MicrosoftSécurité Microsoft

Microsoft LAPS

Qu’est-ce que Windows LAPS ?

La solution de mot de passe de l’administrateur local Windows (Windows LAPS) est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils joints à Azure Active Directory ou à Windows Server Active Directory. Vous pouvez également utiliser Windows LAPS pour gérer et sauvegarder automatiquement le mot de passe du compte DSRM (Directory Services Restore Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser.

Problème :

La mise à jour du 11 avril 2023 comporte deux régressions potentielles liées à l’interopérabilité avec les anciens scénarios LAPS.

Si vous installez l’ancien LAPS CSE sur un appareil corrigé avec la mise à jour de sécurité du 11 avril 2023 et une politique LAPS héritée appliquée, Windows LAPS et l’ancien LAPS entreront dans un état cassé où aucune fonctionnalité ne mettra à jour le mot de passe du compte géré.

Les symptômes :

Les symptômes incluent les ID de journal d’événements Windows LAPS 10031 et 10033, ainsi que l’ancien ID d’événement LAPS 6. Microsoft travaille sur un correctif pour ce problème.

Pour vérifier les journaux : Journaux des applications et des services > Microsoft > Windows > LAPS > Opérationnel

Si vous appliquez une politique LAPS héritée à un appareil corrigé avec la mise à jour du 11 avril 2023, Windows LAPS appliquera immédiatement la politique LAPS héritée, ce qui peut être perturbateur (par exemple si cela est fait pendant le workflow de déploiement du système d’exploitation). Désactiver le mode d’émulation LAPS hérité peut également être utilisé pour éviter ces problèmes.

Solution :

Jusqu’à ce qu’un correctif soit disponible pour résoudre ce problème, Microsoft a partagé une solution de contournement pour aider les administrateurs à restaurer la fonctionnalité LAPS dans les scénarios sur site

  • Désinstaller l’ancien LAPS CSE (résultat : Windows LAPS prendra en charge la gestion du compte géré)
  • Désactiver l’ancien mode d’émulation LAPS (résultat : l’ancien LAPS prendra en charge la gestion du compte géré)

En créant une valeur de registre REG_DWORD nommée BackupDirectorysous la HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Configclé et en la définissant sur la valeur zéro (0). La définition de cette valeur empêchera Windows LAPS d’entrer en mode d’émulation Microsoft LAPS hérité, que l’ancien CSE Microsoft LAPS soit installé ou non. Cette valeur peut être utilisée temporairement ou définitivement. Notez que si\lorsqu’une nouvelle politique Windows LAPS est configurée

Lorsque Windows LAPS s’exécute en mode d’émulation Microsoft LAPS hérité, un événement 10023 est enregistré pour détailler la configuration de stratégie actuelle :

Avantages de l’utilisation de Windows LAPS :

Utiliser Windows LAPS pour alterner et gérer régulièrement les mots de passe des comptes d’administrateurs locaux et bénéficier des avantages suivants :

  • Protection contre les attaques de type pass-the-hash et lateral-traversal
  • Amélioration de la sécurité pour les scénarios d’assistance à distance
  • Possibilité de se connecter et de récupérer des appareils autrement inaccessibles
  • Un modèle de sécurité à granularité fine (listes de contrôle d’accès et cryptage de mot de passe facultatif) pour sécuriser les mots de passe stockés dans Windows Server Active Directory
  • Prise en charge du modèle de contrôle d’accès basé sur les rôles Azure pour sécuriser les mots de passe stockés dans Azure Active Directory

One Comment

  1. Thanks for finally talking about > Problèmes hérités de LAPS avec la mise à jour du
    11 avril 2023 – Site d'informatique < Liked it!

Back to top button