Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Découvrez les concepts de base de conception et de sécurité pour la Solution de mot de passe d’administrateur local Windows (Windows LAPS) :
- Architecture
- Flux de scénario de base
- Cycle de traitement de la stratégie en arrière-plan
- Mots de passe Microsoft Entra
- Mots de passe Windows Server Active Directory
- Réinitialisation de mot de passe après authentification
- Protection contre les falsifications de mot de passe du compte
- Mode sans échec de Windows
Architecture Windows LAPS
La figure suivante illustre l’architecture Windows LAPS :
Le diagramme de l’architecture Windows LAPS comporte plusieurs composants clés :
Administrateur informatique : représente collectivement les différents rôles d’administrateur informatique pouvant intervenir dans un déploiement Windows LAPS. à savoir dans la configuration de la stratégie, l’expiration et la récupération des mots de passe stockés, et l’interaction avec les appareils gérés.
Appareil géré : représente un appareil joint à Microsoft Entra ou à Windows Server Active Directory sur lequel vous souhaitez gérer un compte Administrateur local. La fonctionnalité est composée de quelques fichiers binaires clés : laps.dll pour la logique de base, lapscsp.dll pour la logique du fournisseur de services de configuration (CSP) et lapspsh.dll pour la logique des cmdlets PowerShell. Vous pouvez également configurer Windows LAPS à l'aide d'une stratégie de groupe. Windows LAPS répond aux notifications de modification de l’objet de stratégie de groupe (GPO). L’appareil géré peut être un contrôleur de domaine Windows Server Active Directory et être configuré pour sauvegarder les mots de passe de compte DSRM (Directory Services Repair Mode).
Windows Server Active Directory : déploiement Windows Server Active Directory local.
Microsoft Entra ID : déploiement Microsoft Entra s’exécutant dans le cloud.
Microsoft Intune : la solution Microsoft de gestion des stratégies d’appareil privilégiée, également exécutée dans le cloud.
Flux de scénario de base
La première étape d’un scénario Windows LAPS de base consiste à configurer la stratégie Windows LAPS pour votre organisation. Nous vous recommandons d'utiliser les options de configuration suivantes :
Appareils joints à Microsoft Entra : utilisez Microsoft Intune.
Appareils joints à Windows Server Active Directory : utilisez une stratégie de groupe.
Appareils à jonction hybride Microsoft Entra inscrits avec Microsoft Intune : utilisez Microsoft Intune.
Une fois configuré avec une stratégie qui active Windows LAPS, l'appareil géré commence à gérer le mot de passe du compte local configuré. Lorsque le mot de passe expire, l'appareil génère un nouveau mot de passe aléatoire conformément aux exigences de longueur et de complexité de la stratégie actuelle.
Lorsqu'un nouveau mot de passe est validé, l'appareil le stocke dans l'annuaire configuré (Windows Server Active Directory ou Microsoft Entra ID). Une heure d'expiration du mot de passe associée, basée sur le paramètre d'âge du mot de passe de la stratégie actuelle, est également calculée et stockée dans l'annuaire. L'appareil renouvelle automatiquement le mot de passe lorsque le délai d'expiration de celui-ci est atteint.
Si le mot de passe du compte local est stocké dans le répertoire approprié, un administrateur informatique autorisé peut y accéder. Les mots de passe stockés dans Microsoft Entra ID sont sécurisés selon un modèle de contrôle d'accès en fonction du rôle. Les mots de passe stockés dans Windows Server Active Directory sont sécurisés au moyen de listes de contrôle d'accès (ACL), et éventuellement du chiffrement de mot de passe.
Pour renouveler le mot de passe avant l'heure d'expiration prévue, appliquez l'une des méthodes suivantes :
- Faites pivoter manuellement le mot de passe sur l'appareil géré lui-même à l'aide du cmdlet
Reset-LapsPassword. - Appelez l’action ResetPassword Execute dans le CSP Windows LAPS.
- Modifiez le délai d'expiration du mot de passe dans le répertoire (s'applique uniquement à Windows Server Active Directory).
- Déclenchez un renouvellement automatique lorsque le compte managé est utilisé pour s’authentifier auprès de l’appareil géré.
