Local Admin Password Solution (LAPS)

Notre solution Local Administrator Password Solution (LAPS) a été conçue pour résoudre le problème de l’utilisation de comptes identiques dans votre environnement pour l’assistance utilisateur ou l’élévation de privilèges. LAPS crée des mots de passe forts pour les comptes locaux, qui sont stockés en toute sécurité dans votre propre Azure Key Vault. Pour l’audit, vous avez la possibilité de fournir un Application Insights instance ou un Log Analytics Workspace.

Pré-requis

Avant de pouvoir commencer avec LAPS, vous devez satisfaire les pré-requis suivants :

• Configurer Application Insights OU Log Analytics Workspace

• Activer explicitement les types de comptes LAPS à l’aide des paramètres de groupe (ou d’utilisateur)

Nous examinerons les deux ci-dessous.

Journalisation

Application Insights et Log Analytics jouent un rôle important lors de l’utilisation de LAPS. Les demandes de mot de passe déclenchées par LAPS sont journalisées par RealmJoin et envoyées à l’instance Application Insights ou au Log Analytics Workspace configuré. De cette façon, vous avez une visibilité complète sur les personnes qui récupèrent les mots de passe.

Une seule forme de journalisation doit être choisie : Application Insights ou Log Analytics. La journalisation est facultative lors de la configuration de LAPS et peut être ignorée si votre organisation n’a pas besoin de ces informations.

Vous trouverez plus de détails dans nos Application Insights et Log Analytics articles.

Paramètres de groupe

LAPS prend en charge les paramètres globaux suivants.

Les types de comptes suivants sont pris en charge.

Chaque type de compte peut être configuré indépendamment à l’aide des paramètres communs suivants. Certains types disposent de paramètres spéciaux décrits dans leur section respective.

Mot de passe génération

Par défaut, des mots de passe vraiment aléatoires seront générés sur la base des paramètres PasswordCharSet et PasswordLength. Le jeu de caractères par défaut a été choisi pour exclure les caractères similaires tels que I1l et O0. Le générateur de nombres aléatoires cryptographiques de Windows est utilisé pour fournir une aléa de haute qualité pour la génération.

Les mots de passe vraiment aléatoires peuvent être difficiles à utiliser, c’est pourquoi des modèles prédéfinis spéciaux sont également pris en charge.

• Modèle prédéfini 1 ⇒ [1 majuscule][3 minuscules][4 chiffres]

  • Tuci9325

  • Lnso5050

  • Khwn2174

• Modèle prédéfini 2 ⇒ Key-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]

  • Le paramètre PasswordLength est pris en charge ! Ce paramètre détermine le nombre de blocs de chiffres.

  • Key-012993-230956-976475 (PasswordLength = 3)

  • Key-497254-679158-631224-278319 (PasswordLength = 4)

  • Key-506179-861369-706482-613244-730371-097689-404350-340073 (par défaut)

• Modèle prédéfini 3 ⇒ [mot]-[mot]-[mot]-[mot]-[mot]-[mot] généré à partir de Eff Long List​

  • Le paramètre PasswordLength est pris en charge ! Ce paramètre détermine le nombre de mots.

  • Exciting-Unearth-Cried-87 (PasswordLength = 3)

  • Neurology-Astute-Debate-Marshy-15 (PasswordLength = 4)

  • Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26 (par défaut)

Recréation du compte

Après qu’un compte a été utilisé, RealmJoin peut être configuré pour supprimer et recréer le compte à l’aide du paramètre MaxStaleness . De cette façon, les comptes seront toujours propres. Si aucun paramètre n’est configuré, les comptes ne seront jamais recréés et resteront en place indéfiniment.

Évitement des conflits

Même si RealmJoin fait de son mieux pour éviter les conflits de nommage lors de la gestion des comptes sur un appareil, il est toujours possible que des comptes existent déjà sur un appareil, ce qui provoque des conflits. C’est pourquoi le NamePattern paramètre prend en charge ces jetons ayant une signification spéciale pour RealmJoin. Les jetons seront transformés par la fonction spécifiée et sa longueur paramétrée après les deux-points.

