On a vu précédemment comment sécuriser un peu plus votre infrastructure après une installation.
Si on a un AD c’est généralement qu’on a des stations clientes. Ces stations ont très souvent un compte administrateur local créé lors de l’installation de L’OS. Ce compte a généralement le même mot de passe sur tout le parc, mot de passe souvent simpliste.
Dans cette partie on va voir comment forcer son changement pour quelque chose de sécurisé, automatique et transparent.
Pour ça, on utilisera LAPS (Local Administrator Password Solution) disponible ici.
Dans mon cas j’installe LAPS sur le serveur Active Directory.
LAPS ne consomme pas beaucoup de ressource, c’est intimement lié à l’AD donc je préfère le mettre dessus.
On télécharge l’installeur depuis l’URL précédente.
Sur le serveur AD on installe toute la panoplie LAPS :
Et voila LAPS est installé. Pfiou c’était dur !
LAPS nécessite de modifier le schéma de l’AD.
Avant toute choss, voici à quoi ressemble mon AD actuellement, ça vous servira de repère pour les prochaines commandes :
On se rend donc dans Powershell en administrateur pour exécuter les commandes suivantes :
import-module admpwd.ps
Update-AdmPwdADSchema
Set-AdmPwdComputerSelfPermission -OrgUnit Stations_de_travail
Si vous avez plusieurs OU cibles, refaite cette même commande en changeant le paramètre de -OrgUnit.
Maintenant on va permettre aux Administrateurs (groupe GS_ADM_Admin) de voir et modifier le mot de passe configuré par LAPS.
Pourquoi ? Ma vision est simple, si quelqu’un peut connaître le mot de passe, alors il doit avoir le droit de le modifier après utilisation.
Set-AdmPwdResetPasswordPermission -OrgUnit Stations_de_travail -AllowedPrincipals "geekmunity\GS-ADM_Admin"
Si vous avez plusieurs délégations à créées, refaite cette même commande en changeant le paramètre de -OrgUnit ou les groupes cibles.
Reste maintenant à configurer la GPO. Pour se faire, on va (sans surprise) dans le gestionnaire de stratégies de groupes :
On configure la complexité du mot de passe :
Cette partie est importante, si vous avez plusieurs comptes locaux à cibler il faudra créer une GPO par compte.
Ce qui donne :
Maintenant que la partie serveur est configurée, on se rend sur le client.
On installe le fichier téléchargé précédemment. Dans le cas du labo, je le fais à la main, mais en production il est possible de déployer le fichier msi via GPO directement.
On force la mise à jour des GPO via l’invite de commande en administrateur :
gpupdate /force
On retourne dans l’AD, voir les attributs du poste :
La date n’est pas dans un format lisible, pour la transformer faite :
w32tm /ntte VALEUR_A_CONVERTIR
On peut aussi utiliser l’utilitaire installer via les « Managements Tools » :
Si besoin, nous pouvons changer la date d’expiration du mot de passe via LAPS UI.
Cette solution peut être envisagée dans le cas d’une suspicion compromission du poste ou lorsque le mot de passe a été transmis pour une intervention.
Pour confirmer que les mots de passe ne sont pas identiques entre les postes, j’ai créé un second client, dans la même OU.