What Is Windows LAPS non déployé?
Windows LAPS non déployé signifie que l’environnement ne dispose toujours pas d’un mécanisme géré pour définir, faire tourner, sauvegarder et récupérer le mot de passe de l’administrateur local sur les postes Windows et les serveurs. Windows Local Administrator Password Solution existe pour résoudre un problème très concret : le compte administrateur local reste souvent présent pour le support, le build ou les scénarios de secours, mais si son mot de passe est statique ou réutilisé, la compromission d’une seule machine peut donner à un attaquant le même secret sur beaucoup d’autres systèmes.
La recommandation Microsoft actuelle est d’utiliser Windows LAPS et non une rotation manuelle. Windows LAPS peut sauvegarder le mot de passe soit dans Active Directory, soit dans Microsoft Entra ID, et fournit des paramètres de stratégie, des cmdlets PowerShell et des événements dédiés. Si la fonctionnalité n’est pas déployée, mal ciblée ou jamais généralisée via GPO, Intune ou CSP, le risque reste réel même si l’organisation estime que l’accès admin local est « rarement utilisé ».
C’est pour cela que Windows LAPS non déployé apparaît souvent à côté de Mauvaises configurations GPO : vecteur d’attaque AD et Comptes obsolètes et trop privilégiés dans AD. Dans les trois cas, le sujet n’est pas seulement qui a les droits d’admin, mais si le cycle de vie du secret est réellement maîtrisé après compromission.
How Windows LAPS non déployé Works
Windows LAPS est intégré aux versions modernes de Windows et peut gérer un compte administrateur local configuré par appareil. Microsoft documente deux cibles de sauvegarde prises en charge :
- Active Directory Windows Server
- Microsoft Entra ID
Côté client, vous définissez le compte à gérer, la complexité du mot de passe, l’âge maximal, les actions post-authentification et le répertoire de sauvegarde. Côté administration, vous déléguez qui peut lire le mot de passe, qui peut demander une rotation et comment la récupération est auditée.
Pour Entra ID, Microsoft précise aussi les prérequis importants :
- l’appareil doit être joint à Entra ID ou hybride
- un appareil seulement « registered » n’est pas pris en charge
- LAPS doit être activé côté tenant et la stratégie client doit pointer
BackupDirectoryvers Entra ID
Pour un stockage dans Active Directory, Windows LAPS s’appuie sur une extension de schéma et sur des droits de délégation pour stocker et protéger le secret. Microsoft fournit des cmdlets dédiées pour mettre à jour le schéma, retrouver un mot de passe, identifier qui peut le lire et réinitialiser la rotation.
| Zone LAPS | Ce que Microsoft fournit | Pourquoi c’est important |
|---|---|---|
| Stratégie client | Paramètres Windows LAPS intégrés | Imposer âge, longueur, complexité et compte géré |
| Cible de sauvegarde | AD ou Entra ID | Rendre le mot de passe récupérable sans fichiers manuels |
| Contrôle d’accès | Droits délégués ou rôles | Éviter qu’un besoin helpdesk devienne une exposition large |
| Outils PowerShell | Get-LapsADPassword, Get-LapsAADPassword, Find-LapsADExtendedRights, Reset-LapsPassword | Mesurer le déploiement et la récupération |
Microsoft documente aussi un chemin de migration depuis l’ancien Microsoft LAPS. C’est un point important, car beaucoup d’équipes pensent que « LAPS est déjà là » alors qu’elles parlent en réalité d’un ancien agent déployé partiellement, jamais uniformisé et jamais réellement surveillé.
The Attack Chain
Étape 1 - Compromettre une machine qui partage encore un secret local
Un attaquant n’a pas besoin d’un compte de domaine très privilégié pour tirer parti d’une mauvaise hygiène des mots de passe locaux. Il lui suffit d’un poste ou d’un serveur où le compte administrateur local reste présent et où le mot de passe peut être deviné, réutilisé, récupéré ou saisi après un autre événement de compromission.
Étape 2 - Réutiliser le secret pour du mouvement latéral
Si ce mot de passe ou son hash NTLM fonctionne sur plusieurs machines, les canaux d’administration distante deviennent immédiatement plus utiles à l’attaquant. Le vrai problème n’est donc pas uniquement l’existence d’un compte admin local, mais le fait que son secret ne soit ni unique par machine, ni tourné rapidement après exposition.
# Vérifier si un appareil journalise une activité Windows LAPS récente
Get-WinEvent -LogName 'Microsoft-Windows-LAPS/Operational' -MaxEvents 20 |
Select-Object TimeCreated, Id, LevelDisplayName, Message
Si ce journal reste vide sur des appareils censés être couverts, ou si aucune récupération et aucune rotation n’apparaissent dans le bon chemin de gestion, le déploiement est incomplet.
Étape 3 - Étendre l’accès plus vite que la rotation manuelle
Sans Windows LAPS, la réponse à incident repose souvent sur des scripts d’urgence, des tickets endpoint ou des changements manuels. Cela ralentit la remédiation et laisse un délai plus long pendant lequel le même secret admin local reste réutilisable. C’est aussi pour cela que le sujet s’inscrit naturellement dans Chemins d’attaque Active Directory vers Domain Admin : LAPS ne supprime pas toute élévation de privilèges, mais son absence donne un excellent point d’appui pour le mouvement latéral.
