Local Admin Password Solution (LAPS)

Un problème de sécurité assez commun dans les grandes organisations est la gestion des comptes administrateurs locaux (aussi bien sur les machines clientes que sur les serveurs). En effet, très souvent ces comptes sont toujours actifs alors que nous recommandons de les désactiver et ces comptes ont tous les mêmes mots de passe sur l’ensemble des machines.

La menace est assez claire et simple à comprendre, si ce mot de passe est compromis sur une seule machine, alors c’est l’ensemble du parc informatique qui est compromis, sans même avoir besoin d’un compte administrateur du domaine. Il faut donc gérer ce mot de passe, s’assurer qu’il soit unique sur l’ensemble de l’organisation.

De grandes organisations avec lesquelles je travaille sur leurs problématiques de sécurité font donc appel à des outils d’éditeurs tiers pour compléter leur stratégie de sécurité. La bonne nouvelle est que Microsoft propose désormais un outil gratuit pour gérer cela : Local Admin Password Solution (ou LAPS).

Introduction à LAPS

LAPS est une solution de gestion des mots de passe pour les serveurs membres d’un domaine : machines clientes ou serveurs membres. Toutes les éditions de Windows sont supportées depuis Windows Vista (avec dernier SP disponible) et Windows Server 2008 (avec dernier SP disponible) en 32 ou 64 bits.

LAPS c’est :

  • Un composant client qui va mettre à jour le mot de passe dans le contexte système et envoyer le mot de passe aux contrôleurs de domaine Active Directory.
  • Le mot de passe est stocké comme attribut dans l’objet machine de l’Active Directory.
  • Un outillage graphique et de script qui permet de retrouver le mot de passe pour les utilisateurs habilités.
  • Un contexte de déploiement centralisé des paramètres (via stratégies de groupe)

Voici un schéma d’architecture de la solution que je vais vous détailler :

lapsarch

 

Déploiement des composants clients

LAPS est fourni comme un fichier MSI qui permet d’installer les composants clients et serveurs. L’installation par défaut n’installe que les composants clients, et on peut facilement scripter son installation avec la commande : msiexec /i <emplacement>\LAPS.x64.msi /quiet

lapscli

Concrètement, la partie cliente de LAPS est un CSE (Client Side Extension) : c’est une extension qui vient s’enregister auprès du service client de stratégies de groupe de Windows. On installe donc pas de nouveau service à gérer mais bien un composant de l’OS. Ce CSE va se retrouver par défaut dans %programfiles%\LAPS\CSE\AdmPws.dll

A chaque fois que le CSE va être déclenché, il va vérifier si le mot de passe a expiré (basé sur son dernier changement stocké dans l’attribut ms-Mcs-AdmPwdExpirationTime). Si le mot de passe a expiré, alors il en génère un de manière aléatoire et selon les conditions définies dans la stratégie de groupe (détails plus bas) et met à jour l’attribut ms-Mcs-AdmPwd (le mot de passe en clair) sur l’objet machine dans l’AD ainsi que l’attribut ms-Mcs-AdmPwdExpirationTime (pour mettre à jour l’information d’âge de mot de passe).

Notons que l’échange du mot de passe entre le lien et le contrôleur de domaine se fait de manière authentifiée par Kerberos et le transport par le dialogue sécurisé avec LDAP. La confidentialité du mot de passe est garantie car seulement les administrateurs du domaine ont la possibilité de voir ces informations (l’attribut étant flaggué comme confidentiel).

Déploiement des composants infrastructure

Sur un serveur membre nous allons installer les composants LAPS, on aura besoin dans un premier temps d’un compte avec les droits d’administrateur local sur le serveur, ensuite on doit disposer des droits d’administrateurs du schéma, puis finalement des droits d’administration sur l’unité d’organisation qu’on veut administrer (ou administrateur du domaine si on veut le déployer sur toute l’organisation).

Les deux attributs que j’ai mentionnés précédemment sont des nouveaux attributs à ajouter au schéma Active Directory qui seront rattachés à la classe « machine ». Il vous faut pour cela faire l’extension de schéma avec les composants PowerShell fournis par l’outil.

Installons LAPS avec les composants serveurs :

lapserv

On installe l’environnement, et procède à l’extension de schéma en utilisant la commande :

Import-module AdmPwd.PS

Update-AdmPwdADSchema

schemaup

On va ensuite attribuer aux machines le droit de modifier ces attributs pour leur propre compte machine :

Set-AdmPwdComputerSelfPermission -OrgUnit "OU=InfraDemo,DC=w2k12-demo,DC=net"

delegation

Vous remplacerez par le distinguished name de l’OU où vous déployez la solution.

