Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit
- Qu'est-ce que Microsoft LAPS ?
- Exigences d'installation de LAPS
- Configurer Microsoft LAPS
- Garantir la sécurité de LAPS
- FAQ sur Microsoft LAPS
Qu'est-ce que Microsoft LAPS ?
La solution Microsoft LAPS permet de gérer les mots de passe des administrateurs locaux et de partager les autorisations. Les mots de passe sont stockés dans Active Directory (AD). LAPS randomise et met automatiquement à jour les mots de passe de façon régulière, pour éviter que deux utilisateurs n'aient les mêmes mots de passe et que ceux-ci ne deviennent obsolètes et plus vulnérables au piratage. Avant LAPS, de nombreux administrateurs système utilisaient soit le même mot de passe dans tout le domaine, soit des conventions de nommage similaires rendant ainsi l'ensemble du système plus vulnérable. En résumé, Microsoft LAPS veille à ce que tous les appareils et utilisateurs de votre système disposent de mots de passe uniques et robustes afin d'éviter les fuites de données ou les connexions non autorisées.
Exigences d'installation de LAPS
Il existe plusieurs exigences techniques clés nécessaires à l'installation de Microsoft LAPS. Tout d'abord, vous devez avoir au minimum le .NET Framework 4.0 et PowerShell 2.0. Vous devrez également utiliser Windows Server 2003 SP1 ou une version supérieure qui permet à LAPS de gérer le mot de passe de l'administrateur local. Tous les systèmes de bureau doivent exécuter Windows Vista SP2 ou supérieur. Vous devrez également utiliser Windows Server 2003 SP1 ou supérieur pour votre environnement Active Directory. LAPS nécessite également une mise à jour du schéma pour prendre en charge les attributs ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime. Ces attributs permettent de stocker à la fois le mot de passe de l'administrateur local et sa date d'expiration. Si votre pile technologique Microsoft est à jour, vous n'aurez aucun problème à respecter les exigences minimales pour l'installation de LAPS.Configurer Microsoft LAPS
Après l'installation, la configuration de Microsoft LAPS s'effectue en quelques étapes simples et linéaires.
1. Validez vos composants
Tout d'abord, vérifiez que vous avez tous les composants LAPS à disposition, tels que votre interface utilisateur client lourd, le module Powershell, les modèles de stratégies de groupe et l'extension GPO AdmPwd. Il se peut que vous n'ayez pas besoin de toutes ces fonctions spécifiques, mais la plupart des consoles de gestion requièrent un ou plusieurs de ces composants avant la configuration de LAPS.2. Étendez le schéma Active Directory
L'extension du schéma AD permet à vos systèmes et à votre réseau d'intégrer LAPS. Pour ce faire, vous pouvez exécuter Powershell. Vous devez ajouter deux attributs : ms-Mcs-AdmPwd et ms-Mcs-AdmPwdExpirationTime. Ces deux attributs stockent le mot de passe administrateur et sa date d’expiration.
3. Configurez les paramètres de mot de passe
Une fois que vous avez étendu le schéma AD, vous allez configurer les paramètres de mot de passe LAPS. Dans les Paramètres de mot de passe, vous pouvez configurer des éléments tels que la complexité, la longueur et la date d'expiration des mots de passe. LAPS génère de nouveaux mots de passe avec ces paramètres. Cette étape est essentielle pour garantir que vos mots de passe LAPS sont suffisamment complexes et changent fréquemment.
4. Appliquez les autorisations d'accès
Vous devez maintenant vous assurer que seules les personnes autorisées ont accès aux paramètres et aux mots de passe LAPS. Vous devrez nommer l'administrateur qui gérera le compte, saisir ses informations et activer son accès. Vous avez également la possibilité d'utiliser le compte administrateur par défaut et les détails qui sont fournis à chaque installation de LAPS.
5. Configurez la stratégie de groupe
Votre AD est maintenant configuré pour stocker et recevoir des mots de passe et les autorisations correctes ont été attribuées. La dernière étape importante de l'installation de LAPS consiste à créer une stratégie de groupe pour configurer le composant client LAPS. Il suffit d'ouvrir l'éditeur de gestion de stratégie de groupe, de sélectionner « Créer un objet de stratégie de groupe » et de lui donner un nom approprié. Maintenant, vous pouvez laisser LAPS effectuer son travail. Le système génère et modifie les mots de passe en fonction de la complexité et les intervalles de temps définis dans votre stratégie de groupe et de vos paramètres administratifs. Seuls les administrateurs désignés peuvent accéder à LAPS et effectuer des modifications.Garantir la sécurité de LAPS
Vous pouvez utiliser diverses mesures et outils pour garantir que LAPS est sécurisé et qu'aucun de vos mots de passe ou accès au système n'est compromis.