• {HEX:8} ⇒ F4D027EF, B3C4F74E, ... (caractères hexadécimaux aléatoires)

• {DEC:6} ⇒ 506453, 066946, ... (caractères décimaux aléatoires)

• {COUNT:2} ⇒ 01, 02, ... (compteur, restera 01 si aucun conflit n’existe)

Compte d’urgence

Ce type de compte est votre accès de secours à l’appareil en cas de défaillance catastrophique. Il sera créé de manière proactive. Ainsi, vous aurez toujours un accès pour la récupération. Nous recommandons de le configurer pour la recréation du compte.

Exemple

Clé LocalAdminManagement.EmergencyAccount (pour les paramètres communs, voir paramètres de groupe)

Compte de support

Ce type de compte peut être configuré pour une création à la demande. Il est conçu pour être utilisé dans une fenêtre de temps limitée de 12 heures en mode à la demande.

Exigences pour le flux de travail à la demande :

• Le mode est activé en définissant "OnDemand": true.

• Un utilisateur est connecté

• L’agent RealmJoin est en cours d’exécution

• L’appareil est connecté à Internet

• L’appareil peut atteindre le backend RealmJoin

Lorsqu’il n’est pas en mode à la demande, il sera créé de manière proactive.

Exemple

Clé LocalAdminManagement.SupportAccount (pour les paramètres communs, voir paramètres de groupe)

Compte privilégié

Ce type de compte est conçu pour être utilisé par des utilisateurs avancés qui ont besoin de privilèges d’administrateur réguliers mais contrôlés sur leurs propres appareils. Une date d’expiration fixe du compte peut être spécifiée (Expiration).

Les rotations forcées du mot de passe sont prises en charge :

1. 2021-11-20T12:34:56+01:00: Tout horodatage explicite au format ISO-8601. Plusieurs horodatages peuvent être spécifiés.

2. DayAfterCreate: Une fois le compte créé, le mot de passe du compte sera modifié. C’est utile lorsque les utilisateurs sont censés configurer Windows Hello pour des options de connexion supplémentaires.

3. Yearly, Mensuel ou Weekly: L’intervalle le plus court est prioritaire (Weekly > Mensuel > Yearly). Si aucune autre condition n’est spécifiée, les valeurs par défaut sont « 1er jour du mois » pour Mensuel ou « lundi » pour Weekly. De plus, Yearly prend par défaut la date de dernier réglage du mot de passe + 365 jours. Les sept jours de la semaine peuvent être spécifiés. Donc si Wednesday et Weekly sont spécifiés, le mot de passe sera changé chaque mercredi. Si Wednesday et Mensuel sont spécifiés, le mot de passe sera changé le premier mercredi de chaque mois. Combiner Yearly avec les jours de la semaine fixera la date limite au jour de la semaine spécifié le plus tard possible juste avant l’échéance des 365 jours.

Exemple

Clé LocalAdminManagement.PrivilegedAccount (pour les paramètres communs, voir paramètres de groupe)

Accès aux mots de passe

Utilisez le portail RealmJoin pour accéder aux mots de passe.

Activer le libre-service

Les utilisateurs peuvent accéder aux comptes créés sur leurs propres appareils (ils sont « PrimaryUser ») lorsqu’ils sont activés à l’aide de RealmJoin Portal à partir de la version 2022.5.1. Pour activer cette fonctionnalité, définissez un paramètre à l’aide de la clé Allow.SelfLAPS. Ce paramètre peut être défini sur des groupes et des utilisateurs. Comme pour tous les paramètres préfixés par Allow.* ils sont combinés par ET entre l’utilisateur et tous ses groupes.

La valeur peut également être un simple booléen true/false. Cela peut être utilisé comme joker et englobe tous les types de comptes actuels et futurs. Veuillez noter que cela n’est recommandé que pour désactiver l’accès (false).

Une configuration d’exemple peut ressembler à ceci :