La sécurisation des données d’un parc informatique est un réel défi de tous les jours.
Actuellement, les virus, malwares, randowares ou toute autre joyeuseté du même style raffolent attaquer ce fameux compte d’administrateur local pour exploiter les données personnelles ou professionnelles de chacun sur le poste.
Mais Microsoft a développé un outil, devenu gratuit depuis mai 2015, qui permet d’éviter que des gens mal intentionnés aillent exploiter les failles de sécurité Windows.
LAPS (Local Administrator Password Solution) permet ainsi de gérer et modifier de façon aléatoire, le mot de passe unique du compte Administrateur Local et de stocker ce mot de passe modifié dans l’Active Directory.
Étant ainsi aléatoire, il devient quasi impossible, pour les hackers, de récupérer le mot de passe, car LAPS permet de les changer à une fréquence décidée par votre stratégie de groupe d’une part, et votre politique RSSI, ensuite.
Les mots de passe qui transitent entre le poste de travail et l’annuaire seront ainsi cryptés lors du flux et ne pourront être décryptés que par l’Active Directory ET par une population spécifiquement autorisée, comme le support ou les ingénieurs poste de travail, etc. L’Active Directory stocke ensuite le mot de passe en texte clair ainsi que le temps défini pour réinitialiser le mot de passe.
Bonne nouvelle, LAPS ne nécessite aucune infrastructure supplémentaire et ses prérequis sont simples.
Pour l’Active Directory, être sur un serveur Windows 2003 SP1 minimum et pour le support, Vista ou plus.
D’un côté, un agent est installé sur le poste de travail pour qu’il puisse modifier le mot de passe selon un algorithme décidé et un paramétrage défini selon sa longueur (qui peut aller jusqu’à 20 caractères comprenant des majuscules, des minuscules, des chiffres ou des caractères spéciaux), sa complexité et son âge. Une fois que l’agent est installé, un second agent est installé sur le contrôleur de domaine qui pourra ainsi décompiler et récolter le mot de passe crypté, envoyé par le poste de travail.
L’administration de LAPS peut se faire de façon graphique via l’Active Directory ou, pour les personnes qui aiment faire des lignes de commandes, via PowerShell.
Il s’installe facilement, en 5 minutes, par déploiement d’un package MSI, mais par contre, sa mise en place dépendra de la taille et de la réactivité de votre parc informatique. Cela peut alors prendre plusieurs mois en fonction des absences des uns ou des autres. C’est donc une donnée à bien prendre en compte. Côté contrôleur de domaine, cela peut prendre 3 ou 4 jours.
LAPS est un très bon outil que nous préconisons et implémentons chez nos clients. Il montre d’excellents résultats. Pour autant, il ne faut jamais perdre de vue que ce n’est évidemment pas LA solution miracle. Une sécurisation entière et « sans faille » d’un parc informatique ne peut passer que par une politique RSSI bien définie et surtout…appliquée.
