Commandes PowerShell utiles pour gérer les stratégies de mot de passe d’Active Directory
Table of Contents
La gestion des stratégies de mot de passe dans Active Directory est une tâche essentielle pour un administrateur système gérant des environnements AD DS. Les stratégies de mot de passe aident à appliquer les meilleures pratiques de stratégie de mot de passe afin que les mots de passe ne soient pas facilement devinés ou compromis. La gestion et la configuration des paramètres de stratégie de mot de passe peuvent non seulement être effectuées depuis l’Éditeur de gestion des stratégies de groupe, mais aussi en utilisant PowerShell.
Combiner la gestion d’Active Directory avec la flexibilité et la puissance de PowerShell peut aider à optimiser les tâches de gestion des stratégies de mot de passe. Puisque Microsoft dispose de modules PowerShell officiels intégrés qui permettent aux administrateurs d’interagir avec, configurer et gérer les paramètres d’Active Directory, il est facile de commencer. Nous expliquerons comment procéder et vous donnerons quelques exemples concrets à essayer.
Stratégies de mot de passe d’Active Directory
Dans Active Directory, les paramètres de stratégie de domaine par défaut régissent les paramètres de stratégie de mot de passe pour tous les comptes d’utilisateur. Cependant, une organisation peut avoir besoin de définir différentes stratégies pour différents utilisateurs ou groupes, qui sont connues sous le nom de stratégies de mot de passe à granularité fine.
L’importance des stratégies de mot de passe
Les stratégies de mot de passe sont un aspect critique de l’infrastructure de sécurité d’une organisation. Elles aident à atténuer les risques de sécurité tels que les attaques par force brute et la compromission des mots de passe d’entreprise en appliquant des exigences comme la longueur minimale du mot de passe, l’âge maximal du mot de passe et l’historique des mots de passe.
Les utilisateurs finaux ont tendance à créer des mots de passe faibles qui sont généralement facilement devinés et sujets aux campagnes d’attaque par force brute des pirates. Pire encore, les comptes d’administrateur de domaine de haut niveau peuvent avoir des mots de passe faibles ou même plusieurs comptes avec le même mot de passe.
Stratégies de mot de passe dans Active Directory
Les paramètres de stratégie de mot de passe d’Active Directory sont généralement configurés via la Console de gestion des stratégies de groupe (GPMC). La Stratégie de domaine par défaut dans Microsoft Active Directory inclut une stratégie de mot de passe par défaut qui peut être modifiée pour répondre aux besoins de l’organisation. Ci-dessous se trouve une vue de la Stratégie de domaine par défaut affichée dans l’éditeur de gestion des stratégies de groupe.
Paramètres de mot de passe de stratégie de groupe par défaut
Vous pouvez afficher les paramètres de stratégie de domaine par défaut dans la Console de gestion des stratégies de groupe (GPMC). Après avoir lancé gpmc.msc depuis une invite d’exécution ou cmd, ces paramètres se trouvent sous « Configuration ordinateur » -> « Stratégies » -> « Paramètres Windows » -> « Paramètres de sécurité » -> « Stratégies de compte » -> « Stratégie de mot de passe ».
Les paramètres de stratégie de mot de passe incluent les éléments suivants :
- Appliquer l’historique des mots de passe – Définir un nombre défini de mots de passe mémorisés, empêchant l’utilisateur de définir un mot de passe qu’il a utilisé récemment. Cela permet essentiellement à AD de stocker les hachages de mots de passe pour déterminer si le mot de passe a été utilisé auparavant.
- Âge maximal du mot de passe – Définir l’âge maximal du mot de passe pour appliquer vos stratégies d’expiration de mot de passe lorsqu’un mot de passe expire.
- Âge minimal du mot de passe – Choisir un âge minimal du mot de passe, qui détermine la période pendant laquelle un mot de passe doit être utilisé avant que l’utilisateur puisse le changer.
- Longueur minimale du mot de passe – Définir la longueur minimale du mot de passe pour empêcher l’utilisation de mots de passe très courts.
