Le guide des bonnes pratiques pour le déploiement de Specops Password Policy

Déployer une nouvelle politique de mots de passe sans plan établi peut vous conduire tout droit au désastre. Vous voulez éviter une situation dans laquelle tous les utilisateurs finaux seraient invités à modifier leur mot de passe exactement au même moment, ce qui déclencherait le chaos pour votre centre de services ou votre équipe informatique. Chaque organisation est différente, mais Darren James, chef de produit senior de Specops, partage les meilleures pratiques qu’il recommanderait à toute personne envisageant de passer à Specops Password Policy.

L’ objectif ultime du déploiement d’une politique en matière de mots de passe est que chacun change son mot de passe pour un mot conforme à la nouvelle politique – et qui ne soit pas un mot de passe connu ayant fait l’objet d’une compromission. Cependant, il y a quelques points à considérer avant d’en arriver là. Nous allons les aborder dans cet article :

• Allez-vous avoir plus d’une politique de mot de passe ?
• Souhaitez-vous gérer les utilisateurs dont les mots de passe ont été compromis avant le déploiement ?
• Travaillez-vous selon un calendrier précis ? Les dates d’expiration doivent-elles être ajustées ?
• Où se trouvent vos utilisateurs et quels appareils utilisent-ils en général ?
• Disposez-vous d’un système de réinitialisation des mots de passe en libre-service ?

Si vous cherchez des conseils généraux relatifs à l’élaboration d’une nouvelle politique en matière de mots de passe, vous trouverez ici quelques conseils sur les bonnes pratiques. Ou bien commencez par ici si vous cherchez des conseils sur la création d’une politique de mot de passe conforme à la norme NIST 800-63b. Mais si vous avez déjà assuré ces bases et que vous êtes prêt à mettre en œuvre Specops Password Policy, lisez la suite et découvrez nos conseils pratiques sur le déploiement de la solution auprès de votre base utilisateurs.

Gérer plusieurs politiques de mots de passe

Il est fréquent que les organisations aient besoin de plus d’une politique en matière de mots de passe.  Par exemple, vous souhaitez peut-être que des règles différentes s’appliquent pour les utilisateurs finaux standard, les administrateurs et les comptes de service. Certains devront peut-être relever d’une réglementation spécifique comme celles des PCI ou HIPAA. Ainsi, après avoir élaboré vos politiques, vous devez vous assurer que vous pouvez les appliquer aux bons utilisateurs.

Comme nous utilisons la stratégie de groupe, nous pouvons le faire en liant les objets de stratégie de groupe (GPO) à une unité d’organisation (OU). À partir de là, vous pouvez utiliser le filtrage de sécurité ainsi que la préséance des GPO. Par exemple, vous pouvez avoir plusieurs types d’utilisateurs dans la même OU, mais utiliser le filtrage de sécurité et/ou la préséance des GPO pour vous assurer que la bonne politique s’applique au bon utilisateur. Si vous ne souhaitez pas que les stratégies s’appliquent immédiatement, vous pouvez créer des GPO, puis désactiver les liens.

Rechercher les mots de passe compromis

Souhaitez-vous adresser les mots de passe compromis connus dans votre Active Directory avant de déployer Specops Password Policy ? Une solution rapide pour réduire votre risque est d’utiliser le rapport de Specops Password Auditor sur les mots de passe compromis pour mettre en évidence les utilisateurs qui utilisent déjà des mots de passe compromis connus. Ces utilisateurs constituent généralement une bonne option pour votre groupe pilote pour le déploiement, car vous recevrez des retours sur vos nouvelles politiques de la part des personnes les plus impactées.

Il est important d’utiliser également ce groupe pour tester votre approche d’accompagnement de l’utilisateur final. N’oubliez pas de garder les choses simples et faciles à comprendre. Si vos utilisateurs passent d’une politique de mots de passe courts et complexes (par exemple, huit caractères avec un mélange de chiffres, de minuscules, de majuscules et d’un caractère spécial) à une phrase de passe plus simple mais plus longue, il s’agira d’un choc culturel et d’une vraie différence par rapport aux politiques auxquelles ils ont dû se conforter dans le passé.

N’oubliez pas non plus que Specops Password Auditor n’utilisera qu’une fraction (1 milliard de mots de passe uniques compromis) de la base de données complète de Specops (plus de 4 milliards de mots de passe uniques compromis connus). L’avantage de l’audit est qu’il ne nécessite que quelques instants.

Vous pouvez également utiliser la fonction de scan continu de Specops Password Policy avec Breached Password Protection qui confrontera les mots de passe Active Directory de vos utilisateurs à notre base de données complète et pourra produire un rapport plus exhaustif. Cela mettra probablement en évidence d’autres utilisateurs à risque après avoir obtenu des gains rapides avec Specops Password Auditor, mais cette analyse prend plus de temps à s’exécuter.

