Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Comment vérifier les exigences de mots de passe dans Active Directory ?
Les stratégies de mot de passe Active Directory ne sont pas toujours ce qu’elles semblent être – il y a souvent des divergences sur des paramètres tels que la longueur du mot de passe, sa complexité, son âge maximal, ou encore des stratégies de mot de passe à granularité fine configurées dans le domaine et oubliées depuis longtemps. Dans cet article, nous allons examiner comment vérifier les exigences en matière de mot de passe dans Active Directory, ainsi que les endroits où les politiques de mot de passe sont configurées et stockées.
Comprendre la configuration des politiques de mot de passe dans Active Directory
Pour s’assurer que les politiques de mot de passe sont correctement mises en œuvre, l’administrateur système doit d’abord comprendre les paramètres de politique de mot de passe disponibles. Dans Active Directory, il existe six politiques disponibles.
Appliquer l’historique des mots de passe – dans le but d’empêcher la réutilisation des mots de passe. Cette politique détermine combien de mots de passe précédents sont stockés dans Active Directory et ne peuvent donc plus être définis comme mot de passe à l’avenir.
Âge maximal du mot de passe – définit la durée maximale pendant laquelle un utilisateur peut s’abstenir de réinitialiser son mot de passe.
Longueur minimale du mot de passe – bien que la longueur minimale recommandée du mot de passe soit de 8 caractères, elle peut également être fixée à 0. Si elle est fixée à 0, aucun mot de passe ne sera requis.
Âge minimum du mot de passe – empêche les utilisateurs de réinitialiser leur mot de passe trop fréquemment, peut-être pour essayer de revenir à un mot de passe plus facile à retenir déjà utilisé auparavant.
Le mot de passe doit répondre à des exigences de complexité – si la politique est activée, un utilisateur ne peut pas utiliser le nom du compte dans son mot de passe ; 3 types de symboles doivent être utilisés dans le mot de passe. Ces symboles sont les suivants : chiffres (0-9), lettres majuscules, lettres minuscules et caractères spéciaux ($, #, %, etc.).
Stocker les mots de passe à l’aide d’un chiffrement réversible – les mots de passe des utilisateurs sont stockés de manière chiffrée dans la base de données AD, mais dans certains cas, vous devez autoriser certaines applications à accéder aux mots de passe des utilisateurs. Si ce paramètre de stratégie est activé, les mots de passe sont moins protégés (presque en texte clair).
Politique de mot de passe par défaut du domaine Active Directory (Default Domain Policy)
Cette stratégie de mot de passe est la stratégie de mot de passe par défaut (et avant Windows 2008 et l’introduction des stratégies de mot de passe à grain fin, la seule) pour les utilisateurs du domaine.
Get-ADDefaultDomainPasswordPolicy
Dans la plupart des environnements, le résultat obtenu ici correspondra à ce qui se trouve dans la politique de domaine par défaut. Si ce n’est pas le cas, nous devons décortiquer entièrement ce que fait AD ici :
La politique de mot de passe est lue à partir de la politique de groupe et appliquée à ces attributs par le contrôleur de domaine détenant le rôle d’émulateur PDC lorsqu’il exécute gpupdate. Mais les paramètres ne doivent pas nécessairement provenir de la stratégie de domaine par défaut intégrée. En réalité, ce sont les critères d’une GPO de politique de mot de passe :
- La GPO doit être liée à la racine du domaine.
- La GPO doit être appliquée au compte de l’ordinateur de l’émulateur PDC.
Si la politique de mot de passe de votre domaine ne correspond pas à la GPO de la politique de domaine par défaut, recherchez une autre GPO liée à la racine du domaine avec des paramètres de politique de mot de passe, et bloquez l’héritage sur l’OU des contrôleurs de domaine.
Comment activer plusieurs stratégies de mot de passe dans Active Directory
Si plusieurs GPO liées à la racine ont un paramètre de stratégie de mot de passe, la GPO ayant l’ordre de liaison le plus élevé, aura la priorité pour ce paramètre particulier. Vérifiez que toutes les GPOs liées à la racine ont des paramètres de politique de mot de passe. Par exemple, ici nous avons ajouté une deuxième GPO appelée « Domain Password Policy » avec un ordre de lien plus élevé que la politique de domaine par défaut et les paramètres de politique de mot de passe. Les paramètres de la stratégie de mot de passe dans cette GPO remplaceront ceux de la stratégie de domaine par défaut.
Politiques de mot de passe à granularité fine
Dans Windows 2008, Microsoft a introduit la fonction FGPP (Fine-Grained Password Policies), qui permet aux administrateurs de configurer différentes politiques de mot de passe en fonction des groupes de sécurité Active Directory.