- Passwords must meet complexity requirements – This setting determines whether passwords must meet complexity requirements. If this policy is enabled, passwords must meet the following minimum requirements:
- Ne pas contenir le nom de compte de l’utilisateur ou des parties du nom complet de l’utilisateur qui dépassent deux caractères consécutifs
- Comporter au moins six caractères
- Contain characters from three of the following four categories:
- Caractères majuscules anglais (A à Z)
- Caractères minuscules anglais (a à z)
- Chiffres en base 10 (0 à 9)
- Caractères non alphabétiques (par exemple, !, $, #, %)
- Les exigences de complexité sont appliquées lorsque les mots de passe sont modifiés ou créés.
- Cliquez ici pour un approfondissement sur la vérification des exigences de complexité des mots de passe dans Active Directory.
- Stocker les mots de passe en utilisant un chiffrement réversible – Fournit un support pour les applications qui utilisent des protocoles nécessitant la connaissance du mot de passe de l’utilisateur à des fins d’authentification. Stocker les mots de passe en utilisant un chiffrement réversible équivaut essentiellement à stocker des versions en texte brut des mots de passe. Pour cette raison, cette stratégie ne devrait jamais être activée à moins que les exigences d’application ne l’emportent sur le besoin de protéger les informations de mot de passe.
PowerShell pour la gestion des stratégies de mot de passe d’Active Directory
Comme mentionné, PowerShell est un excellent outil pour automatiser le processus de gestion et de configuration des stratégies de mot de passe d’Active Directory. Voici quelques exemples de commandes PowerShell pour gérer les paramètres courants de stratégie de mot de passe AD.
Exemple 1 : obtenir la stratégie de mot de passe de domaine par défaut
Import-Module ActiveDirectory Get-ADDefaultDomainPasswordPolicy
Exemple 2 : définir la longueur minimale du mot de passe
Vous pouvez utiliser PowerShell pour définir la longueur minimale du mot de passe en utilisant ce qui suit :
Set-ADDefaultDomainPasswordPolicy -Identity "domain.com" -MinPasswordLength 10
Exemple 3 : définir l’âge minimal du mot de passe
Définir l’âge minimal du mot de passe avec le code PowerShell suivant :
Set-ADDefaultDomainPasswordPolicy -Identity "domain.com" -MinPasswordAge 2.00:00:00
Exemple 4 : créer de nouvelles stratégies de mot de passe à granularité fine
Avec les versions ultérieures de Microsoft Active Directory Domain Services, vous pouvez maintenant créer plusieurs objets de paramètres de mot de passe (PSO) pour appliquer différentes stratégies de mot de passe pour différents utilisateurs, ordinateurs, emplacements, etc.
Par exemple :
# Import the necessary Active Directory module Import-Module ActiveDirectory # Create a new PSO New-ADFineGrainedPasswordPolicy -Name "TestPasswordPolicy" -Precedence 500 -ComplexityEnabled $true -ReversibleEncryptionEnabled $false -MinPasswordLength 8 -PasswordHistoryCount 24 -MaxPasswordAge (New-TimeSpan -Days 60) -MinPasswordAge (New-TimeSpan -Days 1) -LockoutThreshold 5 -LockoutObservationWindow (New-TimeSpan -Minutes 30) -LockoutDuration (New-TimeSpan -Minutes 30)
Ci-dessous, nous utilisons une commande similaire pour créer un nouvel objet PSO.
Cette commande crée un nouveau PSO avec les paramètres suivants :
- Nom : TestPasswordPolicy
- Priorité : 500
- Complexité du mot de passe : Activée
- Chiffrement réversible : Désactivé
- Longueur minimale du mot de passe : 8 caractères
- Nombre d’historique des mots de passe : Les 24 derniers mots de passe
- Âge maximal du mot de passe : 60 jours
- Âge minimal du mot de passe : 1 jour
- Seuil de verrouillage de compte : 5 tentatives de connexion échouées
- Fenêtre d’observation de verrouillage : 30 minutes
- Durée de verrouillage : 30 minutes
N’oubliez pas de remplacer « CustomPasswordPolicyName » par le nom de votre choix et d’ajuster les autres paramètres selon les exigences de stratégie de mot de passe de votre organisation.
Après avoir créé le PSO, vous devez l’appliquer à un utilisateur ou un groupe. Voici comment vous pourriez appliquer cette nouvelle stratégie à un groupe nommé « TestGroup » :
# Apply the PSO to a group Add-ADFineGrainedPasswordPolicySubject "MyCustomPasswordPolicy" -Subjects "TestGroup"
Note : Les stratégies de mot de passe à granularité fine et les cmdlets associés pour les gérer (comme New-ADFineGrainedPasswordPolicy) nécessitent au moins le niveau fonctionnel de domaine Windows Server 2008.