Pourquoi un déploiement partiel reste dangereux
Le piège classique n’est pas l’absence totale de LAPS, mais le faux sentiment de couverture. Il suffit que les postes standards soient gérés alors que les jump hosts, des serveurs anciens ou une partie des stations admin restent hors périmètre pour que le contrôle perde une grande partie de sa valeur. Dans un incident, les attaquants cherchent précisément les zones où le secret local reste prévisible ou partagé. Un déploiement partiel crée donc souvent une illusion de maturité alors qu’il laisse les systèmes les plus intéressants en dehors de la protection.
C’est aussi pour cela qu’un audit LAPS doit vérifier non seulement l’existence de la stratégie, mais la cohérence des groupes ciblés, des droits de lecture, des exceptions et des machines effectivement couvertes. Une politique qui existe dans la console n’est pas équivalente à un secret local réellement tourné et récupérable au bon endroit.
Detection
Le meilleur chemin de détection combine couverture de stratégie, validation de sauvegarde et revue des droits d’accès.
| Indicateur | Source | Ce qu’il faut vérifier |
|---|---|---|
| Pas de stratégie Windows LAPS appliquée | GPO, Intune, CSP ou stratégie locale | Les appareils gérés reçoivent-ils réellement une configuration LAPS ? |
| Aucune sauvegarde récente dans AD ou Entra ID | Get-LapsADPassword ou Get-LapsAADPassword | Le mot de passe est-il bien stocké et renouvelé ? |
| Aucune activité LAPS sur l’endpoint | Journal Microsoft-Windows-LAPS/Operational | Le client traite-t-il bien la stratégie ? |
| Trop de droits de lecture | Find-LapsADExtendedRights ou revue des rôles Entra | Trop d’identités peuvent-elles lire les mots de passe ? |
# Vérifier les droits étendus sur une OU gérée par LAPS
Find-LapsADExtendedRights -Identity 'OU=Workstations,DC=corp,DC=local'
# Valider la récupération d'un mot de passe stocké dans AD
Get-LapsADPassword -Identity WS-001 -AsPlainText
Pour Entra ID, Microsoft documente aussi Get-LapsAADPassword et les autorisations de récupération par rôle. Une bonne revue doit donc vérifier les deux côtés : le secret est bien présent, et seules les bonnes équipes peuvent le lire.
Remediation
💡 Quick Win: choisissez d’abord un modèle de sauvegarde pris en charge. Un environnement à moitié migré entre gestion manuelle, ancien Microsoft LAPS et Windows LAPS crée souvent plus de confusion que de sécurité.
Un chemin de remédiation pragmatique ressemble à ceci :
- Choisir l’autorité de sauvegarde. Utilisez Active Directory ou Microsoft Entra ID selon le mode de jointure et de gestion des appareils.
- Préparer l’annuaire et les droits. Pour AD, étendez le schéma et revoyez les droits de lecture et de reset. Pour Entra, activez LAPS côté tenant et vérifiez les rôles de récupération.
- Configurer la stratégie client. Définissez le compte géré, la complexité, l’âge, le répertoire de sauvegarde et les actions post-authentification.
- Valider le traitement réussi. Utilisez le journal Windows LAPS et les cmdlets de récupération pour confirmer que les mots de passe tournent.
- Supprimer la dérive. Nettoyez les vieux scripts, secrets partagés et restes d’ancien Microsoft LAPS.
- Auditer les droits de récupération. Vérifiez que seules les équipes qui en ont besoin peuvent lire ou réinitialiser les mots de passe.
# Exemple de séquence de déploiement et de validation LAPS côté AD
Update-LapsADSchema
Get-LapsADPassword -Identity WS-001
Reset-LapsPassword
Validate Before You Close the Finding
Le déploiement n’est pas terminé parce qu’une stratégie existe. Il l’est quand des appareils représentatifs tournent réellement leurs mots de passe, que la sauvegarde dans AD ou Entra ID contient des secrets à jour et que le chemin de récupération est validé de bout en bout par le rôle autorisé. La validation minimale devrait couvrir un poste standard, un poste d’administration si vous en avez, un serveur où l’admin local est encore utilisé et un test de récupération par le rôle prévu.
Cette validation doit aussi documenter qui peut lire les secrets et qui peut forcer une rotation. Sinon, l’environnement remplace simplement un mot de passe partagé par une exposition large à la récupération.
How EtcSec Detects This
EtcSec relie ce sujet à LAPS_NOT_DEPLOYED et GPO_LAPS_NOT_DEPLOYED. La différence utile est de savoir si Windows LAPS est absent, ou si l’organisation pense l’avoir déployé alors qu’aucune stratégie durable n’atteint réellement les bons endpoints.
ℹ️ Note: EtcSec vérifie automatiquement l’absence ou le déploiement incohérent de LAPS lors des audits Active Directory, afin de distinguer une fonctionnalité disponible d’un contrôle réellement appliqué sur les machines.
Official References
- Microsoft Learn: What is Windows LAPS?
- Microsoft Learn: Windows LAPS PowerShell Cmdlets Overview
- Microsoft Learn: Use Windows Local Administrator Password Solution with Microsoft Entra ID
- Microsoft Learn: Prepare for Windows LAPS deployment and migration
Related Reading
Pour prioriser correctement ce sujet, relisez aussi Mauvaises configurations GPO : vecteur d’attaque AD, Comptes obsolètes et trop privilégiés dans AD, Sécurité des mots de passe AD : erreurs de configuration qui comptent, Comment auditer la sécurité Active Directory : checklist pratique pour les équipes internes et Supervision sécurité Active Directory : événements qui comptent. Ces sujets voisins expliquent pourquoi la rotation d’un mot de passe admin local ne vaut que si la portée, les droits et la journalisation sont alignés.
