Introduction
À la suite d’un audit de sécurité réalisé par le cabinet ACCEIS, une faille majeure a été identifiée : le même mot de passe administrateur local était utilisé sur toutes les machines du domaine, exposant le S.I. à des risques importants de compromission par « mouvement latéral ».
J’ai été chargé de mettre en oeuvre une solution pour sécuriser ces accès sensibles : Microsoft LAPS (Local Administrator Password Solution).
Objectif & résultats attendus
- Gérer automatiquement les mots de passe des comptes administrateurs locaux sur toutes les machines du domaine
- Générer des mots de passe uniques, robustes et renouvelés périodiquement
- Stocker les mots de passe dans Active Directory et en contrôler l’accès
- Faciliter la récupération et la réinitialisation des mots de passe par les administrateurs
- Suppression de la vulnérabilité liée à la réutilisation des mots de passe administrateur local
- Mise en conformité avec les recommandations de sécurité
- Simplification de la gestion des comptes locaux et de l’assistance niveau 2
- Documentation technique et procédures d’exploitation à destination de la DSI
Description détaillée de la réalisation
À la suite de l’audit de sécurité réalisé au sein de MV Group, une analyse approfondie des
vulnérabilités a permis d’identifier un risque majeur lié à la gestion des mots de passe administrateurs locaux. Un projet de sécurisation a alors été défini, aboutissant au choix de la solution Microsoft LAPS, reconnue pour sa compatibilité avec l’infrastructure existante.
La première étape a consisté à étendre le schéma Active Directory afin d’ajouter les attributs
nécessaires au stockage sécurisé des mots de passe gérés par LAPS. Par la suite, des règles de
complexité et de renouvellement périodique ont été définies pour garantir la robustesse et la rotation des mots de passe.
L’installation de l’outil LAPS a été effectuée sur le contrôleur de domaine, tandis que le client LAPS était déployé sur l’ensemble des postes Windows via les stratégies de groupe (GPO). Une attention particulière a été portée à la configuration des droits d’accès, permettant à la DSI de lire et de réinitialiser les mots de passe de manière centralisée et sécurisée. Une GPO spécifique a été créée pour paramétrer les stratégies de complexité, de renouvellement et d’accès à LAPS.
Des tests ont ensuite été menés pour vérifier la bonne récupération des mots de passe à l’aide de la console LAPS UI et de PowerShell. Le processus a également inclus la possibilité de forcer la rotation d’un mot de passe administrateur local en cas de besoin, renforçant ainsi la réactivité du support informatique. Enfin, l’ensemble des étapes et des bonnes pratiques a été formalisé à travers la rédaction de procédures détaillées pour l’installation, la supervision et l’exploitation de la solution LAPS.
Exemple de changement de mot de passe avec LAPS UI
Pour accompagner le déploiement de la solution Microsoft LAPS, j’ai rédigé une documentation détaillée sous forme de guide, structurée point par point, afin de décrire l’ensemble des étapes
d’installation, de configuration et d’exploitation de l’outil. Cette documentation inclut chaque
phase du projet : préparation de l’environnement, extension du schéma Active Directory, création des stratégies de groupe, déploiement sur les postes, ainsi que les différents tests de récupération et de rotation des mots de passe.
L’ensemble du guide, a été publié dans notre base de connaissances interne Bookstack, afin
que chaque membre de la DSI puisse suivre la procédure et assurer la maintenance.
Table des matières de la documentation sur LAPS
Compétences mobilisées
Mettre à disposition des utilisateurs un service informatique
– Déploiement et configuration de la solution LAPS sur l’ensemble du parc informatique
– Paramétrage des stratégies de groupe (GPO) pour garantir l’automatisation et la gestion
centralisée des mots de passe
– Attribution des droits d’accès et accompagnement des administrateurs pour la récupération
ou la réinitialisation des mots de passe
– Rédaction et mise à disposition de la documentation technique et des procédures
d’exploitation quotidiennes
Gérer le patrimoine informatique
– Administration et extension du schéma Active Directory
– Automatisation de la gestion des comptes administrateurs locaux
– Suivi et supervision des postes via l’outil LAPS et les fichiers d’activité
– Mise à jour des procédures internes et formation des équipes support sur la gestion sécurisée
des comptes locaux
– Surveillance du cycle de vie des mots de passe et contrôle des accès pour maintenir la sécurité
du patrimoine informatique
Bilan & retour d’expérience
L’implémentation de Microsoft LAPS a permis :
– De renforcer la sécurité des postes de travail et serveurs du parc informatique
– D’automatiser la gestion des mots de passe administrateurs locaux et de limiter le risque
d’exploitation par un attaquant
– De me permettre de mieux comprendre l’architecture de notre réseau
– D’améliorer la réactivité du support dans la récupération et la gestion des mots de passe
– De favoriser la conformité avec les bonnes pratiques de sécurité informatique
– De dégager du temps pour l’équipe DSI, grâce à la centralisation et l’automatisation