Points à retenir avec l’automatisation des stratégies de mot de passe PowerShell dans Active Directory
1. Stratégies de mot de passe à granularité fine
Souvent négligées, les stratégies de mot de passe à granularité fine dans Active Directory offrent un contrôle granulaire sur la stratégie de mot de passe de domaine. En permettant la création de plusieurs stratégies de mot de passe au sein du même domaine, elles sont parfaites dans les scénarios où des exigences de mot de passe uniques sont nécessaires pour des comptes d’utilisateur ou groupes spécifiques, mais pas pour d’autres.
2. Protéger contre les attaques par force brute avec les stratégies de verrouillage
Les attaques par force brute sur les comptes d’utilisateur sont une menace réelle. Utiliser efficacement les paramètres LockoutThreshold, LockoutObservationWindow et LockoutDuration dans votre stratégie de mot de passe Active Directory peut être votre première défense contre de telles tentatives. Rappelez-vous, chaque tentative de connexion échouée est une compromission potentielle des mots de passe d’entreprise.
3. Maintenir l’équilibre entre sécurité et commodité utilisateur
Appliquer une stratégie de mot de passe robuste empêche les mots de passe faibles et améliore la sécurité des mots de passe. Cependant, des stratégies trop strictes peuvent conduire à des changements fréquents de mots de passe, causant des inconvénients et possiblement menant à des pratiques non sécurisées comme noter les mots de passe.
Utilisez les commandes PowerShell pour trouver un équilibre, en vous concentrant sur des paramètres comme MinPasswordLength, MaxPasswordAge et PasswordHistoryCount. Votre objectif devrait être de maximiser la sécurité sans impacter significativement l’expérience utilisateur.
Gestion avancée des stratégies de mot de passe d’Active Directory avec Specops
Les paramètres standard dans AD, bien que pratiques, peuvent ne pas suffire pour appliquer des stratégies de mot de passe modernes et robustes. C’est là que des solutions plus avancées comme Specops Password Policy peuvent aider.
Specops Password Policy étend la fonctionnalité des paramètres de stratégie de mot de passe d’Active Directory. Il fonctionne avec vos stratégies de groupe existantes et n’est pas une solution de « remplacement complet ». Il vous permet d’améliorer vos stratégies de mot de passe en incorporant des fonctionnalités telles que la protection contre les mots de passe compromis, les listes de dictionnaires personnalisés et les paramètres de phrases de passe. Comme montré ci-dessous, Specops permet aux administrateurs d’avoir beaucoup plus d’options d’application de mots de passe que les paramètres par défaut d’Active Directory.
Les administrateurs peuvent appliquer les exigences de conformité et aider les utilisateurs à créer des mots de passe plus forts dans Active Directory avec des commentaires client dynamiques et informatifs. Ils peuvent étendre la fonctionnalité des stratégies de groupe et simplifier la gestion des stratégies de mot de passe à granularité fine. La solution peut cibler n’importe quel niveau GPO, groupe, utilisateur ou ordinateur avec des paramètres de dictionnaire et de phrase de passe.
Cependant, il est important de se rappeler que même les mots de passe forts peuvent être compromis par la réutilisation de mots de passe, les attaques de phishing ou les violations de données. Specops Password Policy a également l’option d’une fonctionnalité de protection contre les mots de passe compromis, qui est inexistante dans Active Directory par défaut. La protection contre les mots de passe compromis permet aux administrateurs de vérifier leurs environnements Active Directory contre la liste de Specops de plus de 4 milliards de mots de passe compromis uniques, y compris ceux utilisés dans les cyberattaques en ce moment même.
Avec l’augmentation continue des menaces de cybersécurité, des outils avancés comme Specops peuvent considérablement améliorer la posture de sécurité des mots de passe de votre organisation. En automatisant la gestion des paramètres de stratégie de mot de passe d’Active Directory et en adhérant aux meilleures pratiques de stratégie de mot de passe, vous pouvez vous assurer que votre organisation est bien équipée pour repousser les menaces de sécurité potentielles. Essayez Specops Password Policy gratuitement pour améliorer rapidement votre sécurité Active Directory.
(Dernière mise à jour le 22/07/2025)