With the cumulative update for April 2023, Microsoft delivers the Local Administrator Password Solution (LAPS) as a system component for the first time. The updated version uses different attributes in AD and introduces new PowerShell cmdlets. Admins must remove the legacy LAPS to benefit from the new features.
The post Windows LAPS now part of the OS; new password security features included first appeared on 4sysops.Au sein des mises à jour Windows déployées à l'occasion du Patch Tuesday d'avril 2023, Microsoft a introduit Windows LAPS, le successeur de l'application LAPS. Sauf que certains utilisateurs ont connu des mésaventures à ce sujet...!
Pour rappel, LAPS pour Local Administrator Password Solution est une solution permettant de sécuriser les comptes "Administrateur" locaux de vos postes de travail et serveurs en générant un mot de passe unique sur chaque machine. Jusqu'ici, LAPS devait être déployé sur les machines alors que son successeur, Windows LAPS, est intégré à Windows grâce à la mise à jour d'avril 2023 qui le déploie sur les machines.
Ainsi, Windows LAPS devient natif sur Windows Server 2019, Windows Server 2022, Windows 10 et Windows 11.
Pour en savoir plus sur les nouveautés de Windows LAPS : Windows LAPS
Suite à la sortie de cette nouvelle version, de premiers retours ont émergé sur le web, notamment sur Reddit avec ce premier commentaire alarmant.
En effet, tout ne se passe pas comme prévu pour les utilisateurs qui utilisaient déjà LAPS. D'ailleurs, Microsoft a rapidement mis à jour sa documentation afin d'inclure un avertissement : "La mise à jour du 11 avril 2023 susmentionnée comporte un bug d'interopérabilité avec le système LAPS Legacy. Si vous installez la GPO CSE LAPS sur une machine patchée avec la mise à jour de sécurité du 11 avril 2023 et une stratégie LAPS appliquée, Windows LAPS et LAPS seront tous deux hors services." - La firme de Redmond précise également que des logs seront générés dans le journal des événements de Windows LAPS avec les ID 10031 et 10032.
Il y a eu quelques échanges sur notre serveur Discord à ce sujet (merci !). D'après les tests effectués, l'installation de LAPS Legacy et de l'application de la GPO associée sur une machine qui est à jour (et donc qui contient Windows LAPS) n'a pas posé de problème spécifique. Ce qui est un peu contradictoire avec l'affirmation de Microsoft. On ne sait pas tout sur ce bug, peut-être que les deux LAPS sont cassés dans certaines conditions....
En attendant qu'une solution définitive soit trouvée, Microsoft a mis en ligne une solution temporaire pour rendre LAPS de nouveau opérationnel. Cette solution consiste à supprimer toutes les valeurs de Registre sous "HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State". Microsoft indique aussi qu'il est possible de supprimer le LAPS Legacy de la machine, ce qui implique de passer sur la nouvelle version en urgence...!
Espérons que Microsoft s'exprime pour apporter des précisions dans les prochaines heures ou prochains jours.
The post Microsoft : des problèmes de compatibilité entre LAPS et Windows LAPS first appeared on IT-Connect.
La nouvelle version de LAPS, appelée Windows LAPS, est officiellement disponible ! Faisons le point sur les nouveautés apportées par Microsoft !
Au fait, c'est quoi LAPS ou Windows LAPS ? LAPS pour Local Administrator Password Solution est une solution permettant de sécuriser les comptes "Administrateur" locaux de vos postes de travail et serveurs en générant un mot de passe unique sur chaque machine. Ainsi, le mot de passe du compte Administrateur local de la machine A sera différent du mot de passe du compte Administrateur local de la machine B.
Le mot de passe généré est stocké dans l'Active Directory (ou dans Azure Active Directory avec la nouvelle version !) et il est renouvelé régulièrement, de façon automatique.
Ce mardi 11 avril 2023, Microsoft a mis en ligne de nouvelles mises à jour via son traditionnel Patch Tuesday. Suite à l'installation de cette mise à jour, Windows LAPS va prendre place automatiquement dans Windows donc il ne sera plus nécessaire de le déployer par GPO ou autre en tant qu'application additionnelle. Cela est vrai pour les systèmes suivants :
LAPS, que l'on appellera désormais Legacy LAPS, est déjà très bien intégré à l'Active Directory. Mais avec Windows LAPS, on a le droit à quelques nouveautés appréciables (et attendues). Tout d'abord, les mots de passe stockés dans l'Active Directory seront chiffrés, ce qui n'était pas le cas jusqu'ici. Autre point très intéressant, Windows LAPS va donner accès à l'historique des mots de passe, ce qui est pratique si l'on restaure une machine à un état antérieur, car on a toujours accès aux précédents mots de passe.
Comme le montre l'image ci-dessous, dans les propriétés d'un objet ordinateur, nous avons aussi la possibilité de voir la date d'expiration, ainsi que le nom du compte Administrateur local de la machine.
Windows LAPS permet aussi de bénéficier de la rotation automatique des mots de passe. Dès qu'un mot de passe Administrateur est utilisé sur une machine, il est renouvelé dans la foulée. On peut noter aussi la prise en charge des mots de passe du mode de restauration des services d'annuaire (DSRM) Active Directory.
Enfin, un mode émulation permettra d'utiliser les anciennes politiques de LAPS pour se préparer à utiliser la nouvelle version. Autrement dit, c'est un mode pour vous aider à passer de Legacy LAPS à Windows LAPS.
LAPS n'aura plus besoin impérativement d'un Active Directory pour fonctionner, car il est pris en charge par Azure Active Directory. Pour le moment, cette partie est accessible en private preview.
Dans ce mode de fonctionnement, le mot de passe de l'Administrateur local d'une machine est directement stocké dans le Cloud, au sein du périphérique inscrit. Les appareils inscrits en mode hybride sont aussi pris en charge.
Des paramètres de configuration seront disponibles dans le portail Microsoft Endpoint Manager sous la forme de stratégies, et c'est là aussi que l'on pourra demander la rotation d'un mot de passe (déclencher un changement). La rotation automatique en cas d'utilisation du mot de passe est aussi de la partie. En ce qui concerne la récupération du mot de passe d'un appareil, il conviendra d'utiliser le portail Azure ou de s'appuyer sur Microsoft Graph.
Pour gérer les autorisations d'accès à ces mots de passe, Microsoft a introduit deux nouvelles permissions dans Microsoft Graph et il y a aussi des politiques Azure RBAC.
Microsoft a également introduit une nouvelle version du module PowerShell pour Windows LAPS. Ce module est plus complet que le précédent, et offre la possibilité de récupérer le mot de passe dans l'Active Directory ou Azure Active Directory (jusqu'ici, c'était possible pour l'AD). Voici la liste des commandes :
En complément, Microsoft a mis en ligne un nouveau fichier ADMX donnant accès aux paramètres de GPO pour Windows LAPS. Enfin, on peut citer la création d'un nouveau journal dédié à Windows LAPS dans l'Observateur d'événements de Windows.
L'annonce officielle de Microsoft est disponible à cette adresse tandis que la documentation de Windows LAPS est accessible ici.
Est-ce que ça vous intéresse un tutoriel complet sur Windows LAPS ? Ou peut-être même une vidéo ?
The post Le nouveau Windows LAPS est disponible : quelles sont les nouveautés ? first appeared on IT-Connect.
Connexion