Comment configurer les composants clés d’une politique de mots de passe dans Active Directory
Table of Contents
Une fois que vous avez planifié une nouvelle politique de mots de passe, il est temps de la mettre en pratique en définissant les bonnes configurations dans votre Active Directory. Si vous en êtes encore à l’étape de planification, nous vous recommandons de consulter nos conseils stratégiques pour planifier une politique de mots de passe. Mais si vous cherchez des indications sur où configurer les composants de la politique, vous êtes au bon endroit. Nous vous montrerons où les définir dans vos outils Active Directory par défaut et aussi où les configurer si vous utilisez Specops Password Policy.
Ces étapes proviennent de notre récent rapport : « Comment déployer une politique de mots de passe dans Active Directory : Guide de bout en bout ». En plus de l’aide à la configuration, vous obtiendrez des conseils de planification, des conseils pour un déploiement en douceur et des orientations sur la communication avec les utilisateurs finaux. Téléchargez le rapport complet ici.
Configuration des composants clés de la politique de mots de passe
Nous vous guiderons dans la configuration des composants clés suivants de la politique de mots de passe. Cette liste n’est pas exhaustive, mais ce sont cinq paramètres que nous nous attendrions à voir couverts par presque toutes les politiques de mots de passe :
- Longueur du mot de passe
- Complexité du mot de passe
- Interdiction de mots de passe
- Expiration du mot de passe
- Historique des mots de passe
Longueur du mot de passe
Les mots de passe plus longs sont beaucoup plus difficiles à craquer par des techniques de force brute. Nous recommandons d’aller bien au-delà des huit caractères standard utilisés par de nombreuses organisations – des longueurs de 15 caractères et plus sont idéales. Encourager les utilisateurs finaux à créer des phrases de passe est le meilleur moyen d’obtenir des mots de passe forts qui restent faciles à retenir.
Dans Active Directory, vous pouvez définir votre longueur de base pour tous les utilisateurs en utilisant la stratégie de groupe ici :
Et si vous souhaitez avoir différentes longueurs s’appliquant à des sous-ensembles d’utilisateurs (définis par des groupes de sécurité), vous pouvez utiliser la politique de mots de passe à granularité fine (FGPP) – ceci est configuré en utilisant le centre d’administration Active Directory (ADAC) :
Voici où définir la longueur du mot de passe dans Specops Password Policy :
Ou ici si vous allez utiliser des phrases de passe :
Complexité du mot de passe
L’ajout d’exigences de complexité augmente considérablement les combinaisons de caractères possibles. Un mot de passe haché MD5 de 15 caractères composé de chiffres, de lettres majuscules, de lettres minuscules et de symboles prendrait 22,7 milliards d’années à craquer. Cependant, un mot de passe également complexe de huit caractères ne prendrait que trois heures à craquer – il est donc important de combiner longueur et complexité.
Il n’y a aucun contrôle sur la « complexité » dans la stratégie de groupe Microsoft ou les paramètres de politique de mots de passe à granularité fine. Elle peut simplement être définie sur « activée », ce qui signifie :
- 3 des 5 types de caractères différents (majuscules, minuscules, chiffres, spéciaux et Unicode)
- Ne doit pas contenir votre nom d’utilisateur (prénom, nom, nom d’affichage ou sAMAccountName)
Stratégie de groupe :
Politique de mots de passe à granularité fine :
Voici où définir une complexité de mot de passe personnalisée dans Specops Password Policy :
Les phrases de passe n’utilisent généralement pas la complexité, c’est plutôt la longueur qui fournit la force. Cependant, vous pouvez utiliser des expressions régulières pour créer la propre définition d’une phrase de passe de votre organisation :
Interdiction de mots de passe
Vous pouvez choisir d’interdire certaines listes de mots de passe compromis connus. Avec certains outils, il est également possible de créer des dictionnaires personnalisés de mots spécifiques à votre organisation ou industrie. Par exemple, des noms d’entreprise ou de produits que les utilisateurs finaux pourraient être tentés d’utiliser.
