16 juin 2026MDM & Endpoints

LAPS Windows, Mac et Linux : gérer les mots de passe admin locaux en PME

Un mot de passe administrateur local identique sur 80 postes, c'est une clé maîtresse offerte à l'attaquant qui compromet un seul endpoint. LAPS pour Windows, et ses équivalents macOS/Linux, résolvent ce problème en rotation automatique — voici comment les déployer concrètement.

Par ZRS-Holding Sàrl·10 min de lecture·345 lectures
Partager

Le mot de passe admin local, angle mort récurrent des PME

Dans la majorité des parcs Windows audités en PME romande, le compte Administrator local partage le même mot de passe sur l'ensemble des machines — souvent défini lors du déploiement initial et jamais changé. Un attaquant qui récupère ce credential via un dump LSASS ou une image Ghost volée dispose immédiatement d'un accès admin local à tous les endpoints du parc. C'est le scénario classique de mouvement latéral qui transforme une compromission isolée en incident généralisé.

La réponse technique existe depuis 2015 côté Microsoft (LAPS v1) et s'est considérablement étoffée avec Windows LAPS intégré nativement depuis Windows 11 22H2 / Server 2019 (mise à jour avril 2023). macOS et Linux disposent d'approches équivalentes, moins connues, mais tout aussi nécessaires dans un parc hétérogène. Cet article détaille l'architecture, les prérequis, les pièges, et un cas pratique chiffré.

Pourquoi c'est un risque documenté, pas juste une recommandation théorique

Le CIS Controls v8 classe la gestion des comptes privilégiés (Control 5) parmi les trois premiers à implémenter. La règle CIS 5.4 stipule explicitement la rotation des mots de passe des comptes admin locaux. Le NIST Cybersecurity Framework (PR.AC-1, PR.AC-4) reprend la même exigence sous l'angle du principe du moindre privilège.

En Suisse, la nLPD (nouvelle Loi sur la protection des données) en vigueur depuis le 01.09.2023 impose des mesures techniques et organisationnelles appropriées pour protéger les données personnelles traitées. Un mot de passe admin partagé sur un poste qui accède à des données RH, comptables ou médicales constitue une lacune de sécurité susceptible d'être qualifiée de manquement aux mesures de sécurité adéquates par le PFPDT. En cas d'incident notifiable, l'absence de contrôle des accès privilégiés locaux aggravera l'évaluation.

Windows LAPS : architecture et déploiement

Deux versions, deux contextes

Legacy LAPS (Microsoft LAPS v1) — extension Active Directory, GPO, stockage du mot de passe en attribut AD non chiffré (ms-Mcs-AdmPwd). Fonctionne sur Windows 7 à Windows 10/11 et Server 2008 R2+. Nécessite l'installation manuelle de l'agent MSI et l'extension du schéma AD. Toujours valide pour les parcs on-premises purs sans Windows Server 2019+.

Windows LAPS natif (depuis avril 2023) — intégré dans l'OS via KB5025175 et suivants. Supporte Active Directory et Azure AD (Entra ID) pour les parcs hybrides ou cloud-only. Le mot de passe est chiffré dans AD avec AES-256. Gestion via Intune (MDM) ou GPO. Le compte géré peut être Administrator intégré ou un compte personnalisé.

Prérequis minimaux

  • Windows 11 22H2 ou Windows 10 22H2 avec les dernières mises à jour cumulatives (KB5025221 minimum).
  • Pour AD on-premises : extension du schéma avec Update-LapsADSchema, droits délégués sur l'OU cible.
  • Pour Entra ID / Intune : licence Microsoft Entra ID P1 minimum ; profil de configuration Device > Endpoint Security > Account Protection.
  • Politique de rotation : intervalle recommandé 24 à 48 heures post-utilisation, ou rotation planifiée tous les 30 jours au maximum (valeur CIS Benchmark Windows 11 : 30 jours).

Paramètres clés à configurer

  • PasswordLength : minimum 20 caractères (CIS L1 : 15 minimum, L2 : 20).
  • PasswordComplexity : valeur 4 (majuscules + minuscules + chiffres + symboles).
  • PasswordExpirationProtection : activé — empêche de forcer une expiration dans le passé.
  • AdministratorAccountName : renommer le compte avant déploiement (éviter Administrator par défaut, cible évidente des attaques par dictionnaire).
  • Stockage du mot de passe : EncryptedPassword en AD (obligatoire si on utilise Windows LAPS natif avec AD).

Accès au mot de passe et audit

Seuls les membres des groupes AD explicitement délégués (typiquement Helpdesk-LAPS-Readers) peuvent lire le mot de passe via Get-LapsADPassword ou le portail Intune. Chaque lecture génère un événement (Event ID 4662 dans le journal de sécurité AD). Centraliser ces logs dans votre SIEM ou, a minima, dans Azure Monitor, est indispensable pour détecter un abus de consultation.