Remarque : Nous constatons parfois que les administrateurs tentent de définir plusieurs stratégies de mot de passe dans AD en créant des GPO supplémentaires avec des paramètres de stratégie de mot de passe et en les appliquant aux OU des utilisateurs. Cela ne fonctionne pas dans Active Directory ; les GPO avec des paramètres de stratégie de mot de passe Active Directory liées à tout autre endroit que la racine du domaine n’ont aucun effet sur les exigences de mot de passe des utilisateurs. Le raisonnement est logique d’une certaine manière – les paramètres de la stratégie de mot de passe apparaissent dans le cadre des “paramètres de l’ordinateur” et n’ont donc aucune incidence sur les objets utilisateur. Néanmoins, il s’agit au mieux d’une conception contre-intuitive de Microsoft.
La politique de mot de passe de Specops, en revanche, utilise un paramétrage GPO basé sur l’utilisateur et applique directement les objets de paramétrage de la politique de mot de passe aux objets utilisateur où elle est appliquée, ce qui rend l’expérience administrative beaucoup plus intuitive.
Pour créer ou afficher des stratégies de mot de passe à granularité fine, vous pouvez utiliser ADSIEdit, PowerShell ou le centre d’administration Active Directory.
Les objets de stratégie de mot de passe à grain fin sont stockés dans le conteneur System\Password Settings dans AD. Comme les stratégies de mot de passe à grain fin ne font pas partie de la stratégie de groupe, il n’est pas nécessaire d’effectuer un gpupdate lors des modifications ; elles prennent effet dès que les paramètres sont configurés (à l’exclusion de tout délai de réplication entre vos contrôleurs de domaine).
Ici, nous avons un domaine avec une seule politique à grain fin appliquée au groupe Admins du domaine :
Pour les membres des groupes répertoriés dans l’attribut “s’applique à” de la politique de mot de passe à granularité fine, les paramètres de politique de mot de passe et de verrouillage de compte de la politique à grain fin remplaceront ceux de la politique de mot de passe de domaine par défaut. En cas d’application de plusieurs politiques à grain fin sur un utilisateur donné, la valeur de « precedence » (ou priorité) définie dans chaque FGPP détermine la politique qui l’emportera.
Pour confirmer quelle politique à grain fin est appliquée à un utilisateur, recherchez-le dans la recherche globale du centre administratif Active Directory, puis choisissez “view resultant password settings” dans le menu des tâches.
Notez que si cette commande ne renvoie aucun résultat, l’utilisateur est affecté par la politique de mot de passe de domaine par défaut et non par une politique à granularité fine.
Specops Password Auditor
Bien qu’il soit certainement bon de comprendre comment vos paramètres de mot de passe Active Directory sont assemblés, Specops Password Auditor peut offrir un aperçu de vos politiques de mot de passe Active Directory actuelles, de leur portée et de la façon dont elles se situent par rapport à un certain nombre d’exigences de conformité ou de recommandations, notamment celles de l’ANSSI ou encore de la CNIL. Password Auditor est disponible en téléchargement gratuit.
Questions fréquemment posées
Comment puis-je trouver et modifier ma politique de mot de passe Active Directory ?
Vous pouvez trouver votre politique de mots de passe AD actuelle pour un domaine spécifique soit dans Configuration de l’ordinateur -> Stratégies -> Paramètres Windows -> Paramètres de sécurité -> Stratégies de compte -> Politique de mot de passe via la console de gestion, soit en utilisant la commande PowerShell Get-ADDefaultDomainPasswordPolicy.
Qu’est-ce qu’une stratégie de mot de passe sur le serveur Windows ?
La stratégie de mot de passe du serveur Windows contrôle les mots de passe d’accès aux serveurs Windows.
Comment trouver, modifier ou désactiver une stratégie de mot de passe dans Windows Server ?
Localisez le GPO dans la console de gestion des stratégies de groupe et cliquez sur Modifier.
Quels paramètres de stratégie de mots de passe peut-on modifier dans Active Directory ?
Six stratégies peuvent être modifiées dans Active Directory : Renforcement de l’historique des mots de passe, l’âge maximum des mots de passe, l’âge minimum des mots de passe, la longueur minimum des mots de passe, les exigences de complexité auxquelles le mot de passe doit répondre et le stockage des mots de passe à l’aide d’un cryptage réversible.
Peut-on activer plusieurs stratégies de mots de passe dans Active Directory ?
Oui, mais si plusieurs objets de stratégie de groupe (GPO) liés ont un paramètre de stratégie de mot de passe différent, le GPO ayant le niveau de liaison le plus élevé sera prioritaire.
Qu’est-ce qu’une politique de mots de passe à granularité fine (FGPP) ?
Microsoft a introduit la fonctionnalité « Fine-Grained Password Policies » (FGPP) dans Windows 2008. La FGPP permet aux administrateurs de configurer différentes politiques de mot de passe en fonction de leurs groupes de sécurité Active Directory. Les objets FGPP sont stockés dans le conteneur SystemPassword Settings d’Active Directory
(Dernière mise à jour le 22/08/2023)