Déplacer les échéances pour les adapter à un calendrier spécifique

Il est possible que vous souhaitiez que le déploiement soit terminé d’ici une certaine date, peut-être avant votre prochain test d’intrusion ou audit. Il se peut que cela ne corresponde pas à la date à laquelle certains (ou de nombreux) utilisateurs finaux doivent changer leurs mots de passe. Certaines organisations peuvent même avoir mis en place des mots de passe qui n’expirent jamais. Il existe quelques tactiques que vous pouvez utiliser ici. Si vous avez besoin d’aide concernant l’expiration des mots de passe, voici un petit guide sur la modification de l’attribut pwdlastset. Nous avons également publié un excellent article de blog sur la façon dont vous pouvez programmer l’expiration des mots de passe à une date précise ultérieure, pour une partie ou la totalité de vos utilisateurs.

Si vous choisissez de le faire, nous vous recommandons vivement d’utiliser les courriels d’expiration de mot de passe qui font partie de votre solution Specops Password Policy afin de communiquer sur tout changement d’expiration. N’oubliez pas non plus que vous pouvez également utiliser Specops Password Auditor pour obtenir un rapport sur les mots de passe des utilisateurs prévus pour expirer d’ici un an – cela vous sera utile pour identifier les utilisateurs finaux que vous souhaitez cibler en premier.

Par exemple, si un groupe de mots de passe va expirer dans les prochains jours ou les prochaines semaines, pourquoi ne pas appliquer la nouvelle politique à ces utilisateurs en premier lieu ? Les utilisateurs qui ont encore beaucoup de temps avant que leur mot de passe n’expire parce qu’ils l’ont changé récemment peuvent trouver frustrant de devoir le changer à nouveau si rapidement – vous pouvez choisir de les laisser avec leur mot de passe actuel jusqu’à l’approche de votre date du déploiement.

Gérer les utilisateurs distants avec différents appareils

C’est très bien si vous pouvez installer le client Specops Authentication sur chaque client et serveur Windows qui présente un bureau à vos utilisateurs, tels que les ordinateurs portables Windows 10/11, les serveurs, les serveurs de terminaux/Citrix, et d’autres systèmes Windows VDI. Notre client fournit à vos utilisateurs finaux un retour d’information dynamique sur l’écran de réinitialisation du mot de passe sur la manière de se conformer à votre nouvelle politique de mots de passe. Dans la mesure du possible, il est préférable de déployer le client avant de mettre en place votre nouvelle politique, car il fonctionne avec les règles standard de Microsoft ainsi qu’avec les nouvelles règles de Specops. Cela réduira immédiatement le nombre d’appels auprès du helpdesk grâce aux conseils clairs qu’il fournit.

L’emplacement de vos utilisateurs au moment où vous leur demanderez de modifier leur mot de passe est un autre facteur à prendre en compte. Si tout le monde vient dans vos locaux à un moment ou à un autre, c’est assez facile. Tous auront un accès direct à un contrôleur de domaine (DC) et seront invités à modifier leur mot de passe lors de leur prochaine connexion à leur appareil Windows connecté au domaine. Cependant, s’ils n’utilisent pas un appareil Windows relié au domaine (par exemple Mac, iOS, Android, Chromebook, Linux, ou PC ou ordinateur portable uniquement relié à Entra ID), le client Specops ne sera pas installé et ils n’obtiendront pas l’invitation à changer de mot de passe.

Une autre chose à garder à l’esprit avec les utilisateurs à distance. Même s’ils ont des appareils reliés à un domaine, si vous n’avez pas de « VPN toujours actif » fournissant cette ligne de site à vos DC, ils ne seront pas invités à changer de mot de passe. Ces utilisateurs finaux rencontreront également toutes sortes de problèmes avec les informations d’identification mises en cache – changer leur mot de passe lors de la prochaine connexion sera pour le moins difficile et déroutant. C’est là qu’un système de réinitialisation de mot de passe en libre-service peut s’avérer très utile.

Un système de réinitialisation du mot de passe en libre-service (SSPR)

Si vous disposez d’une solution SSPR orientée vers l’extérieur, cela peut vous aider à résoudre le problème des dispositifs non rattachés à un domaine, mentionné dans la section précédente. Cependant, n’oubliez pas que si ce n’est pas Specops uReset , vos utilisateurs ne recevront aucun retour d’information utile sur la politique de mots de passe, et que seul Specops uReset a la capacité de mettre à jour les informations d’identification mises en cache sur un ordinateur portable distant. Nous vous recommandons d’inclure dans vos courriels d’avertissement d’expiration une note indiquant que l’utilisateur doit utiliser le système SSPR pour modifier ses mots de passe ou attendre sa prochaine visite sur site avant d’essayer de les modifier.

Vous avez besoin d’aide ?

Les meilleures pratiques décrites dans ce billet sont des conseils généraux, car chaque organisation est différente. Cependant, si vous avez des questions spécifiques liées à votre propre organisation, vos gestionnaires de compte Specops et les équipes d’intégration sont toujours là pour vous aider. Cela fait partie du service que nous offrons – n’hésitez donc pas à nous contacter et à prendre rendez-vous pour discuter de vos besoins spécifiques.