L’étape suivante consiste à déployer les stratégies de groupe qui déterminent le comportement du client LAPS.

Par défaut, LAPS positionne les fichiers ADMX et ADML sur le poste local, si on veut les placer dans le SYSVOL de l’organisation, on ira donc récupérer :

  • C:\Windows\PolicyDefinitions\AdmPwd.admx
  • C:\Windows\PolicyDefinitions\en-us\AdmPwd.adml

Une fois l’opération effectuée, on ouvre une GPO et on accède aux paramètres :

gpmc

Ceux-ci permettent d’activer ou inhiber LAPS, de définir l’intervalle de changement de mots de passe, ses critères de complexité ainsi que le nom du compte administrateur si celui-ci n’est pas « administrator ».

Une fois les paramètres changés, on redémarre la machine membre et la magie doit opérer. On peut accéder au mot de passe de plusieurs manières :

En interface graphique :

flatui1

En PowerShell :

powershell1

Et voilà !

On a donc une bonne petite solution gratuite qui fait son travail, cela ne résout pas tous les problèmes de sécurité mais constitue une très bonne avancée pour votre stratégie de défense en profondeur, et tout cela pour un temps de mise en œuvre relativement réduit comme vous avez pu le voir.

On parle dans la série Concrètement de Pascal Sauliere, et la vidéo est ici :

 

 

Quelques références

Téléchargement – http://www.microsoft.com/en-us/download/details.aspx?id=46899

Security Advisory – https://technet.microsoft.com/en-us/library/security/3062591

KB – https://support.microsoft.com/en-us/kb/3062591

Blog – http://blogs.msdn.com/b/laps/

A bientôt!

Arnaud

Windows 10 pour l’Entreprise : quoi de neuf ?

Lors de l’événement Ignite à Chicago, Satya Nadella a rappelé une chose : nous fournissons les produits et solutions qui permettent aux personnes d’en faire plus, dans leur vie professionnelle comme personnelle.

Nos rythmes de vies et de travail changent et Windows ainsi que nous solutions accompagnent ce changement au rythme de chacun.

L’objectif de cet article est de revoir les principales nouveautés de Windows 10 qui concernent le monde de l’entreprise.

Parmi les sujets fondamentaux pour l’entreprise : protection des données des utilisateurs, gestions des identités, sécurité et intégrité de la machine, et surtout une maintenance plus aisées en commençant par des mécanismes de déploiement simplifiés.

 

1. Protection de l’information

Enterprise Data Protectionest un ensemble de technologies que l’on peut activer pour mieux gérer les données personnelles et professionnelles, dans un seul environnement.

Il a été montré à Ignite l’exemple d’un document édité dans Office déployé avec Intune et spécifié comme application d’entreprise : on a alors un containeur dédié aux informations d’entreprise qui apparait, celui-ci est automatiquement chiffré, il est alors aussi impossible de copier/coller des informations entre l’Office d’entreprise et toute autre application qui n’est pas également marquée comme entreprise.

Combiné à des technologies comme Azure RMS Document Tracking (http://blogs.technet.com/b/rms/archive/2015/05/04/doctracking.aspx) cela fournit des résultats spéctaculaires pour la gestion des documents sensibles en entreprise.

 

2. Protection de l’identité

Avec Microsoft Passport, nous souhaitons sonner la fin de l’utilisation des mots passe, et utiliser de manière plus large des certificats en utilisant le Trusted Platform Module (TPM), maintenant omniprésent sur les machines, pour stocker les clés privées. L’accès à ce moyen d’authentification se faisant ensuite en utilisant un code PIN, ou de la biométrie (empreinte digital, visage, etc.)

Windows Hello est la partie visible de Passport et permet par exemple une authentification par biométrie en reconnaissance faciale (cela nécessite tout de même des capteurs spéciaux comme la caméra RealSense 3D de Intelqui est déjà intégrée à certains laptops.)

 

3. Protection de la machine

DeviceGuardest une technologie qui permet de n’exécuter que ce qui est désigné comme digne de confiance par l’entreprise. Ce mécanisme peut être renforcé encore en utilisant la virtualisation matérielle.