Cycle de traitement de la stratégie en arrière-plan
Windows LAPS utilise une tâche en arrière-plan qui se déclenche toutes les heures pour traiter la stratégie active. Cette tâche n'est pas implémentée avec une tâche du planificateur de tâches Windows et n'est pas configurable.
Lorsque la tâche en arrière-plan s'exécute, le flux de base suivant se déclenche :
La principale différence évidente entre le flux Microsoft Entra ID et le flux Windows Server Active Directory est liée à la façon dont le délai d'expiration du mot de passe est vérifié. Dans les deux scénarios, le délai d'expiration du mot de passe est stocké côte à côte avec le mot de passe le plus récent dans l'annuaire.
Dans le scénario Microsoft Entra, l'appareil géré n'interroge pas Microsoft Entra ID. Le délai d'expiration actuel du mot de passe est conservé localement sur l'appareil.
Dans le scénario de Windows Server Active Directory, l’appareil géré interroge régulièrement l’annuaire pour connaître le délai d’expiration du mot de passe et agit lorsque celui-ci expire.
Démarrage manuel du cycle de traitement de la stratégie
Windows LAPS répond aux notifications de modification de la stratégie de groupe. Vous pouvez démarrer manuellement le cycle de traitement de la stratégie de deux manières :
Forcez une actualisation de la stratégie de groupe. Voici un exemple :
gpupdate.exe /target:computer /forceExécutez l’applet de commande
Invoke-LapsPolicyProcessing. Cette méthode est recommandée, car elle possède une portée plus large.
Conseil
La version antérieure de Microsoft LAPS (Microsoft LAPS hérité) a été créée en tant qu’extension côté client (CSE) de stratégie de groupe (GPO). Les CSE GPO sont chargées et appelées à chaque cycle d'actualisation de la stratégie de groupe. Le cycle d'interrogation Microsoft LAPS hérité présente la même fréquence que le cycle d'actualisation de la stratégie de groupe. Windows LAPS n'étant pas généré en tant que CSE, son cycle d'interrogation est codé en dur une fois par heure. Windows LAPS n’est pas affecté par le cycle d’actualisation de la stratégie de groupe.
Mots de passe Microsoft Entra
Lorsque vous sauvegardez des mots de passe dans Microsoft Entra ID, les mots de passe de compte local gérés sont stockés sur l'objet d'appareil Microsoft Entra. Windows LAPS s'authentifie auprès Microsoft Entra ID à l'aide de l'identité d'appareil géré. Les données stockées dans Microsoft Entra ID sont hautement sécurisées. Pour une protection supplémentaire toutefois, le mot de passe est chiffré avant d'être conservé. Cette couche de chiffrement supplémentaire est supprimée avant que le mot de passe ne soit renvoyé aux clients autorisés.
Par défaut, seuls les membres des rôles Administrateur général, Administrateur d’appareil cloud et Administrateur Intune peuvent récupérer le mot de passe en texte clair.
Mots de passe Windows Server Active Directory
Les sections suivantes comportent des informations importantes sur l’utilisation de Windows LAPS avec Windows Server Active Directory.
Sécurité du mot de passe
Lorsque vous sauvegardez des mots de passe dans Windows Server Active Directory, les mots de passe de compte local gérés sont stockés sur l’objet ordinateur. Windows LAPS sécurise ces mots de passe selon deux mécanismes :
- ACL
- Mots de passe chiffrés
ACL
La première ligne de la sécurité des mots de passe de Windows Server Active Directory utilise les listes de contrôle d'accès configurées sur l'objet ordinateur qui contient une unité d'organisation (UO). Ces listes de contrôle d'accès sont héritées de l'objet ordinateur proprement dit. Vous pouvez spécifier qui peut lire différents attributs de mot de passe à l’aide de la cmdlet Set-LapsADReadPasswordPermission, et qui peut lire et définir l’attribut de délai d’expiration du mot de passe à l’aide de la cmdlet Set-LapsADResetPasswordPermission.