Malheureusement, il n’y a aucune possibilité pour ce composant clé de politique de mots de passe dans l’ensemble d’outils Microsoft AD standard. Voici où interdire des ensembles spécifiques de mots de passe dans Specops Password Policy :
Expiration du mot de passe
Les directives précédentes suggéraient aux organisations d’exiger des changements de mots de passe tous les 60, 90 ou 120 jours. Cependant, cela conduit souvent les utilisateurs à changer « Password1 » en « Password2 ». Considérez le meilleur cycle de changement de mot de passe pour votre organisation – il y a plus d’informations sur les meilleures pratiques d’expiration des mots de passe ici.
N’oubliez pas que Specops Password Policy vous permet également de récompenser les utilisateurs qui définissent des mots de passe plus longs en accordant des délais d’expiration plus longs. Nous appelons cela le vieillissement des mots de passe basé sur la longueur. Dans l’exemple ci-dessous, vous pouvez voir que bien que cette politique autorise encore des mots de passe plus courts, les mots de passe plus longs de 15-19 caractères sont récompensés par une expiration d’un an et si un utilisateur choisit une phrase de passe de 20+ caractères, elle n’expirera que si le mot de passe devient compromis.
Voici comment configurer l’expiration des mots de passe et le vieillissement basé sur la longueur dans Specops Password Policy :
Microsoft n’a pas de concept de vieillissement basé sur la longueur, mais vous pouvez configurer différents délais d’expiration par politique, par exemple l’expiration de la stratégie de groupe définira vos paramètres globaux, puis utiliser la politique de mots de passe à granularité fine pour appliquer un délai d’expiration différent à un autre groupe d’utilisateurs.
Stratégie de groupe :
Politique de mots de passe à granularité fine :
Historique des mots de passe
L’historique des mots de passe détermine le nombre de mots de passe uniques qu’un utilisateur doit utiliser avant de pouvoir réutiliser un ancien mot de passe. C’est un paramètre important en raison de la réutilisation des mots de passe et de ses risques en cascade.
Vous pouvez définir l’historique des mots de passe dans la stratégie de groupe :
Et aussi avec la politique de mots de passe à granularité fine :
Voici comment configurer l’historique des mots de passe dans Specops Password Policy :
Assurez-vous de pouvoir vérifier les mots de passe compromis
Les politiques de mots de passe peuvent empêcher la création de mots de passe faibles, mais les mots de passe forts peuvent aussi être compromis. Nos recherches ont révélé que 83 % des mots de passe compromis satisfaisaient en fait la plupart des normes réglementaires. Ces mots de passe peuvent avoir été compromis par des attaques de phishing, volés par des logiciels malveillants, ou compromis par la réutilisation de mots de passe (par exemple, un employé réutilise son mot de passe Active Directory professionnel sur un site personnel douteux qui devient compromis). Certains outils vérifient contre des listes de mots de passe compromis lors d’événements d’expiration ou de réinitialisation, bien que cela puisse ne pas être suffisant.
Un outil tel que Specops Password Policy avec Breached Password Protection offre une fonction de scan continu qui vérifie tous vos mots de passe Active Directory contre notre API Breached Password Protection pour détecter les compromissions une fois par jour. Cela protège contre l’utilisation de plus de 4 milliards de mots de passe compromis connus uniques.
La base de données inclut des données de mots de passe provenant de fuites connues, notre propre système de pot de miel qui collecte les mots de passe utilisés dans de vraies attaques par pulvérisation de mots de passe, et des identifiants volés obtenus par des logiciels malveillants. Intéressé d’en savoir plus ? Essayez Specops Password Policy gratuitement.
Vous avez trouvé les recommandations de ce blog utiles ? Lisez le rapport complet « Comment déployer une politique de mots de passe dans Active Directory : Guide de bout en bout » ici.
(Dernière mise à jour le 22/07/2025)