Installation et configuration de LAPS

On a vu précédemment comment sécuriser un peu plus votre infrastructure après une installation.

Si on a un AD c’est généralement qu’on a des stations clientes. Ces stations ont très souvent un compte administrateur local créé lors de l’installation de L’OS. Ce compte a généralement le même mot de passe sur tout le parc, mot de passe souvent simpliste.

Dans cette partie on va voir comment forcer son changement pour quelque chose de sécurisé, automatique et transparent.

Pour ça, on utilisera LAPS (Local Administrator Password Solution) disponible ici.

Installation du serveur LAPS

Dans mon cas j’installe LAPS sur le serveur Active Directory.
LAPS ne consomme pas beaucoup de ressource, c’est intimement lié à l’AD donc je préfère le mettre dessus.

On télécharge l’installeur depuis l’URL précédente.

Sur le serveur AD on installe toute la panoplie LAPS :

Ne pas oublier de cocher « Management Tools ».

Et voila LAPS est installé. Pfiou c’était dur !

Configurer le schéma AD

LAPS nécessite de modifier le schéma de l’AD.

Avant toute choss, voici à quoi ressemble mon AD actuellement, ça vous servira de repère pour les prochaines commandes :

Voici l’arborescence actuelle

On se rend donc dans Powershell en administrateur pour exécuter les commandes suivantes :

import-module admpwd.ps
Update-AdmPwdADSchema

Si tout se passe bien, le status indique « Success ».

Set-AdmPwdComputerSelfPermission -OrgUnit Stations_de_travail

Toujours vérifier le Status

Si vous avez plusieurs OU cibles, refaite cette même commande en changeant le paramètre de -OrgUnit.

Maintenant on va permettre aux Administrateurs (groupe GS_ADM_Admin) de voir et modifier le mot de passe configuré par LAPS.
Pourquoi ? Ma vision est simple, si quelqu’un peut connaître le mot de passe, alors il doit avoir le droit de le modifier après utilisation.

Set-AdmPwdResetPasswordPermission -OrgUnit Stations_de_travail -AllowedPrincipals "geekmunity\GS-ADM_Admin"

J’aime qu’un plan se passe sans accroc.

Si vous avez plusieurs délégations à créées, refaite cette même commande en changeant le paramètre de -OrgUnit ou les groupes cibles.

Configurer la GPO

Reste maintenant à configurer la GPO. Pour se faire, on va (sans surprise) dans le gestionnaire de stratégies de groupes :

On a directement une partie LAPS pour les GPO grâce à l’installation précédente.

On configure la complexité du mot de passe :

Ici, je force un mot de passe complexe de 30 caractères avec roulement tous les trente jours.
Je cible le compte « LocAdmin ».

Cette partie est importante, si vous avez plusieurs comptes locaux à cibler il faudra créer une GPO par compte.

Bien sur on active la gestion du compte administrateur local.

Ce qui donne :

Votre GPO dois ressembler à ça.
Bien entendu je désactive la partie utilisateur.

Configuration du client

Maintenant que la partie serveur est configurée, on se rend sur le client.

On installe le fichier téléchargé précédemment. Dans le cas du labo, je le fais à la main, mais en production il est possible de déployer le fichier msi via GPO directement.

Cette fois, pas besoin des « Management Tools »

On force la mise à jour des GPO via l’invite de commande en administrateur :

gpupdate /force

Confirmation via l’AD

On retourne dans l’AD, voir les attributs du poste :

En premier le mot de passe, en second la date d’expiration

La date n’est pas dans un format lisible, pour la transformer faite :

w32tm /ntte VALEUR_A_CONVERTIR

Exemple.

On peut aussi utiliser l’utilitaire installer via les « Managements Tools » :

Nous avons bien les mêmes informations.

Compléments

Si besoin, nous pouvons changer la date d’expiration du mot de passe via LAPS UI.
Cette solution peut être envisagée dans le cas d’une suspicion compromission du poste ou lorsque le mot de passe a été transmis pour une intervention.

Et si j’ai plusieurs clients ?

Pour confirmer que les mots de passe ne sont pas identiques entre les postes, j’ai créé un second client, dans la même OU.

Les mots de passe sont différant d’un poste à l’autre.