Comment configurer LAPS - Windows server 2025

A. Qu'est-ce que LAPS ?

LAPS (Local Administrator Password Solution) est une solution développée par Microsoft qui permet de sécuriser la gestion des mots de passe des comptes administrateurs locaux sur des machines Windows au sein d'un réseau d'entreprise. Son principal objectif est de prévenir l'accès non autorisé et de limiter la propagation latérale (lateral movement) en cas de compromission.

B. Installation de LAPS sur Windows Server 2025.

1. Ouvrez PowerShell et exécutez la commande suivante pour vérifier que LAPS est disponible sur votre serveur :
  Get-Command -Module LAPS 

2. Exécutez les commandes suivantes pour installer LAPS sur votre serveur :
  Import-Module LAPS  

3. Exécutez la commande suivante pour installer LAPS sur votre serveur :
  Import-Module LAPS  

4. Exécutez la commande suivante pour mettre à jour le schéma de votre Active Directory :
  Update-LapsADSchema -Verbose  (Le paramètre -Verbose permet d'obtenir plus de détail) 

5. Vérifiez la présence des attributs de LAPS.

Accédez au Centre d'administration Active Directory, ouvrez la fiche d'un ordinateur de votre domaine, puis allez dans l'onglet Extensions. Vérifiez si les 6 attributs de LAPS sont bien présents :

• msLAPS-PasswordExpirationTime

• msLAPS-Password

• msLAPS-EncryptedPassword

• msLAPS-EncryptedPasswordHistory

• msLAPS-EncryptedDSRMPassword

• msLAPS-EncryptedDSRMPasswordHistory
  
  Note : si vous ne les voyez pas, pensez à redémarrer votre serveur.

5. Attribuez les droits d'écriture aux machines. Cela permettra à la machine de faire la rotation du mot de passe du compte administrateur géré par Windows LAPS.
  Set-LapsADComputerSelfPermission -Identity "OU=Computers,DC=loutik,DC=lab" 

5. Configurez la GPO LAPS. Cela permettra de définir la politique de mots de passe à appliquer au compte administrateur local, ainsi que l'emplacement de sauvegarde du mot de passe et le nom de ce compte.

Importez les modèles d’administration (ADMX) de Windows LAPS :

• C:\Windows\PolicyDefinitions\LAPS.admx

• C:\Windows\PolicyDefinitions\fr-FR\LAPS.adml

6. Placez le fichier « LAPS.admx » dans le répertoire :

• C:\Windows\SYSVOL\sysvol\loutik.lab\Policies

7. Placez le fichier « LAPS.adml » dans le répertoire :

• C:\Windows\SYSVOL\sysvol\loutik.lab\Policies\fr-FR

7. Ouvrez la console de gestion des stratégies de groupe.

7. Créez une GPO et liez-la à votre OU qui gère vos ordinateurs.

8. Accédez au répertoire suivant :

• Configuration ordinateur > Stratégies > Modèles d'administration > Système > LAPS

9. Accédez au paramètre « Configurer le répertoire de sauvegarde de mot de passe ». Cochez l'option « Activé » et choisissez votre répertoire de sauvegarde.

9. Accédez au paramètre « Paramètres du mot de passe ». Cochez l'option « Activé » et choisissez les caractéristiques de votre mot de passe.

10. Accédez au paramètre « Configurer la taille de l'historique des mots de passe chiffrés ». Cochez l'option « Activé » et choisissez la taille de l'historique. Il est recommandé de la définir sur un minimum de 1, car si la synchronisation ne s'est pas bien effectuée, vous pourrez quand même retrouver l'ancien mot de passe.

11. Il est conseillé de forcer l'activation du chiffrement du mot de passe.

12. Il est également conseillé de changer le nom du compte administrateur local.

13. Le récapitulatif de tout ce qu'on a activé.

C. Mise en place de la GPO sur le poste client.

1. Actualisez la GPO sur le poste client et redémarrez le poste.
  gpupdate /force