Équivalents macOS : deux approches selon le MDM

Jamf / Kandji / Mosyle — rotation via script MDM

Apple ne fournit pas de mécanisme LAPS natif. Les MDM macOS implémentent la rotation du mot de passe admin local via des scripts shell déployés en politique. Le principe : le MDM génère un mot de passe aléatoire, le stocke chiffré dans sa base (ou dans un secret manager), puis exécute dscl . -passwd /Users/localadmin <newpassword> sur l'endpoint. La fréquence de rotation est configurable (typiquement 24h post-usage ou tous les 30 jours).

Dans un contexte Apple Business Manager avec déploiement Automated Device Enrollment (ADE), le compte admin local peut être créé à l'enrôlement avec un mot de passe unique généré par le MDM — jamais visible par le technicien qui a configuré le profil.

FleetDM + osquery — visibilité sans rotation native

FleetDM (solution open-source) ne gère pas nativement la rotation des credentials, mais permet via osquery de détecter les comptes locaux en excès (SELECT * FROM users WHERE is_hidden=0 AND admin=1), les comptes dont le mot de passe n'a pas expiré depuis plus de N jours, ou les comptes créés hors baseline. Couplé à un script de rotation stockant le secret dans HashiCorp Vault ou AWS Secrets Manager, c'est une architecture viable pour les équipes DevOps qui gèrent un parc macOS/Linux hétérogène.

macOS 14 Sonoma — Bootstrap Token et Secure Token

Depuis macOS 10.15, le Bootstrap Token (géré par le MDM via Apple Business Manager) permet d'accorder un Secure Token à un compte admin local sans intervention physique. C'est le prérequis pour que FileVault puisse être activé sur le compte et pour que ce compte puisse déverrouiller d'autres comptes. La rotation du mot de passe de ce compte doit donc inclure la mise à jour du Bootstrap Token — un oubli fréquent qui verrouille FileVault au prochain redémarrage.

Linux : PAM, Vault et rotation centralisée

Sur Linux (Ubuntu 22.04 LTS, RHEL 9, Debian 12), la gestion du compte root local ou d'un compte sudoer dédié repose sur plusieurs approches complémentaires :

  • HashiCorp Vault SSH Secrets Engine : génère des OTP (One-Time Password) SSH ou signe des clés éphémères via certificats SSH CA. Aucun mot de passe statique ne réside sur l'endpoint. Audit natif dans Vault.
  • PAM + SSSD + AD/LDAP : délègue l'authentification à l'annuaire central. Le compte root local reste verrouillé (passwd -l root) ; les administrateurs utilisent leur compte AD avec sudo. Rotation gérée côté AD.
  • Teleport (open-source) : proxy SSH avec accès juste-à-temps (Just-In-Time), enregistrement des sessions, intégration IdP. Alternative crédible pour les parcs cloud-native.
  • Ansible / Salt / Puppet : rotation périodique du mot de passe root via playbook, stockage du hash dans un coffre (Vault, AWS SSM Parameter Store). À minima, le hash ne doit jamais apparaître en clair dans un playbook versionné sur Git.

Pour les parcs Linux gérés via FleetDM, la requête osquery SELECT username, last_change FROM shadow (nécessite root) permet d'auditer l'âge des mots de passe — à intégrer dans les politiques de conformité.

Cas pratique : fiduciaire vaudoise, 65 endpoints mixtes

Contexte : fiduciaire basée à Lausanne, 40 collaborateurs, 65 endpoints (45 PC Windows 11 22H2, 14 MacBook Pro macOS 14 Sonoma, 6 serveurs Windows Server 2022). Parc géré via Intune (hybride Entra ID + AD on-premises). Pas de SIEM dédié — logs centralisés dans Microsoft Sentinel (licence Microsoft 365 Business Premium). Budget IT annuel : environ CHF 180 000, dont CHF 22 000 pour la sécurité endpoints.

Situation initiale : audit interne révèle que 43 des 45 PC Windows partagent le même mot de passe Administrator local (défini en 2019 lors de la migration). Les 14 MacBooks ont un compte admin-fidu créé manuellement lors de l'enrôlement ABM, avec le même mot de passe pour tous. Aucune traçabilité des usages.