La virtualisation matérielle (Hyper-V Virtual Secure Mode) est utilisée par LSASS (le service qui qui possède les hashs et jetons d’authentifications) pour tourner dans un niveau de confiance différent du noyau et des autres processus, ce qui permet d’éviter de voler les secretset donc d’utiliser des mécanismes de récupération du hash.

 

4. Gestion des machines

Le client Mobile Device Management (MDM) inclus et compatible OMA-DM 2.0 évolue et permet notamment maintenant un effacement à distance de la machine en cas de perte/vol. Cet effacement passe par un retour à l’image d’originale de la machine. Parmi les autres possibilités : gestion de multiples utilisateurs, des profils VPN, etc.

On peut joindre une machine Windows 10 à un domaine Azure Active Directory et donc utiliser l’identité cloud d’un utilisateur en bénéficiant de Single Sign On (SSO) et de gestion de la machine de manière transparente (combiné à Intune)

Accès conditionnel: en fonction de critères de conformité (définis dans SCCM ou Intune) on pourra restreindre l’accès à une application.

Device Lockdown: évolution du mode assigné qui permet de préparer des machines qui sont en libre-service (kiosque). Ce mode évolue pour être plus personnalisable (couleurs, menus etc.)

Gestion des certificats: on peut gérer le déploiement (et suppresion) des certificats sur les machines en utilisant le format PFX et en utilisant le protocol SCEP (Simple Certificate Enrollment Protocol)

 

5. Déploiement aisé

Vous avez sans doute lu que Windows 10 sera proposé gratuitement pour les possesseurs d’éditions grand public de Windows 7 et ultérieur. Celui-ci sera déployé au monde avec Windows Update : sauf pour la version Entreprise.

La version Entreprise se déploiera de plusieurs manières :

  • Wipe and Load : ce que l’on connait actuellement, dans une mise à jour en entreprise. Capture de l’état utilisateur, installation du nouvel OS, restauration de l’état utilisateur.
  • Mise à jour en place : installation par WSUS ou Windows Update for Business (je parlerai de cette fonctionnalité dans un autre article).
  • Provisionning packages : qui permettront de déployer facilement des portions d’OS, des logiciels, des paramètres comme le Wifi, VPN, certificats, etc. On pourra aussi par exemple simplement passer d’une édition grand public de Windows à la version Entreprise (utile dans le Bring Your Own Device)

Notons également un changement fondamental dans la manière dont nous gérons les mises à jour : l’apparation d’une branche de support long terme, qui si vous la choisissez, ne mettra à jour que les failles de sécurité et aucun autre composants. Plus de details sur le Blog de Terry.

 

6. Meilleure productivité

Windows 10 a aussi pour vocation d’être un OS que les gens et les entreprises désirent (Joe Belfiore). Cela veut dire qu’ils aiment les fonctionnalités sympas dont ils profitent déjà à la maison, mais savent être productifs rapidement avec le nouveau système.

Pour cela le menu démarrer ne devrait pas les surprendre par rapport à Windows 7, mais il vient s’enrichir des applications universelles(UWP) qui sont les mêmes qu’ils utilisent sur leurs téléphones.

Afin de remplacer votre navigateur préféré (Internet Explorer), Windows 10 apporte Edge(ex projet Spartan) qui apporte des technologies de rendu HTML avancés ainsi que des expériences utilisateurs modernes (écrire/commenter directement une page Web, un mode lecture qui traduit automatiquement dans votre langue, ainsi que d’autres perles qui restent à annoncer).

Notons qu’Internet Explorer reste disponible et sera utilisable notamment pour des raisons de compatibilité avec les applications métiers (notamment avec son mode IE Entreprise).

Dans un article ultérieur, nous parlerons aussi de nouveautés comme la gestion du store en entreprise qui est aussi très prometteuse.

7. Le résumé en vidéo

Voilà ce que j’ai noté pour vous, il y a plein d’autres sujets que l’on couvrira dans des articles ultérieurs.

Mais en fait, le mieux, c’est de l’installer !

Nous discutons du sujet également avec Pascal dans le podcast ITCast : http://itcast.cloudapp.net/?name=2015-05-07_episode-12.mp3

Téléchargez le livre Microsoft Press : Introducing Windows 10 for IT Professionals, Preview Edition https://t.co/fHpuAuNYO7

Si vous voulez en savoir plus et venir découvrir Windows 10, inscrivez-vous au TechDays Tour, il y a une date près de chez vous ! Par-ici