5 astuces relatives à la solution LAPS (Local Administrator Password) – Serveur d’impression
Le compte d’administrateur Windows local est une cible convoitée pour les pirates et les logiciels malveillants. Il y a potentiellement beaucoup de mauvaises choses qui peuvent arriver si un pirate informatique peut déchiffrer le compte administrateur local de l'un de vos serveurs.
Il arrive généralement que des choses épouvantables se produisent lorsque quelqu'un télécharge également un virus malveillant en utilisant le compte administrateur. L'ampleur de ces problèmes est encore amplifiée si vous utilisez le compte administrateur par défaut car chaque ordinateur similaire utilise le même mot de passe.
Vous pouvez avoir le mot de passe le plus complexe au monde, mais une fois celui-ci compromis sur une machine, il est ouvert pour tous les autres périphériques utilisant les mêmes informations d'identification de l'administrateur local.
Bien sûr, vous pouvez personnaliser les informations d'identification de l'administrateur local pour chaque périphérique Windows, mais cela peut s'avérer très fastidieux, sans parler de la tâche consistant à inventorier les nombreux jeux d'informations d'identification. Le processus devient pratiquement irréalisable lorsque vous activez l'actualisation du mot de passe (ce que vous devriez bien sûr). C'est pourquoi de nombreux administrateurs le désactivent souvent.
Mais il est compréhensible d’avoir un type de compte d’administrateur local pour «réparer et réparer la machine», par exemple en réinitialisant sa relation de confiance de domaine ou en codant en dur une adresse IP, etc.
Si le même mot de passe administrateur local sur chaque machine est une idée terrible, que peut-on faire à ce sujet?
La solution LAPS (Microsoft Local Administrator Password) est un outil Microsoft qui permet aux administrateurs AD de gérer le mot de passe du compte local des ordinateurs appartenant à un domaine et de les stocker dans AD.
Lorsqu'il est mis en œuvre via la stratégie de groupe, LAPS crée un mot de passe aléatoire d'une longueur et d'une complexité définies, sécurisé sur le plan cryptographique et différent à chaque fois, sur chaque ordinateur. Il applique ensuite le mot de passe nouvellement créé au compte de l'administrateur local et enregistre le mot de passe dans un champ sécurisé de votre schéma Active Directory. Ils peuvent ensuite être récupérés lorsque l'accès au compte est nécessaire. Le processus est effectué automatiquement chaque fois qu'une actualisation du mot de passe définie par la stratégie de groupe est due.
LAPS a quelques exigences pour l'implémenter:
- Cela ne s'applique qu'aux appareils Windows
- Les appareils doivent être liés à un domaine
- Il nécessite une extension libre de la stratégie de groupe côté client.
- Il nécessite une extension de schéma (ne vous inquiétez pas.)
- Cela ne fonctionne que pour le compte administrateur local
- Cela ne fonctionne que pour UN seul compte administrateur local (si vous en avez plusieurs).
Comme indiqué précédemment, LAPS est déployé à l'aide de la stratégie de groupe, ce qui signifie qu'il nécessite la création d'un objet de stratégie de groupe. Vous devez d’abord télécharger LAPS que vous pouvez faire ici.
Ensuite, utilisez l’assistant pour l’installer sur votre machine de gestion des stratégies de groupe. Vous voudrez le faire à la main, et généralement PAS de manière automatisée.
Assurez-vous au moins de sélectionner les modèles d'éditeur GPO afin d'accéder aux fichiers ADMX nécessaires. Le client lourd est une interface utilisateur graphique qui permet à un utilisateur disposant des droits applicables d'interroger le mot de passe d'un périphérique désigné. Vous devez uniquement installer les outils de gestion, et non l’extension «AdmPwd GPO Extension» sur votre ordinateur (celui doté de la console GPMC).
Vous devez ensuite aller dans votre dossier PolicyDefinitions local et copier les fichiers AdmPwd.admx et AdmPwd.adml et les coller dans votre magasin central AD. (Pour une vidéo sur ce processus, consultez cette page: https://www.youtube.com/watch?v=Op7hAvc5a0M).
Ensuite, nous devons étendre le schéma AD afin de prendre en charge les mots de passe locaux.
Les deux attributs requis sont:
- ms-Mcs-AdmPwd – Stocke le mot de passe en texte clair
- ms-Mcs-AdmPwdExpirationTime – Stocke le temps pour réinitialiser le mot de passe
Pour mettre à jour le schéma, importez simplement le module AdmPwd PowerShell et utilisez la commande update-AdmPwdADSchema comme indiqué ci-dessous.
L'étape suivante consiste à créer un objet de stratégie de groupe côté ordinateur. Pour cet exemple, je l'appellerai Stratégie LAPS. Les paramètres LAPS apparaîtront maintenant sous Configuration ordinateur> Modèles d'administration> LAPS où 4 paramètres sont disponibles, comme indiqué ci-dessous.