Gérez les autorisations en PowerShell
Puisque l'installation de LAPS ajoute de nouveaux attributs à votre système, vous devrez vérifier que les autorisations d'accès à ces attributs sont correctement appliquées. L'accès à l'attribut ms-McsAdmPwd ne doit être accordé qu'aux utilisateurs qui en ont besoin. Grâce à des scripts d'autorisation facilement disponibles, il est possible de vérifier l'accès actuel aux attributs et d'appliquer automatiquement de nouvelles autorisations si nécessaire.Retirez toutes les autorisations étendues
Nous vous conseillons également de retirer l'autorisation « Tous les droits étendus » qui existe par défaut dans LAPS. En retirant cette autorisation, vous empêcherez les utilisateurs et les groupes de consulter les mots de passe des comptes d'administrateurs locaux à partir de périphériques non autorisés. Les mots de passe étant stockés sous forme d'attribut texte dans PowerShell, le retrait des autorisations étendues empêche les personnes de découvrir les mots de passe par hasard.Verrouillez les autorisations de réinitialisation du mot de passe
Dans LAPS, certains utilisateurs peuvent réinitialiser leurs mots de passe. Lors de l'installation et de la configuration, vérifiez que l'administrateur local est le seul à avoir l'autorisation de réinitialiser des mots de passe. Le droit de réinitialiser les mots de passe doit être strictement limité dans tous les contextes, et Microsoft LAPS ne fait pas exception.Formation et sensibilisation des administrateurs
Organisez des sessions de formation administrateur sur l'installation, la configuration et l'utilisation sécurisées de LAPS à l'échelle de l'entreprise. Comme pour tout nouveau logiciel ou toute nouvelle technologie, il est essentiel que les administrateurs soient conscients des vulnérabilités potentielles de LAPS et qu'ils sachent empêcher les utilisateurs non autorisés de consulter les mots de passe ou de modifier les paramètres par accident.Approche intégrée de la sécurité des données
Une configuration adéquate ne doit pas être votre seule ligne de défense contre la compromission de LAPS. Vous devriez également envisager de déployer un logiciel de détection et de réponse aux menaces qui vous avertira de tout accès ou utilisateur non autorisé. Elle doit faire partie d'une plateforme de sécurité des données : un ensemble de processus et de pratiques conçus pour protéger LAPS et l’écosystème de vos technologies de l’information.FAQ sur Microsoft LAPS
Vous trouverez ci-dessous quelques questions et sujets courants sur Microsoft LAPS, son fonctionnement et son niveau de sécurité.Microsoft LAPS est-il sécurisé ?
Oui. Microsoft LAPS est une solution parfaitement sécurisée à condition que les autorisations soient définies dans les attributs de l'Active Directory. Tout système ou logiciel peut être la cible de pirates informatiques, mais avec les précautions et la configuration appropriées, LAPS est un outil sûr.Que veut dire LAPS en informatique ?
Sur le plan purement technique, LAPS est une extension côté client (CSE) de stratégie de groupe conçue pour la sécurité permanente des mots de passe. Elle utilise le service Active Directory de votre système et génère régulièrement de nouveaux mots de passe.À quoi sert Microsoft LAPS ?
Microsoft LAPS permet d'éviter les mots de passe obsolètes, en double ou trop simples. Ces cas de figures exposent les systèmes à des fuites de données intentionnelles ou accidentelles. Grâce à LAPS, les mots de passe changent régulièrement et sont suffisamment complexes.Combien coûte LAPS ?
Rien. LAPS est un outil disponible en téléchargement gratuit directement à partir du site Web de Microsoft. Il est fourni aux utilisateurs de Windows et aux entreprises comme mesure supplémentaire de sécurité des mots de passe. Il vous suffit de consacrer du temps et des ressources à l'installation, à la configuration et à la gestion de LAPS.Conclusion
Les mots de passe obsolètes et en double présentent généralement d'énormes vulnérabilités pour la sécurité des données informatiques. Microsoft LAPS est un excellent moyen de prévenir ces problèmes de manière continue et automatisée. Grâce à l'installation de LAPS et en limitant les droits d'accès aux seuls administrateurs autorisés, vous garantissez que les utilisateurs n'obtiendront jamais un accès non autorisé à votre système avec un ancien mot de passe.Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.