Dans la plus part des infrastructures Active Directory, chaque poste dispose d’un compte administrateur local. Ce compte est souvent mal géré et dans certains cas son mot de passe est identique sur toutes les machines. Ainsi, un attaquant compromettant une machine du parc informatique peut facilement pivoter sur le réseau.

Pour résoudre ce problème, Microsoft a mis en place LAPS v1 (Local Administrator Password Solution) en 2015 puis a publié en 2023 une version plus complète en 2023.

Cet article va traiter des modes de fonctionnement des deux versions et les principales différences.

LAPS v1

La première version de LAPS fonctionne selon un principe simple :

  • Le mot de passe du compte administrateur local est généré de façon automatique par la machine
  • Il est ensuite stocké en clair dans l’objet ordinateur correspondant à la machine dans l’attribut ms-MCS-AdmPwd
  • Des droits spécifiques sont configurés via des ACL pour restreindre la lecture de ce mot de passe
  • Une GPO indique la fréquence de rotation du mot de passe et le compte ciblé

Cette version pose plusieurs problèmes :

  • Le mot de passe est stocké en clair. Cela signifie que n’importe quel utilisateur disposant du droit de lire l’attribut où le mot de passe est stocké peut récupérer le mot de passe du compte
  • Aucune trace n’est laissé lorsque le mot de passe est consulté ce qui pose des problèmes de traçabilité.
  • Le mot de passe n’est pas stocké localement, ainsi, si la machine ne peut pas joindre le domaine, il est impossible de récupérer le mot de passe.

Windows LAPS

Avec Windows LAPS (inclus dans les dernières versions de Windows 10/11 et Server 2019/2022), Microsoft a revu certains mécanisme.

Sécurité

  • Le mot de passe n’est plus stocké en clair dans l’AD
  • Il est chiffré côté client avant d’être envoyé et est uniquement déchiffrable par les comptes autorisés
  • Même si un utilisateur a un droit de lecture sur l’attribut msLAPS-Password, il ne peut rien faire sans déchiffrer le mot de passe qui est chiffré avec la clé privé du domaine
  • Stockage de la clé Bitloker

Audit

  • Toute lecture d’un mot de passe est enregistrée dans les logs d’événement
  • Cela garantit la traçabilité de la lecture de ces mots de passe

Stockage local

  • Le mot de passe LAPS est désormais également stocké en local, chiffré avec DPAPI
  • Cela permet à la machine de redémarrer ou de rester hors ligne sans perdre de trace du mot de passe

Intégration Azure AD

  • Il fonctionne désormais avec Azure AD
  • Intune peut le gérer sans agent additionnel