Vous pouvez utiliser votre objet de stratégie de groupe LAPS pour gérer le mot de passe de l'administrateur local par défaut ou d'un compte d'administrateur local personnalisé. Ci-dessous, j'ai activé le paramètre «Activer la gestion du mot de passe de l'administrateur local». »
Si vous avez renommé le compte d'administrateur local (ce que vous devriez faire), vous pouvez alors spécifier le nom mis à jour. Une fois le compte admin sélectionné, la dernière étape consiste à activer le paramètre de stratégie de groupe qui configure les paramètres de mot de passe (comprenant la longueur et l'âge du mot de passe).
Une fois la configuration effectuée, déployez simplement le logiciel d’extension côté client LAPS via la méthode de déploiement de logiciel souhaitée, telle que PDQ Deploy. Vous n’avez besoin de la partie «GPO Extension» que si vous souhaitez effectuer un premier test à la main. Vous pouvez voir cela ici.
Vous pouvez également utiliser PolicyPak pour mieux contrôler le processus de déploiement. Plus à ce sujet dans une minute.
Le jour vient donc où vous devez savoir quel est le mot de passe actuel généré pour l’une de vos machines Windows. Comment faites-vous? Il y a plusieurs façons. On utilise la commande PowerShell suivante.
Get-AdmPwdPassword – Nom de l'ordinateur “nom de l'ordinateur”
Si vous avez installé le client LAPS Fat, vous pouvez accéder à l'application LAPS UI dans votre menu Démarrer.
PolicyPak offre tous les paramètres de modèle ADMX dans son gestionnaire de modèles d'administration PolicyPak et nous les mettons à jour à chaque nouvelle version d'ADMX. Il existe de nombreux avantages à utiliser Admin Templates Manager par rapport à la stratégie de groupe standard.
PolicyPak utilise l'éditeur de stratégie de groupe comme indiqué ci-dessous, mais ajoute une superpuissance secrète.
L’avantage principal est que PolicyPak peut utiliser le ciblage au niveau de l’article pour n’importe quel paramètre de stratégie de groupe, y compris LAPS.
Si vous connaissez les préférences de stratégie de groupe, vous savez déjà comment ILT fournit beaucoup plus de précision en ce qui concerne l'affectation de stratégies. Par exemple, supposons que tous les comptes d’administrateur locaux résidant sur vos serveurs s’appellent ServAdm1n et que vous souhaitiez créer une stratégie LAPS distincte pour ces administrateurs. Étant donné que ces comptes de domaine ne sont pas des administrateurs, vous ne pouvez pas les cibler à l'aide d'une stratégie de groupe, mais vous pouvez utiliser ILT pour cibler les ordinateurs exécutant Windows Server 2016.
Faisons maintenant une politique LAPS pour les ordinateurs portables de dirigeants de niveau C-Level. Naturellement, nous voudrions avoir un mot de passe fort pour ces comptes d’administrateur local. Dans ce cas, je souhaite appliquer des mots de passe de 20 caractères en utilisant la plus grande complexité. Ensuite, je vais utiliser ILT pour cibler le groupe de sécurité de niveau C. Comme vous pouvez le voir dans la capture d'écran ci-dessous, il existe de nombreuses options ciblables, notamment le nom de l'ordinateur, la correspondance de l'unité d'organisation, la correspondance du site, le facteur de forme de l'ordinateur (ordinateur portable par rapport au bureau) et plus encore!
En prime, bien que les objets de stratégie de groupe traditionnels créés dans l'éditeur de stratégie de groupe ne puissent normalement être déployés qu'à l'aide de la stratégie de groupe, les paramètres de PolicyPak peuvent être déployés de différentes manières, telles que SCCM, KACE ou votre service MDM préféré.
Pour en savoir plus sur ce processus, visionnez cette vidéo illustrant le processus de fourniture des paramètres de stratégie de groupe, sans le moteur de stratégie de groupe lui-même.
La solution de mot de passe administrateur local est un excellent outil pour renforcer l'accès administratif à vos machines les plus importantes. En fait, cela fait également un excellent partenariat avec PolicyPak Least Privilege Manager. PolicyPak Least Privilege Manager élimine complètement la nécessité de disposer de droits d’administrateur local, ce qui permet aux utilisateurs standard d’exécuter des fonctions spéciales comme un administrateur… mais sans les droits d’administrateur réels.
Ensemble, vous pouvez appliquer LAPS sur toutes vos machines d'entreprise… puisque vous n'aurez plus besoin d'un accès administrateur local.
En fin de compte, tout ce que vous pouvez faire avec la stratégie de groupe, vous pouvez le faire mieux avec PolicyPak.
Implémentez LAPS, ajoutez PolicyPak et obtenez plus de sécurité, de puissance et d'agilité.
Prêt à commencer? Si tel est le cas, visitez cette page (www.policypak.com/webinar) pour vous inscrire à un essai gratuit et visionner notre webinaire d’introduction. Il fournira tout ce que vous devez savoir pour que PolicyPak soit opérationnel dans votre environnement (configuration système, versions, instructions d'installation, etc.).
A bientôt, j'espère!
Les 5 conseils LAPS (Top Local Administrator Solution) suivants sont apparus en premier sur PolicyPak.
*** Ceci est un blog syndiqué réseau Security Bloggers de Blog – PolicyPak rédigé par Ryan Oistacher. Lisez le message original à l'adresse: https://www.policypak.com/pp-blog/local-administrator-password-solution-tips
Commentaires
Laisser un commentaire