Flexible Security for Your Peace of Mind

Comment vérifier les exigences de mots de passe dans Active Directory ?

Les stratégies de mot de passe Active Directory ne sont pas toujours ce qu’elles semblent être – il y a souvent des divergences sur des paramètres tels que la longueur du mot de passe, sa complexité, son âge maximal, ou encore des stratégies de mot de passe à granularité fine configurées dans le domaine et oubliées depuis longtemps. Dans cet article, nous allons examiner comment vérifier les exigences en matière de mot de passe dans Active Directory, ainsi que les endroits où les politiques de mot de passe sont configurées et stockées.

Comprendre la configuration des politiques de mot de passe dans Active Directory

Pour s’assurer que les politiques de mot de passe sont correctement mises en œuvre, l’administrateur système doit d’abord comprendre les paramètres de politique de mot de passe disponibles. Dans Active Directory, il existe six politiques disponibles.

Appliquer l’historique des mots de passe – dans le but d’empêcher la réutilisation des mots de passe. Cette politique détermine combien de mots de passe précédents sont stockés dans Active Directory et ne peuvent donc plus être définis comme mot de passe à l’avenir.

Âge maximal du mot de passe – définit la durée maximale pendant laquelle un utilisateur peut s’abstenir de réinitialiser son mot de passe.

Longueur minimale du mot de passe – bien que la longueur minimale recommandée du mot de passe soit de 8 caractères, elle peut également être fixée à 0. Si elle est fixée à 0, aucun mot de passe ne sera requis.

Âge minimum du mot de passe – empêche les utilisateurs de réinitialiser leur mot de passe trop fréquemment, peut-être pour essayer de revenir à un mot de passe plus facile à retenir déjà utilisé auparavant.

Le mot de passe doit répondre à des exigences de complexité – si la politique est activée, un utilisateur ne peut pas utiliser le nom du compte dans son mot de passe ; 3 types de symboles doivent être utilisés dans le mot de passe. Ces symboles sont les suivants : chiffres (0-9), lettres majuscules, lettres minuscules et caractères spéciaux ($, #, %, etc.).

Stocker les mots de passe à l’aide d’un chiffrement réversible – les mots de passe des utilisateurs sont stockés de manière chiffrée dans la base de données AD, mais dans certains cas, vous devez autoriser certaines applications à accéder aux mots de passe des utilisateurs. Si ce paramètre de stratégie est activé, les mots de passe sont moins protégés (presque en texte clair).

Politique de mot de passe par défaut du domaine Active Directory (Default Domain Policy)

Cette stratégie de mot de passe est la stratégie de mot de passe par défaut (et avant Windows 2008 et l’introduction des stratégies de mot de passe à grain fin, la seule) pour les utilisateurs du domaine.

Généralement (et par défaut dans un nouveau domaine AD), la GPO intégrée Default Domain Policy est utilisée pour définir la politique de mot de passe Active Directory, comme le montre la capture d’écran ci-dessus.
 
Cependant, il est important de noter que cette GPO ne définit la politique que dans Active Directory. Lorsque les mots de passe des utilisateurs sont définis, AD ne regarde pas la stratégie de groupe mais plutôt les attributs de l’objet de domaine racine dans AD ; il est toujours bon de revérifier ces valeurs pour s’assurer que la stratégie de mot de passe est définie correctement.
 
Examinons ces attributs à l’aide de PowerShell.  La première commande examine les noms d’attributs réels ; la seconde examine les mêmes attributs mais nous donne des noms plus clairs et traduit les valeurs temporelles, par exemple maxPwdAge, dans un format que nous pouvons facilement comprendre :

get-addomain | get-adobject -properties * | select *pwd*

Get-ADDefaultDomainPasswordPolicy

Dans la plupart des environnements, le résultat obtenu ici correspondra à ce qui se trouve dans la politique de domaine par défaut. Si ce n’est pas le cas, nous devons décortiquer entièrement ce que fait AD ici :

La politique de mot de passe est lue à partir de la politique de groupe et appliquée à ces attributs par le contrôleur de domaine détenant le rôle d’émulateur PDC lorsqu’il exécute gpupdate. Mais les paramètres ne doivent pas nécessairement provenir de la stratégie de domaine par défaut intégrée. En réalité, ce sont les critères d’une GPO de politique de mot de passe :

  • La GPO doit être liée à la racine du domaine.
  • La GPO doit être appliquée au compte de l’ordinateur de l’émulateur PDC.

