Microsoft LAPS ou la solution de gestion des comptes locaux.
Dans le cadre de la sécurisation du SI, l’un des nombreux défis pour chaque société est de sécuriser les comptes d’administrateurs locaux sur chacun des serveurs et postes Windows au sein du réseau.

Que le compte “administrateur” soit actif ou non, ou qu’il ait été remplacé par un compte générique, différents problèmes persistent.

  • Le mot de passe sera le même sur toutes les machines car c’est la méthode la plus simple.
  • Le jour où ce mot de passe est compromis, c’est la catastrophe, il faudra plusieurs jours voire plusieurs semaines pour changer ce mot de passe.
  • Le service informatique tiendra un fichier Excel ou un KeePass recensant les mots de passe.
  • Le travail sera chronophage lorsqu’il faudra changer le mot de passe pour chacun des serveurs & clients, ou alors le fichier Excel pourrait se retrouver compromis et le résultat sera le même que si le mot de passe était le même partout.

 

Pour pallier ces problématiques, Microsoft a mis à disposition un outil nommé LAPS.

Après une légère extension du schéma Active Directory, vous serez en mesure de déployer la solution et une GPO sur les serveurs et ordinateurs du domaine afin de demander de mettre à jour automatiquement les mots de passe Administrateurs tous les X Jours suivant certains critères de complexité.

Lorsque le mot de passe sera généré par les ordinateurs, il sera stocké avec sa date d’expiration dans l’Active Directory.

Microsoft fournit même l’interface graphique qui ira interroger l’AD.

Le point fort de cet outil est que vous pouvez via des groupes de sécurité, filtrer les permissions de lecture de cet attribut afin que, par exemple, seuls les responsables du Helpdesk aient accès aux mots de passe.