Non classé

Gestion de la stratégie de mot de passe de domaine dans Active Directory

Par Titanfall , le 23 avril 2019 - 8 minutes de lecture

Pour protéger les comptes d'utilisateurs dans Dans le domaine Active Directory, un administrateur doit configurer et mettre en œuvre une stratégie de mot de passe de domaine offrant une complexité et une longueur de mot de passe suffisantes, ainsi que la fréquence de changement des mots de passe des comptes d'utilisateur et de service. Ainsi, vous pouvez empêcher un attaquant de déchiffrer les mots de passe utilisateur à l’aide de l’attaque brutale ou de capturer un mot de passe lors de son envoi sur un réseau.

Par défaut, pour définir les exigences communes pour les mots de passe utilisateur dans le domaine AD, les paramètres de stratégie de groupe (GPO) sont utilisés. La stratégie de mot de passe des comptes d'utilisateur de domaine est configurée dans Stratégie de domaine par défaut.

  • Pour configurer la stratégie de mot de passe du compte AD, ouvrez le Gestion des politiques de groupe console (gpmc.msc);
  • Développez votre domaine et trouvez le GPO nommé Stratégie de domaine par défaut. Faites un clic droit dessus et sélectionnez modifier; stratégie de domaine par défaut - paramètres de mot de passe
  • Les stratégies de mot de passe se trouvent dans la section suivante des objets de stratégie de groupe: Configuration de l'ordinateur-> Paramètres Windows-> Paramètres de sécurité -> Stratégies de compte -> Stratégie de mot de passe;
  • Double-cliquez sur un paramètre de stratégie pour le modifier. Pour activer un paramètre de stratégie spécifique, cochez la case Définir ces paramètres de stratégie et spécifiez la valeur nécessaire (sur la capture d'écran ci-dessous, j'ai défini la longueur minimale du mot de passe à 8 caractères). Enregistrez les modifications. Domaine AD - stratégie de mot de passe du compte
  • Les nouveaux paramètres de stratégie de mot de passe seront appliqués à tous les ordinateurs du domaine en arrière-plan dans un délai (90 minutes), lors du démarrage de l'ordinateur. Vous pouvez également appliquer la stratégie immédiatement en exécutant la commande gpupdate / force commander.

Considérons tous les paramètres de mot de passe Windows disponibles. Il y a six politiques de mot de passe:

  • Appliquer l'historique des mots de passe – détermine le nombre d'anciens mots de passe stockés dans AD, empêchant ainsi un utilisateur d'utiliser un ancien mot de passe;
  • Âge maximum du mot de passe – définit l’expiration du mot de passe en jours. Après l'expiration de cette période, le système invitera un utilisateur à modifier le mot de passe. Cette politique garantit que les utilisateurs changent régulièrement le mot de passe.
  • Longueur minimale du mot de passe – il est recommandé que les mots de passe contiennent au moins 8 symboles (si vous spécifiez 0 ici, le mot de passe n'est pas requis);
  • Âge minimum du mot de passe – définit la fréquence à laquelle les utilisateurs peuvent modifier leurs mots de passe. Ce paramètre ne permettra pas à l’utilisateur de changer le mot de passe trop souvent pour revenir à un ancien mot de passe qu’il aime en le supprimant du journal de l’historique des mots de passe après que le mot de passe a été changé plusieurs fois de suite. En règle générale, il est conseillé de définir 1 jour ici pour que les utilisateurs puissent modifier eux-mêmes un mot de passe s'il est compromis (sinon, un administrateur devra le changer);
  • Le mot de passe doit répondre aux exigences de complexité – si la stratégie est activée, un utilisateur ne peut pas utiliser le nom de compte dans un mot de passe (pas plus de 2 symboles d'un mot Nom d'utilisateur ou Prénom dans une ligne), 3 types de symboles doivent également être utilisés dans le mot de passe: chiffres (0 à 9), lettres majuscules, lettres minuscules et caractères spéciaux ($, #,%, etc.). De plus, afin d'éviter l'utilisation de mots de passe faibles (provenant du dictionnaire de mots de passe), il est recommandé de procéder à un audit régulier des mots de passe des utilisateurs du domaine.
  • Stocker les mots de passe en utilisant un cryptage réversible – les mots de passe des utilisateurs sont stockés chiffrés dans la base de données AD, mais dans certains cas, vous devez accorder l'accès aux mots de passe des utilisateurs à certaines applications. Si ce paramètre de stratégie est activé, les mots de passe sont moins protégés (presque en texte brut). Il n’est pas sécurisé (un attaquant peut accéder à la base de données de mots de passe si le contrôleur de domaine est compromis; un contrôleur de domaine en lecture seule (RODC) peut être utilisé comme une des mesures de protection).