Mots de passe chiffrés
La deuxième ligne de sécurité des mots de passe utilise la fonctionnalité de chiffrement de mot de passe de Windows Server Active Directory. Pour utiliser cette fonctionnalité, votre domaine doit s'exécuter au niveau DFL (Domain Functional Level) de Windows Server 2016 ou version ultérieure. Lorsque cette option est activée, le mot de passe est d'abord chiffré afin que seul un principal de sécurité spécifique (groupe ou utilisateur) puisse le déchiffrer. Le chiffrement du mot de passe se produit directement sur l’appareil géré avant que celui-ci n’envoie le mot de passe au répertoire.
Importante
- Nous vous recommandons vivement d’activer le chiffrement de mot de passe lorsque vous stockez vos mots de passe Windows LAPS dans Windows Server Active Directory.
- Microsoft ne prend pas en charge la récupération des mots de passe LAPS précédemment déchiffrés dans un domaine exécutant un niveau DFL antérieur à Windows Server 2016. L’opération peut réussir ou non selon que les contrôleurs de domaine exécutant des versions antérieures à Windows Server 2016 ont été promus dans le domaine.
Autorisations des groupes d'utilisateurs
Lorsque vous concevez votre modèle de sécurité de récupération de mot de passe, tenez compte des informations contenues dans la figure suivante :
Le diagramme illustre des suggestions de couches de sécurité des mots de passe de Windows Server Active Directory et les relations qu'elles entretiennent.
Le cercle externe (vert) est composé de principaux de sécurité autorisés à lire ou à définir l'attribut de délai d'expiration du mot de passe sur les objets informatiques du répertoire. Si cette capacité constitue une autorisation sensible, elle est toutefois considérée comme non destructrice. Un attaquant qui acquiert cette autorisation peut forcer les appareils gérés à renouveler plus fréquemment leur mot de passe.
Le cercle intermédiaire (jaune) est composé de principaux de sécurité autorisés à lire ou à définir des attributs de mot de passe sur des objets informatiques dans le répertoire. Cette capacité constitue une autorisation sensible qui doit être surveillée avec attention. L'approche la plus sécurisée consiste à réserver ce niveau d'autorisation aux membres du groupe de sécurité Administrateurs de domaine.
Le cercle interne (rouge) s'applique uniquement lorsque le chiffrement de mot de passe est activé. Le cercle interne est composé des groupes et utilisateurs autorisés à déchiffrer des attributs de mot de passe chiffrés sur les objets ordinateur de l'annuaire. Tout comme l'autorisation du cercle intermédiaire, cette capacité constitue une autorisation sensible qui doit être surveillée attentivement. L’approche la plus sécurisée consiste à réserver ce niveau d’autorisation aux membres du groupe Administrateurs de domaine.
Importante
Envisagez de personnaliser vos couches de sécurité de sorte qu’elles correspondent à la sensibilité des machines managées de votre organisation. Par exemple, il peut être acceptable que les appareils de travail informatique de première ligne soient accessibles aux administrateurs du support technique, mais vous voudrez probablement définir des limites plus strictes pour les ordinateurs portables de l’entreprise.
Chiffrement de mot de passe
La fonctionnalité de chiffrement de mot de passe de Windows LAPS se base sur API de chiffrement : l’API de protection des données de nouvelle génération (DPAPI CNG). La DPAPI CNG prend en charge plusieurs modes de chiffrement, tandis que Windows LAPS n'accepte le chiffrement de mot de passe qu'auprès d'un seul principal de sécurité Windows Server Active Directory (utilisateur ou groupe). Le chiffrement sous-jacent s'appuie sur le chiffrement Advanced Encryption Standard de clé 256 bits (AES-256).
Le paramètre de stratégie ADPasswordEncryptionPrincipal vous permet de définir un principal de sécurité spécifique pour chiffrer le mot de passe. Si ADPasswordEncryptionPrincipal n'est pas spécifié, Windows LAPS chiffre le mot de passe par rapport au groupe Administrateurs de domaine du domaine de l'appareil géré. Avant de chiffrer un mot de passe, un appareil géré vérifie toujours que l’utilisateur ou le groupe indiqué est résolu.
