Modes de gestion des comptes Windows LAPS

Découvrez les différents modes de gestion des comptes pris en charge par la solution de mot de passe d'administrateur local (Windows LAPS).

Vue d’ensemble

L'objectif principal de Windows LAPS est de faire pivoter régulièrement le mot de passe d'un compte Windows local. Ce compte peut être le compte Administrateur intégré ou un nouveau compte personnalisé. L'administrateur informatique a deux modes différents à choisir pour configurer et gérer le compte cible : manuel et automatique. Ces deux modes présentent des avantages et des inconvénients.

Il existe deux modes différents disponibles afin de gérer le compte cible.

Le mode manuel de gestion des comptes est le mode par défaut. En mode manuel, l'administrateur informatique est responsable de la configuration de tous les aspects du compte managé, à l'exception du mot de passe, que Windows LAPS gère et contrôle.

Le mode de gestion automatique des comptes est un mode facultatif. En mode automatique, Windows LAPS est responsable de la configuration de tous les aspects du compte managé, y compris la création et la suppression d'un compte de base en fonction des besoins, ainsi que le mot de passe du compte.

Mode manuel de gestion des comptes

Le mode manuel est le mode par défaut. L'administrateur informatique a le choix entre cibler le compte Administrateur intégré ou un nouveau compte personnalisé. Ce choix est configuré via le paramètre de stratégie AdministratorAccountName. Si le paramètre AdministratorAccountName est vide, le compte Administrateur intégré est géré ; sinon, le paramètre AdministratorAccountName spécifie le nom d'un compte local personnalisé.

Lorsqu’un compte local personnalisé est spécifié, l’administrateur informatique est chargé de créer ce compte avant d’activer Windows LAPS - Windows LAPS ne crée pas le compte dans ce mode. Il existe de nombreuses façons de créer un compte local :

• Configuration du fournisseur de services de configuration des comptes
• Déploiement de scripts de gestion personnalisés pilotés par des stratégies
• Ajout du compte cible à une image de système d’exploitation de base.

Ces mécanismes ajoutent une complexité supplémentaire qui peut être évitée à l’aide du mode de gestion automatique des comptes.

Dans cet mode, le mot de passe du compte cible est protégé contre les falsifications accidentelles ou insouciantes. Toutes les autres modifications de configuration de compte sont autorisées.

Mode de gestion automatique des comptes

La mode automatique est un mode désactivé par défaut. Une fois activé, l'administrateur informatique peut choisir parmi les détails de configuration suivants :

• Indique s'il faut cibler le compte Administrateur intégré ou un nouveau compte personnalisé
• Le nom du compte
• Indication d'activer ou de désactiver le compte
• Indication de rendre aléatoire le nom du compte

Détails de la configuration automatique du compte

Lorsque le mode automatique est activé, le compte managé est configuré comme suit :

• Le compte devient membre du groupe Administrateurs local
• Le paramètre mot de passe non obligatoire est désactivé
• L'indicateur mot de passe n'expire jamais est désactivé
• La description du compte est modifiée pour indiquer que Windows LAPS contrôle le compte

Améliorations et considérations relatives à la sécurité de la gestion automatique des comptes

Comme n’importe quel compte d’utilisateur, les comptes locaux Windows représentent un vecteur de vulnérabilité potentiel pour les attaquants. Cette menace est également présente pour les comptes gérés par Windows LAPS, bien qu’elle soit atténuée dans une grande mesure par les mots de passe très complexes générés (et régulièrement pivotés) par Windows LAPS. La gestion automatique des comptes offre deux améliorations qui peuvent atténuer davantage les menaces lorsque davantage d’assurance est souhaitée pour les environnements à menace élevée.

• Tout d’abord, la gestion du compte géré dans un état désactivé élimine complètement toute chance que le compte puisse être la cible d’une pulvérisation de mot de passe ou d’une attaque similaire. Toutefois, la conservation du compte managé dans un état désactivé introduit des frictions : le compte managé doit être activé (via la manipulation de stratégie GPO ou GPM) avant que le compte puisse être utilisé.

• Deuxièmement, la gestion d’un nom de compte managé unique par appareil (via la randomisation de nom de compte) rend le travail d’un attaquant plus difficile. Au lieu de connaître à l’avance quel compte attaquer sur tous les appareils, l’attaquant doit en quelque sorte déterminer le nom du compte sur un appareil cible donné. Il y a plus de frictions ici, car le personnel informatique doit être formé pour ne pas compter sur la connaissance d’un nom de compte géré commun à l’échelle de l’organisation.

Les administrateurs informatiques qui déploient Windows LAPS dans un environnement critique de sécurité doivent prendre en compte ces fonctionnalités. Si les frictions introduites par l’adoption de ces fonctionnalités sont acceptables dépend de la fréquence à laquelle les comptes gérés par Windows LAPS doivent être utilisés, ainsi que les exigences de sécurité d’un environnement informatique donné.

Intégration avec les stratégies de gestion des comptes locaux

Windows prend en charge plusieurs stratégies pour gérer l'abonnement aux groupes locaux Windows :

• Stratégie RestrictedGroups CSP
• Stratégie LocalUsersAndGroups CSP
• Utilisateurs et groupes locaux (Stratégie de groupe)
• Groupes restreints (Stratégie de groupe)

Chacune des stratégies ci-dessus prend en charge un mode de configuration qui peut être utilisé pour forcer la suppression de tous les membres d'un groupe local spécifié. Les stratégies ci-dessus ignorent désormais toute tentative de suppression du compte managé automatiquement windows LAPS du groupe Administrateurs local.

Protection contre la falsification de compte

La protection contre la falsification de compte est développée en mode automatique. Windows LAPS contrôle tous les aspects de configuration d'un compte managé automatiquement. Les tentatives externes de modification du compte managé sont bloquées. Les administrateurs informatiques ne doivent pas créer de stratégies ou de scripts qui tentent de modifier le compte managé.

Windows LAPS rejette les tentatives inattendues de modification du compte avec une erreur STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) ou ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654). Chaque rejet a un événement associé dans le canal du journal des événements Windows LAPS. Les événements 10101-10104 sont enregistrés, correspondant au type de modification demandé (modification de base, modification du descripteur de sécurité, suppression ou suppression du groupe Administrateurs local).

Choix d'un mode

Le mode manuel est le meilleur choix pour les situations qui nécessitent une configuration unique et\ou détaillée du compte cible.

Le mode automatique est le meilleur choix pour les situations avec des exigences moins détaillées, par exemple, vous n'avez besoin que du compte managé pour être disponible et prêt à être utilisé dans une configuration de base avec des privilèges administratifs. La mode automatique prend également en charge la création d'un nouveau compte personnalisé.

Gestion des comptes en mode réparation des services d'annuaire

Windows LAPS prend en charge la gestion du mot de passe du compte en mode de réparation des services d'annuaire (DSRM) sur les contrôleurs de domaine. Les modes manuels et automatiques de gestion des comptes décrits dans cet article ne s'appliquent pas au compte DSRM.

Voir aussi

• Concepts clés de Windows LAPS
• Mots de passe et phrases secrètes Windows LAPS

Étapes suivantes

Maintenant que vous comprenez les différents modes de gestion des comptes, examinez ces autres sections.

• Bien démarrer avec LAPS Windows pour Windows Server Active Directory
• Bien démarrer avec Windows LAPS pour Microsoft Entra ID