Partager via

Évaluation de la sécurité : Utilisation de Microsoft LAPS

  • Article

Qu’est-ce que Microsoft LAPS ?

La « solution de mot de passe d’administrateur local » (LAPS) de Microsoft assure la gestion des mots de passe de compte d’administrateur local pour les ordinateurs joints à un domaine. Les mots de passe sont aléatoires et stockés dans Active Directory (AD), protégés par des listes de contrôle d’accès, de sorte que seuls les utilisateurs éligibles peuvent les lire ou demander sa réinitialisation.

Cette évaluation de la sécurité prend uniquement en charge microsoft LAPS hérité .

Quel risque l’implémentation de LAPS ne pose-t-elle pas à un organization ?

LAPS fournit une solution au problème d’utilisation d’un compte local commun avec un mot de passe identique sur chaque ordinateur d’un domaine. LAPS résout ce problème en définissant un mot de passe aléatoire différent et pivoté pour le compte d’administrateur local commun sur chaque ordinateur du domaine.

LAPS simplifie la gestion des mots de passe tout en aidant les clients à implémenter des défenses plus recommandées contre les cyberattaques. En particulier, la solution atténue le risque d’escalade latérale qui se produit lorsque les clients utilisent la même combinaison de compte local d’administration et de mot de passe sur leurs ordinateurs. LAPS stocke le mot de passe du compte d’administrateur local de chaque ordinateur dans AD, sécurisé dans un attribut confidentiel dans l’objet AD correspondant de l’ordinateur. L’ordinateur peut mettre à jour ses propres données de mot de passe dans AD, et les administrateurs de domaine peuvent accorder l’accès en lecture aux utilisateurs ou groupes autorisés, tels que les administrateurs du support technique de station de travail.

Comment faire utiliser cette évaluation de sécurité ?

  1. Passez en revue l’action recommandée sur https://security.microsoft.com/securescore?viewid=actions pour découvrir quels domaines ont certains (ou tous) appareils Windows compatibles qui ne sont pas protégés par LAPS ou dont le mot de passe managé LAPS n’a pas été modifié au cours des 60 derniers jours.

    Découvrez quels domaines ont des appareils non protégés par LAPS.

  2. Pour les domaines partiellement protégés, sélectionnez la ligne appropriée pour afficher la liste des appareils non protégés par LAPS dans ce domaine.

    Sélectionnez un domaine avec des appareils non protégés par LAPS.

    Remarque

    Si l’ensemble du domaine n’est pas protégé par LAPS, vous ne verrez pas la liste de tous les appareils non protégés.

  3. Prenez les mesures appropriées sur ces appareils en téléchargeant, en installant et en configurant ou en dépannant Microsoft LAPS à l’aide de la documentation fournie dans le téléchargement.

    Corriger les appareils non protégés par LAPS.

Remarque

Bien que les évaluations soient mises à jour en quasi-temps réel, les scores et les états sont mis à jour toutes les 24 heures. Bien que la liste des entités concernées soit mise à jour quelques minutes après l’implémentation des recommandations, le status peut encore prendre du temps avant d’être marqué comme Terminé.

Voir aussi