Conseil
- Windows LAPS ne prend en charge le chiffrement de mot de passe que sur un seul principal de sécurité. La DPAPI CNG accepte le chiffrement sur plusieurs principaux de sécurité, mais ce mode n'est pas compatible avec Windows LAPS, car il provoque un gonflement de la taille des mémoires tampons de mots de passe chiffrés. Si vous devez accorder des autorisations de déchiffrement à plusieurs principaux de sécurité, vous pouvez pour résoudre la contrainte créer un groupe wrapper qui compte dans ses membres tous les principaux de sécurité appropriés.
- Le principal de sécurité autorisé à déchiffrer le mot de passe n’est pas modifiable après le chiffrement du mot de passe.
Historique des mots de passe chiffrés
Windows LAPS prend en charge une fonctionnalité d’historique des mots de passe pour les clients et contrôleurs de domaine joints à un domaine Windows Server Active Directory. Cette fonctionnalité n'est disponible que si le chiffrement de mot de passe est activé. Elle n’est pas disponible si les mots de passe sont stockés en texte clair dans Windows Server Active Directory.
Lorsque l'historique des mots de passe chiffrés est activé et qu'il est temps de renouveler le mot de passe, l'appareil géré lit d'abord la version actuelle du mot de passe chiffré dans Windows Server Active Directory. Le mot de passe actuel est ensuite ajouté à l'historique des mots de passe. Ses versions antérieures présentes dans l’historique sont supprimées si nécessaire en fonction de la limite maximale d’historique configurée.
Conseil
Pour que la fonctionnalité d’historique des mots de passe soit opérationnelle, l’appareil géré doit disposer des autorisations SELF lui permettant de lire la version actuelle du mot de passe chiffré dans Windows Server Active Directory. Cette exigence est gérée automatiquement lorsque vous exécutez la cmdlet Set-LapsADComputerSelfPermission.
Importante
Nous vous recommandons de ne jamais accorder à un appareil géré l’autorisation de déchiffrer un mot de passe chiffré d’un appareil quel qu’il soit (y compris l’appareil en question).
Prise en charge des mots de passe DSRM
Windows LAPS prend en charge la sauvegarde des mots de passe du compte DSRM sur les contrôleurs de domaine Windows Server. Les mots de passe de compte DSRM ne peuvent être sauvegardés que pour Windows Server Active Directory et si le chiffrement de mot de passe est activé. Sinon, cette fonctionnalité opère presque de la même manière que la prise en charge des mots de passe chiffrés pour les clients joints à Windows Server Active Directory.
La sauvegarde des mots de passe DSRM sur Microsoft Entra ID n'est pas prise en charge.
Importante
Lorsque la sauvegarde des mots de passe DSRM est activée, le mot de passe DSRM actuel de tout contrôleur de domaine peut être récupéré si au moins un contrôleur de ce domaine est accessible.
Prenons le scénario catastrophique dans lequel tous les contrôleurs d’un domaine sont en panne. Dans ce cas, tant que vous conservez des sauvegardes régulières par bonnes pratiques Active Directory, vous pouvez toujours récupérer des mots de passe DSRM à partir de sauvegardes à l’aide de la procédure décrite dans Récupérer les mots de passe pendant les scénarios de récupération d’urgence Active Directory.
Réinitialisation de mot de passe après authentification
Windows LAPS prend en charge le renouvellement automatique du mot de passe du compte d’administrateur local s’il détecte que ce compte a été utilisé pour l’authentification. Cette fonctionnalité vise à limiter la durée pendant laquelle le mot de passe en texte clair est utilisable. Vous pouvez configurer une période de grâce pour donner à l'utilisateur le temps d'effectuer les actions prévues.
La réinitialisation de mot de passe après l’authentification n’est pas prise en charge pour le compte DSRM sur les contrôleurs de domaine.
Protection contre les falsifications de mot de passe du compte
Lorsque Windows LAPS est configuré pour gérer le mot de passe d’un compte d’administrateur local, ce compte est protégé contre toute falsification accidentelle ou imprudente. Cette protection s'étend au compte DSRM, lorsque Windows LAPS gère ce compte sur un contrôleur de domaine Windows Server Active Directory.
Windows LAPS rejette les tentatives inattendues de modification du mot de passe du compte avec une erreur STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Chaque rejet de ce type est signalé par un événement 10031 dans le canal du journal des événements Windows LAPS.
