LAPS

Le mot de passe administrateur local : un vrai problème de sécurité

Bien souvent, pour faciliter la gestion des postes de travail notamment lors des opérations de maintenance, on définit le même mot de passe pour le compte "Administrateur" local de toutes les machines. Ce mot de passe est définit à l'installation de Windows, ou automatiquement lorsque la machine est déployée à partir d'une solution de déploiement d'images (comme le couple WDS/MDT).

Même si l'on peut avoir conscience que cela est problématique d'un point de vue de la sécurité, il est difficilement envisageable de gérer un mot de passe par machine sans solution adaptée. Comme vous l'avez compris suite à la lecture des premiers paragraphes de ce chapitre, Microsoft propose une vraie solution à cette problématique avec LAPS.

Utiliser le même mot de passe administrateur local est une aubaine pour les pirates informatiques. Pour bien comprendre, prenons un exemple où une société utilise le même mot de passe sur toutes les machines (ou un ensemble de machines) de son parc. Si un pirate informatique parvient à récupérer le mot de passe Administrateur local et prendre le contrôle d'une machine, il peut effectuer des déplacements latéraux de machine en machine puisque le même mot de passe est utilisé. De cette façon, il peut progresser plus facilement au sein de votre système d'information afin d'atteindre son objectif final... D'où l'intérêt de protéger les comptes locaux des machines !

Attention : LAPS (Legacy) est désormais remplacé par Windows LAPS, qui fonctionne sur le même principe mais qui apporte des fonctionnalités supplémentaires (dont le chiffrement du mot de passe et le stockage du mot de passe dans Azure Active Directory). Pour en savoir plus sur la configuration de Windows LAPS pour l'Active Directory, suivez ce tutoriel Windows LAPS. Autrement dit, Windows LAPS doit être utilisé en priorité vis-à-vis de LAPS (Legacy).