsoft :
âžĄïž TĂ©lĂ©charger LAPS classique

Sur la station d’administration, cochez les options Administrative Tools uniquement.
Les extensions clientes (CSE) seront installées via GPO sur les machines cibles.

Extension du schéma Active Directory

L’extension du schĂ©ma est nĂ©cessaire pour permettre le stockage sĂ©curisĂ© des mots de passe.
Depuis une session PowerShell sur un compte disposant des droits de Schema Admin, exécutez :

Import-Module AdmPwd.PS
Update-AdmPwdADSchema

Cela ajoute deux attributs Ă  la classe computer :

  • ms-Mcs-AdmPwd
  • ms-Mcs-AdmPwdExpirationTime

Vous pouvez vérifier leur présence depuis la console Schéma Active Directory (schmmgmt.msc).

Gestion des autorisations

Une fois le schéma étendu, il faut définir qui peut lire ou écrire ces attributs sensibles.
Microsoft fournit des cmdlets PowerShell dédiées :

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=Postes,DC=entreprise,DC=local"
Set-AdmPwdReadPasswordPermission -OrgUnit "OU=Postes,DC=entreprise,DC=local" -AllowedPrincipals "HelpDesk"
Set-AdmPwdResetPasswordPermission -OrgUnit "OU=Postes,DC=entreprise,DC=local" -AllowedPrincipals "Administrateurs du domaine"

Ainsi :

  • Chaque ordinateur peut Ă©crire son propre mot de passe.
  • Les administrateurs ou le HelpDesk peuvent le lire.
  • Aucun autre utilisateur ne dispose d’accĂšs.

Déploiement via Stratégie de Groupe (GPO)

CrĂ©ez une nouvelle GPO (ex. : « LAPS – Configuration locale ») et liez-la Ă  l’OU contenant les postes concernĂ©s.
Les paramĂštres LAPS sont accessibles ici :

Configuration ordinateur
   → Modùles d’administration
      → System
         → LAPS

Les paramĂštres essentiels :

  • Enable local admin password management : ActivĂ©
  • Password Settings : longueur, complexitĂ©, pĂ©riode de rotation
  • Do not allow password expiration time longer than required : RecommandĂ©
  • Backup directory : Active Directory / Azure AD selon l’environnement

Pour les postes sans Windows LAPS intĂ©grĂ©, dĂ©ployez aussi la Client Side Extension (CSE) via la mĂȘme GPO, en diffusant le package .msi.

Vérification et récupération du mot de passe

Une fois la GPO appliquée et le poste redémarré, le mot de passe local est généré et stocké dans Active Directory.
Vous pouvez le consulter de plusieurs façons :

Via PowerShell

Get-AdmPwdPassword -ComputerName PC001

Via la console graphique

L’utilitaire LAPS UI, installĂ© avec les outils d’administration, permet d’afficher le mot de passe et sa date d’expiration pour un ordinateur donnĂ©.

Exemple de fonctionnement

  1. La machine PC001 change automatiquement son mot de passe local « Administrateur ».
  2. Le mot de passe fort (32 caractÚres par défaut) est stocké dans Active Directory.
  3. Le champ ms-Mcs-AdmPwdExpirationTime indique la prochaine rotation (par défaut 30 jours).
  4. Seuls les comptes autorisĂ©s peuvent le lire, les autres verront simplement l’attribut vide.

Bonnes pratiques et sécurité

  • Ne rĂ©utilisez jamais les mĂȘmes mots de passe : laissez LAPS gĂ©rer la rotation automatique.
  • ContrĂŽlez les permissions sur l’OU pour Ă©viter toute fuite accidentelle.
  • Surveillez les accĂšs aux attributs LAPS via les journaux d’audit.
  • Combinez avec BitLocker, Defender et Intune pour une protection renforcĂ©e.
  • Activez la rotation post-utilisation (Post Authentication Reset) sur les environnements rĂ©cents.

En conclusion

LAPS est aujourd’hui une brique essentielle de la sĂ©curitĂ© Active Directory.
Que vous utilisiez la version classique ou Windows LAPS intĂ©grĂ©, cette solution garantit que chaque machine dispose d’un mot de passe unique, robuste et automatiquement renouvelĂ© — sans intervention manuelle ni risque de fuite.

Pour les environnements hybrides (AD + Azure AD), LAPS devient mĂȘme un pont naturel vers la gestion cloud, s’intĂ©grant Ă  Microsoft Intune, Entra ID et Azure Key Vault.

En somme, un petit outil gratuit, mais une immense avancĂ©e en matiĂšre de sĂ©curitĂ© d’entreprise.

Leave a Reply