Désactivation en mode sans échec Windows
Lorsque Windows est démarré en mode sans échec, en mode DSRM ou tout autre mode de démarrage non conventionnel, Windows LAPS est désactivé. Le mot de passe du compte managé n'est pas sauvegardé pendant cette période, même s'il est dans un état expiré.
Intégration de la Solution de mot de passe d'administrateur local (LAPS) Windows à une stratégie de carte à puce
Le compte managé par LAPS Windows est exempté lorsque la stratégie « Ouverture de session interactive : Exiger Windows Hello Entreprise ou un carte à puce » (également appelée SCForceOption) est activée. Consultez Paramètres de stratégie de groupe de cartes à puce supplémentaires et clés de Registre.
Application d’une stratégie WINDOWS LAPS à un nouvel appareil client
Les sections suivantes décrivent comment une stratégie LAPS Windows est appliquée à un nouvel appareil client.
Nouveau scénario d’installation du système d’exploitation avec une stratégie Windows LAPS
Windows LAPS est intégré au système d’exploitation Windows. Il s’agit d’une fonctionnalité de sécurité de référence Windows et ne peut pas être désinstallée. Il est donc important de connaître l’effet qu’une stratégie WINDOWS LAPS peut avoir pendant une nouvelle installation du système d’exploitation.
Le facteur principal à prendre en compte est que Windows LAPS est toujours « activé ». Dès qu’une stratégie LAPS Windows est appliquée à l’appareil, Windows LAPS commence immédiatement à appliquer la stratégie. Ce comportement peut entraîner des interruptions si, à un moment donné, votre workflow de déploiement de système d’exploitation implique l'intégration d'un appareil dans un domaine au sein d'une unité d'organisation avec une stratégie activée de Windows LAPS. Si la stratégie LAPS Windows cible le même compte local avec lequel le flux de travail de déploiement est connecté, la modification immédiate du mot de passe du compte local risque d’interrompre probablement le flux de travail (par exemple, après un redémarrage lors de la connexion automatique).
La première technique pour atténuer ce problème consiste à utiliser une Unité Organisationnelle propre de préparation. Une unité Organisationnelle intermédiaire est considérée comme un domicile temporaire pour le compte de l'appareil, appliquant un ensemble minimal de stratégies requises, et ne doit pas appliquer de stratégie Windows LAPS. C'est seulement à la fin du flux de travail de déploiement du système d'exploitation que le compte de l'appareil est déplacé vers son unité d'organisation de destination finale. Microsoft recommande l’utilisation d’une unité d’organisation intermédiaire propre comme meilleure pratique générique.
Une deuxième technique consiste à configurer la stratégie WINDOWS LAPS pour cibler un compte différent de celui utilisé par le flux de travail de déploiement du système d’exploitation. Comme bonne pratique, tous les comptes locaux qui ne sont pas inutiles à la fin du flux de travail de déploiement du système d’exploitation doivent être supprimés.
Nouveau scénario d’installation du système d’exploitation avec une stratégie LAPS héritée
Ce scénario présente les mêmes préoccupations de base que le scénario d’installation du nouveau système d’exploitation avec une stratégie Windows LAPS, mais présente des problèmes particuliers liés à la prise en charge de Windows LAPS pour le mode d’émulation LAPS hérité.
Là encore, le facteur principal à prendre en compte est que Windows LAPS est toujours « activé ». Dès qu’une stratégie LAPS héritée est appliquée à l’appareil , et en supposant que tous les critères de mode d’émulation LAPS hérités sont remplis, Windows LAPS commence immédiatement à appliquer la stratégie. Ce comportement peut entraîner des interruptions si, à un moment donné, votre workflow de déploiement de système d’exploitation implique la jonction d'un appareil à un domaine dans une unité d’organisation avec une stratégie LAPS héritée activée. Si la stratégie LAPS héritée cible le même compte local avec lequel le flux de travail de déploiement est connecté, la modification immédiate du mot de passe du compte local risque d’interrompre probablement le flux de travail (par exemple, après un redémarrage lors de la connexion automatique).