Déploiement Windows LAPS natif — procédure étape par étape

  1. DSI — Vérifier que tous les PC sont sous Windows 11 22H2+ avec KB5025221. Identifier les 2 PC sous Windows 10 21H2 encore en parc : planifier mise à jour sous 30 jours.
  2. DSI — Étendre le schéma AD on-premises : exécuter Update-LapsADSchema depuis un compte Schema Admins. Déléguer les droits de lecture LAPS sur l'OU OU=Workstations,DC=fidu,DC=local au groupe SG-LAPS-Helpdesk.
  3. DSI — Dans Intune, créer un profil Account Protection (Endpoint Security) avec : PasswordLength=20, PasswordComplexity=4, PasswordAgeDays=30, PasswordExpirationProtection=Enabled, BackupDirectory=ActiveDirectoryAndAzureAD.
  4. DSI — Déployer le profil sur le groupe dynamique All Windows 11 Devices. Vérifier la conformité dans Intune Device Compliance dans les 48h.
  5. RSSI — Créer une alerte Sentinel sur Event ID 4662 (lecture du mot de passe LAPS) : toute lecture doit générer un ticket dans l'outil ITSM. Seuil d'alerte : >3 lectures en 1h sur le même endpoint.
  6. DSI — Renommer le compte Administrator local sur tous les PC via un script Intune (PowerShell) : Rename-LocalUser -Name "Administrator" -NewName "lapsadm-fidu".
  7. RSSI — Documenter la procédure de récupération d'urgence (Break Glass) : quel groupe AD peut lire les mots de passe LAPS, qui approuve la demande, délai maximum de réponse (SLA interne : 15 minutes en heures ouvrées).

Déploiement macOS — rotation via MDM

  1. DSI — Dans le MDM (Jamf Pro ici), créer un script Shell «LAPS-mac» générant un mot de passe aléatoire de 24 caractères (openssl rand -base64 18), stockant la valeur dans l'extension attribute Jamf chiffrée, et exécutant dscl . -passwd /Users/admin-fidu.
  2. DSI — Planifier l'exécution du script toutes les 48h via une politique déclenchée sur «Recurring Check-in».
  3. DSI — Tester le Bootstrap Token sur 2 MacBooks pilotes avant de déployer : vérifier que FileVault reste fonctionnel après rotation (fdesetup status doit retourner FileVault is On).
  4. RSSI — Restreindre la visibilité de l'extension attribute Jamf aux comptes du groupe «LAPS-Helpdesk» dans la console Jamf.

Résultat à 60 jours : 45 PC Windows avec mots de passe admin locaux uniques, rotation automatique tous les 30 jours. 14 MacBooks avec rotation 48h. Coût d'implémentation : environ CHF 3 200 (2 jours DSI + 1 journée RSSI externe). Aucune licence additionnelle nécessaire (Windows LAPS natif inclus dans l'OS, Jamf Pro déjà en place). Réduction du risque de mouvement latéral évaluée comme significative dans la prochaine revue de risques ISO 27001 de la fiduciaire.

Récapitulatif opérationnel

  • Windows 11 22H2+ avec Intune : activer Windows LAPS natif via profil Endpoint Security, PasswordLength≥20, rotation ≤30 jours, stockage chiffré dans AD et/ou Entra ID.
  • Windows 10 ou AD pur sans Intune : déployer Legacy LAPS v1 via GPO, étendre le schéma AD, déléguer les droits de lecture sur l'OU cible.
  • macOS avec ABM : script MDM de rotation du mot de passe admin local toutes les 24-48h, vérification Bootstrap Token avant déploiement, restriction de visibilité des secrets dans la console MDM.
  • Linux : verrouiller root (passwd -l root), déléguer sudo via AD/LDAP, ou utiliser HashiCorp Vault SSH Secrets Engine pour des OTP sans credential statique.
  • Audit et traçabilité : chaque consultation d'un mot de passe admin local doit générer un événement loggé, corrélé dans un SIEM ou au minimum dans un journal d'accès consultable.
  • Procédure Break Glass documentée : qui peut accéder, par quel canal, avec quelle traçabilité, et dans quel délai — à tester au moins une fois par semestre.
  • Renommage des comptes admin : ne jamais laisser le compte par défaut (Administrator, root) avec son nom d'origine — cible prioritaire des scripts d'attaque automatisés.
  • Inventaire des comptes admin locaux : via osquery, Intune Endpoint Analytics ou script PowerShell Get-LocalGroupMember Administrators — à inclure dans la revue mensuelle de conformité.
  • Alignement nLPD : la gestion des accès privilégiés locaux est une mesure technique attendue dans le registre des activités de traitement pour tout traitement de données personnelles sensibles (RH, comptabilité, données clients).

SynGuard accompagne les PME romandes dans la mise en place de ces contrôles via son offre MDM et gestion des endpoints — sans surcharge administrative pour les équipes IT de taille réduite.

Sources

Noter cet article

Pas encore de note