Suite à la publication de Windows Patch Tuesday LAPS, Microsoft met en garde contre les principaux problèmes hérités

Il y a quelques jours, Microsoft a annoncé la disponibilité de Windows LAPS (Local Administrator Password Solution) via le Patch Tuesday du mois. La fonctionnalité est disponible sur Windows 10 , Windows 11 et également sur les serveurs.

Cependant, depuis sa sortie, Microsoft a confirmé des problèmes d’interopérabilité avec les anciens problèmes LAPS. Lorsque l’ancien LAPS (package MSI) est installé sur des machines sur lesquelles les dernières mises à jour du Patch Tuesday sont installées, les anciens ainsi que les nouveaux LAP de Windows se cassent. En règle générale, un ID de journal des événements 10031 ou 10032 est généré avec le message « LAPS a bloqué une demande externe qui a tenté de modifier le mot de passe du compte géré actuel ».

Microsoft a également publié une solution de contournement pour le bogue :

Nous avons vérifié un ancien bogue d’interopérabilité LAPS signalé dans la mise à jour du 11 avril 2023 ci-dessus. Si vous installez l’ancien LAPS GPO CSE sur une machine corrigée avec la mise à jour de sécurité du 11 avril 2023 et une politique LAPS héritée appliquée, Windows LAPS et l’ancien LAPS tomberont en panne. Les symptômes incluent les ID de journal des événements Windows LAPS 10031 et 10032, ainsi que l’ancien ID d’événement LAPS 6. Microsoft travaille sur un correctif pour ce problème. Vous pouvez contourner ce problème en : a) désinstallant LAPS hérité, ou b) supprimant toutes les valeurs de registre sous la clé de registre HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State .

Sur sa page de présentation LAPS, Microsoft a également fourni une description plus détaillée des deux problèmes documentés :

Problème n° 1 : si vous installez l’ancien LAPS CSE sur un appareil corrigé avec la mise à jour de sécurité du 11 avril 2023 et qu’une politique LAPS héritée est appliquée, Windows LAPS et l’ancien LAPS entreront dans un état cassé où aucune fonctionnalité ne mettra à jour le mot de passe pour le compte géré. Les symptômes incluent les ID de journal des événements Windows LAPS 10031 et 10033, ainsi que l’ancien ID d’événement LAPS 6. Microsoft travaille sur un correctif pour ce problème.

Deux solutions de contournement principales existent pour le problème ci-dessus :

un. Désinstallez l’ancien LAPS CSE (résultat : Windows LAPS prendra en charge la gestion du compte géré)

b. Désactiver l’ancien mode d’émulation LAPS (résultat : l’ancien LAPS prendra en charge la gestion du compte géré)

Problème n° 2 : Si vous appliquez une politique LAPS héritée à un appareil corrigé avec la mise à jour du 11 avril 2023, Windows LAPS appliquera immédiatement \ honorera la politique LAPS héritée, ce qui peut être perturbateur (par exemple, si elle est effectuée pendant le flux de travail de déploiement du système d’exploitation). Désactiver le mode d’émulation LAPS hérité peut également être utilisé pour éviter ces problèmes.

Vous pouvez trouver plus de détails sur LAPS et les problèmes sur le site Web de Microsoft .