De plus, les paramètres suivants doivent être configurés dans la section GPO. Mot de passe de verrouillage de compte:

  • Seuil de verrouillage de compte – le nombre d'échecs de connexion (tentatives de saisie d'un mot de passe incorrect) peut être effectué par l'utilisateur avant le verrouillage de son compte;
  • Durée de verrouillage du compte – combien de temps un compte sera-t-il verrouillé si l'utilisateur a saisi plusieurs fois un mot de passe incorrect?
  • Réinitialiser le compteur de verrouillage du compte après – le nombre de minutes après lequel le compteur Seuil de verrouillage du compte sera réinitialisé.
Si le compte de domaine spécifique est verrouillé trop souvent, vous pouvez identifier la source des verrouillages de compte à l'aide de cette méthode.

Les paramètres par défaut des stratégies de mot de passe dans le domaine AD sont répertoriés dans le tableau ci-dessous:

Politique Valeur par défaut
Appliquer l'historique des mots de passe 24 mots de passe
Âge maximum du mot de passe 42 jours
Âge minimum du mot de passe Un jour
Longueur minimale du mot de passe 7
Le mot de passe doit répondre aux exigences de complexité Activée
Stocker les mots de passe en utilisant un cryptage réversible désactivé
Durée de verrouillage du compte Pas encore défini
Seuil de verrouillage de compte 0
Réinitialiser le compteur de verrouillage du compte après Pas encore défini
Vous pouvez vérifier les paramètres de stratégie de mot de passe AD actuels sur n'importe quel ordinateur du domaine à l'aide de la commande gpresult.

Chaque domaine AD ne peut avoir qu’une seule stratégie de mot de passe appliquée à la racine du domaine (il existe certaines nuances, mais nous en reparlerons plus tard). En règle générale, une stratégie de mot de passe de domaine est configurée dans l'objet de stratégie de groupe nommé Stratégie de domaine par défaut. Si vous créez un autre objet de stratégie de groupe avec des paramètres de mot de passe différents et l'appliquez à une unité d'organisation spécifique, ses paramètres seront ignorés. Le contrôleur de domaine, propriétaire du rôle d’émulateur de PDC de FSMO, gère la stratégie de mot de passe du domaine. Pour modifier les paramètres de stratégie de domaine par défaut, vous devez disposer des privilèges d'administrateur de domaine.

Les paramètres GPO de la stratégie de mot de passe sont appliqués à tous les ordinateurs du domaine (et non aux utilisateurs). Si vous devez créer des stratégies de mot de passe distinctes pour différents groupes d'utilisateurs, vous devez utiliser les stratégies de mot de passe affinées qui apparaissent dans la version AD de Windows Server 2008. Les stratégies de mot de passe granulaires permettent de définir une longueur ou une complexité accrue des mots de passe pour les comptes d'administrateur l’article Sécuriser les comptes d’administrateur dans le domaine AD), simplifier les mots de passe de certains comptes ou même les désactiver complètement.

Dans un groupe de travail, vous devrez configurer les stratégies de mot de passe sur chaque ordinateur à l'aide de l'éditeur de GPO local – gpedit.msc. Vous pouvez également transférer les paramètres de stratégie de GPO local entre ordinateurs à l'aide de cette méthode.

Click to rate this post!
[Total: 0 Average: 0]

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.