Si la politique de mot de passe de votre domaine ne correspond pas à la GPO de la politique de domaine par défaut, recherchez une autre GPO liée à la racine du domaine avec des paramètres de politique de mot de passe, et bloquez l’héritage sur l’OU des contrôleurs de domaine.

Comment activer plusieurs stratégies de mot de passe dans Active Directory

Si plusieurs GPO liées à la racine ont un paramètre de stratégie de mot de passe, la GPO ayant l’ordre de liaison le plus élevé, aura la priorité pour ce paramètre particulier. Vérifiez que toutes les GPOs liées à la racine ont des paramètres de politique de mot de passe. Par exemple, ici nous avons ajouté une deuxième GPO appelée « Domain Password Policy » avec un ordre de lien plus élevé que la politique de domaine par défaut et les paramètres de politique de mot de passe. Les paramètres de la stratégie de mot de passe dans cette GPO remplaceront ceux de la stratégie de domaine par défaut.

Après avoir effectué ce changement et exécuté un gpupdate sur le PDC, nous pouvons voir que la complexité des mots de passe est maintenant activée, conformément à la GPO « Domain Password Policy : »
Héritage bloqué sur l’OU des contrôleurs de domaine

Si l’héritage est bloqué sur l’OU des contrôleurs de domaine, les paramètres de la politique de mots de passe des politiques liées à la racine du domaine seront ignorés. Dans cet exemple, nous avons bloqué l’héritage sur les contrôleurs de domaine OU et nous pouvons confirmer que la politique de domaine par défaut n’est pas dans la liste d’héritage de la politique de groupe – ce qui signifie que les changements de paramètres de politique de mot de passe dans cette GPO seront ignorés et que la politique de mot de passe actuelle sera “tatouée” sur le domaine.
Curieusement, lier la GPO directement à l’OU des contrôleurs de domaine n’a aucun effet. Les solutions ici sont soit de supprimer l’héritage bloqué sur L’OU des les contrôleurs de domaine, soit de définir le lien à la racine du domaine sur « enforced » (qui remplace l’héritage bloqué) – il faut juste faire attention aux autres paramètres dans ces GPOs quand on fait des changements sur l’héritage/les liens forcés. Quoi qu’il en soit, tant que la stratégie apparaît dans la liste de l’héritage de la stratégie de groupe, les paramètres devraient prendre effet.

Politiques de mot de passe à granularité fine

Dans Windows 2008, Microsoft a introduit la fonction FGPP (Fine-Grained Password Policies), qui permet aux administrateurs de configurer différentes politiques de mot de passe en fonction des groupes de sécurité Active Directory.

Remarque : Nous constatons parfois que les administrateurs tentent de définir plusieurs stratégies de mot de passe dans AD en créant des GPO supplémentaires avec des paramètres de stratégie de mot de passe et en les appliquant aux OU des utilisateurs. Cela ne fonctionne pas dans Active Directory ; les GPO avec des paramètres de stratégie de mot de passe Active Directory liées à tout autre endroit que la racine du domaine n’ont aucun effet sur les exigences de mot de passe des utilisateurs. Le raisonnement est logique d’une certaine manière – les paramètres de la stratégie de mot de passe apparaissent dans le cadre des “paramètres de l’ordinateur” et n’ont donc aucune incidence sur les objets utilisateur. Néanmoins, il s’agit au mieux d’une conception contre-intuitive de Microsoft.

La politique de mot de passe de Specops, en revanche, utilise un paramétrage GPO basé sur l’utilisateur et applique directement les objets de paramétrage de la politique de mot de passe aux objets utilisateur où elle est appliquée, ce qui rend l’expérience administrative beaucoup plus intuitive.

Pour créer ou afficher des stratégies de mot de passe à granularité fine, vous pouvez utiliser ADSIEdit, PowerShell ou le centre d’administration Active Directory.