La première technique pour atténuer ce problème consiste à utiliser une Unité Organisationnelle propre de préparation. Une unité d’organisation intermédiaire est considérée comme une maison temporaire pour le compte de l’appareil qui applique un ensemble minimal de stratégies requises et ne doit pas appliquer une stratégie LAPS héritée. C'est seulement à la fin du flux de travail de déploiement du système d'exploitation que le compte de l'appareil est déplacé vers son unité d'organisation de destination finale. Microsoft recommande l’utilisation d’une unité d’organisation intermédiaire propre comme meilleure pratique générique.
Une deuxième technique consiste à configurer la stratégie LAPS héritée pour cibler un compte différent de celui utilisé par le flux de travail de déploiement du système d’exploitation. Comme bonne pratique, tous les comptes locaux qui ne sont pas inutiles à la fin du flux de travail de déploiement du système d’exploitation doivent être supprimés.
Une troisième technique consiste à désactiver le mode d’émulation LAPS hérité au début du flux de travail de déploiement du système d’exploitation et à l’activer (si nécessaire) à la fin du flux de travail de déploiement du système d’exploitation.
Détection et prévention de la restauration de l'image du système d'exploitation Windows LAPS
Lorsqu'une image live du système d'exploitation est ramenée à une version antérieure, il en résulte souvent une situation « d'état altéré » dans laquelle le mot de passe stocké dans le répertoire ne correspond plus au mot de passe stocké localement sur l'appareil. Par exemple, le problème peut se produire lorsqu'une machine virtuelle Hyper-V est restaurée à partir d'un instantané antérieur.
Une fois que le problème se produit, l'administrateur du service informatique est incapable de se connecter à l'appareil à l'aide du mot de passe Windows LAPS persistant. Le problème ne sera résolu que lorsque Windows LAPS effectuera une rotation du mot de passe, ce qui ne se produira peut-être pas avant plusieurs jours ou semaines, en fonction de la date d'expiration du mot de passe.
Windows LAPS atténue ce problème en écrivant un GUID aléatoire dans l’annuaire au même moment de la persistance d’un nouveau mot de passe, suivi de la sauvegarde d’une copie locale. Le GUID est stocké dans l'attribut msLAPS-CurrentPasswordVersion. Au cours de chaque cycle de traitement, le guid msLAPS-CurrentPasswordVersion est interrogé et comparé à la copie locale. Si les deux GUID sont différents, le mot de passe est immédiatement modifié.
Cette fonction est prise en charge uniquement lors de la sauvegarde des mots de passe vers Active Directory. Microsoft Entra ID n'est pas prise en charge.
Importante
La détection et l’atténuation de retour en arrière de Windows LAPS peuvent fonctionner uniquement si l’ordinateur possède toujours un mot de passe de compte d’ordinateur valide et est capable de s'authentifier auprès d’Active Directory. Cette condition peut être vraie ou fausse en fonction de l’état incompatible provoqué par le retour arrière. Si la machine ne peut plus s’authentifier, d’autres étapes de récupération sont requises, telles que la réinitialisation du mot de passe du compte d’ordinateur. Le compte Windows LAPS sur la machine restaurée à un état antérieur peut encore être utile si la fonctionnalité d’historique des mots de passe de Windows LAPS a été activée.
Importante
La fonction de détection et d'atténuation du retour en arrière de l'image du système d'exploitation Windows LAPS est prise en charge dans Windows 11 24H2, Windows Server 2025 et les versions ultérieures. Cette fonctionnalité nécessite l’attribut de schéma msLAPS-CurrentPasswordVersion, qui est disponible uniquement en utilisant le schéma de forêt Windows Server 2025. Cet attribut est automatiquement inclus lorsque vous promouvez le premier contrôleur de domaine Windows Server 2025 dans votre forêt ; elle n’est pas installée en exécutant l’applet Update-LapsADSchema de commande.
Voir aussi
- Modes de gestion des comptes Windows LAPS
- Mots de passe et phrases secrètes Windows LAPS
- DPAPI CNG
- Microsoft Intune
Étapes suivantes
Maintenant que vous comprenez les concepts de base de la conception Windows LAPS, lancez-vous avec l’un des scénarios suivants :