Le nouveau Windows LAPS est disponible

Raccoon

La nouvelle version de LAPS, appelée Windows LAPS, est officiellement disponible ! Faisons le point sur les nouveautés apportées par Microsoft !

Au fait, c’est quoi LAPS ou Windows LAPS ? LAPS pour Local Administrator Password Solution est une solution permettant de sécuriser les comptes “Administrateur” locaux de vos postes de travail et serveurs en générant un mot de passe unique sur chaque machine. Ainsi, le mot de passe du compte Administrateur local de la machine A sera différent du mot de passe du compte Administrateur local de la machine B.

Le mot de passe généré est stocké dans l’Active Directory (ou dans Azure Active Directory avec la nouvelle version !) et il est renouvelé régulièrement, de façon automatique.

Windows LAPS est intégré nativement à Windows

Ce mardi 11 avril 2023, Microsoft a mis en ligne de nouvelles mises à jour via son traditionnel Patch Tuesday. Suite à l’installation de cette mise à jour, Windows LAPS va prendre place automatiquement dans Windows donc il ne sera plus nécessaire de le déployer par GPO ou autre en tant qu’application additionnelle. Cela est vrai pour les systèmes suivants :

• Windows 11 Pro, Education, et Enterprise
• Windows 10 Pro, Education, et Enterprise
• Windows Server 2022 et Windows Server Core 2022
• Windows Server 2019

Windows LAPS et l’Active Directory : les nouveautés

LAPS, que l’on appellera désormais Legacy LAPS, est déjà très bien intégré à l’Active Directory. Mais avec Windows LAPS, on a le droit à quelques nouveautés appréciables (et attendues). Tout d’abord, les mots de passe stockés dans l’Active Directory seront chiffrés, ce qui n’était pas le cas jusqu’ici. Autre point très intéressant, Windows LAPS va donner accès à l’historique des mots de passe, ce qui est pratique si l’on restaure une machine à un état antérieur, car on a toujours accès aux précédents mots de passe.

Comme le montre l’image ci-dessous, dans les propriétés d’un objet ordinateur, nous avons aussi la possibilité de voir la date d’expiration, ainsi que le nom du compte Administrateur local de la machine.

Source : Microsoft - YouTube - Windows IT Pro

Windows LAPS permet aussi de bénéficier de la rotation automatique des mots de passe. Dès qu’un mot de passe Administrateur est utilisé sur une machine, il est renouvelé dans la foulée. On peut noter  aussi la prise en charge des mots de passe du mode de restauration des services d’annuaire (DSRM) Active Directory.

Enfin, un mode émulation permettra d’utiliser les anciennes politiques de LAPS pour se préparer à utiliser la nouvelle version. Autrement dit, c’est un mode pour vous aider à passer de Legacy LAPS à Windows LAPS.

Windows LAPS pour Azure Active Directory

LAPS n’aura plus besoin impérativement d’un Active Directory pour fonctionner, car il est pris en charge par Azure Active Directory. Pour le moment, cette partie est accessible en private preview.

Dans ce mode de fonctionnement, le mot de passe de l’Administrateur local d’une machine est directement stocké dans le Cloud, au sein du périphérique inscrit. Les appareils inscrits en mode hybride sont aussi pris en charge.

Des paramètres de configuration seront disponibles dans le portail Microsoft Endpoint Manager sous la forme de stratégies, et c’est là aussi que l’on pourra demander la rotation d’un mot de passe (déclencher un changement). La rotation automatique en cas d’utilisation du mot de passe est aussi de la partie. En ce qui concerne la récupération du mot de passe d’un appareil, il conviendra d’utiliser le portail Azure ou de s’appuyer sur Microsoft Graph.

Pour gérer les autorisations d’accès à ces mots de passe, Microsoft a introduit deux nouvelles permissions dans Microsoft Graph et il y a aussi des politiques Azure RBAC.

Un nouveau module PowerShell et un nouvel ADMX

Microsoft a également introduit une nouvelle version du module PowerShell pour Windows LAPS. Ce module est plus complet que le précédent, et offre la possibilité de récupérer le mot de passe dans l’Active Directory ou Azure Active Directory (jusqu’ici, c’était possible pour l’AD). Voici la liste des commandes :

En complément, Microsoft a mis en ligne un nouveau fichier ADMX donnant accès aux paramètres de GPO pour Windows LAPS. Enfin, on peut citer la création d’un nouveau journal dédié à Windows LAPS dans l’Observateur d’événements de Windows.

L’annonce officielle de Microsoft est disponible à cette adresse tandis que la documentation de Windows LAPS est accessible ici.

Source : it-connect.fr

Violence

@Raccoon a dit dans Le nouveau Windows LAPS est disponible :

Tout d’abord, les mots de passe stockés dans l’Active Directory seront chiffrés, ce qui n’était pas le cas jusqu’ici.

Bonnes nouvelles que tout cela

Raccoon

@Violence il était temps ! Ca fait au moins 2 ans que Microsoft avait désactivé la possibilité de faire une GPO pour changer le mot de passe admin local d’un poste, car il était diffusé en clair sur le réseau, sans réellement proposé d’alternative si ce n’est d’installer et de déployer LAPS.