Les objets de stratégie de mot de passe à grain fin sont stockés dans le conteneur System\Password Settings dans AD. Comme les stratégies de mot de passe à grain fin ne font pas partie de la stratégie de groupe, il n’est pas nécessaire d’effectuer un gpupdate lors des modifications ; elles prennent effet dès que les paramètres sont configurés (à l’exclusion de tout délai de réplication entre vos contrôleurs de domaine).

Ici, nous avons un domaine avec une seule politique à grain fin appliquée au groupe Admins du domaine :


Pour afficher la stratégie dans PowerShell :
get-adfinegrainedpasswordpolicy -filter *

Pour les membres des groupes répertoriés dans l’attribut “s’applique à” de la politique de mot de passe à granularité fine, les paramètres de politique de mot de passe et de verrouillage de compte de la politique à grain fin remplaceront ceux de la politique de mot de passe de domaine par défaut. En cas d’application de plusieurs politiques à grain fin sur un utilisateur donné, la valeur de « precedence » (ou priorité) définie dans chaque FGPP détermine la politique qui l’emportera.

Pour confirmer quelle politique à grain fin est appliquée à un utilisateur, recherchez-le dans la recherche globale du centre administratif Active Directory, puis choisissez “view resultant password settings” dans le menu des tâches.

Ou en utilisant PowerShell :

Get-ADUserResultantPasswordPolicy username

Notez que si cette commande ne renvoie aucun résultat, l’utilisateur est affecté par la politique de mot de passe de domaine par défaut et non par une politique à granularité fine.

Specops Password Auditor

Bien qu’il soit certainement bon de comprendre comment vos paramètres de mot de passe Active Directory sont assemblés, Specops Password Auditor peut offrir un aperçu de vos politiques de mot de passe Active Directory actuelles, de leur portée et de la façon dont elles se situent par rapport à un certain nombre d’exigences de conformité ou de recommandations, notamment celles de l’ANSSI ou encore de la CNIL. Password Auditor est disponible en téléchargement gratuit.

Téléchargez Specops Password Auditor pour vérifier rapidement les exigences de mots de passe dans Active Directory ici.

Questions fréquemment posées

Comment puis-je trouver et modifier ma politique de mot de passe Active Directory ?
Vous pouvez trouver votre politique de mots de passe AD actuelle pour un domaine spécifique soit dans Configuration de l’ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de compte -> Politique de mot de passe via la console de gestion, soit en utilisant la commande PowerShell Get-ADDefaultDomainPasswordPolicy.

Qu’est-ce qu’une stratégie de mot de passe sur le serveur Windows ?
La stratégie de mot de passe du serveur Windows contrôle les mots de passe d’accès aux serveurs Windows.

Comment trouver, modifier ou désactiver une stratégie de mot de passe dans Windows Server ?
Localisez le GPO dans la console de gestion des stratégies de groupe et cliquez sur Modifier.

Quels paramètres de stratégie de mots de passe peut-on modifier dans Active Directory ?
Six stratégies peuvent être modifiées dans Active Directory : Renforcement de l’historique des mots de passe, l’âge maximum des mots de passe, l’âge minimum des mots de passe, la longueur minimum des mots de passe, les exigences de complexité auxquelles le mot de passe doit répondre et le stockage des mots de passe à l’aide d’un cryptage réversible.

Peut-on activer plusieurs stratégies de mots de passe dans Active Directory ?
Oui, mais si plusieurs objets de stratégie de groupe (GPO) liés ont un paramètre de stratégie de mot de passe différent, le GPO ayant le niveau de liaison le plus élevé sera prioritaire.

Qu’est-ce qu’une politique de mots de passe à granularité fine (FGPP) ?
Microsoft a introduit la fonctionnalité « Fine-Grained Password Policies » (FGPP) dans Windows 2008. La FGPP permet aux administrateurs de configurer différentes politiques de mot de passe en fonction de leurs groupes de sécurité Active Directory. Les objets FGPP sont stockés dans le conteneur SystemPassword Settings d’Active Directory

(Dernière mise à jour le 22/08/2023)

Revenir sur le blog