Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Comment créer des politiques de mot de passe granulaires dans Active Directory ?
Au cours des huit premières années d’existence d’Active Directory, la seule façon native de disposer de plusieurs stratégies de mot de passe dans votre forêt AD était d’avoir plusieurs domaines. Lorsque le serveur 2008 est sorti, Microsoft a introduit le concept de politiques de mot de passe à grain fin (FGPP), qui autorise différentes politiques au sein d’un même domaine.
Traditionnellement, la politique de domaine par défaut est l’endroit où les paramètres de la politique de mot de passe standard sont configurés. Il est conçu de façon un peu étrange, sous la catégorie de configuration de l’ordinateur de cette GPO, ce qui pose un problème lorsqu’on veut appliquer différentes politiques de mot de passe à différents utilisateurs. Ainsi, pour s’éloigner de l’utilisation de la stratégie de groupe, le concept d’un conteneur de paramètres de mot de passe dans AD, et l’application des FGPP par groupe de sécurité AD, plutôt qu’une GPO liée à une OU, a été introduit.
L’interface originale pour configurer les FGPP était, excusez-moi du terme, horrible. Les anciens en conviendront. Vous deviez utiliser des outils effrayants tels que Adsiedit.msc, ou des outils tiers utiles tels que Specops Password Policy Basic. Cependant, avec l’avènement de Server 2012, un outil de configuration différent (écrit en PowerShell) a été introduit – Active Directory Administrative Center (ADAC), qui est ce que nous allons utiliser pour évaluer ce que FGPP peut vous offrir.
Centre d’administration Active Directory
Vous pouvez trouver ADAC sous les Outils d’administration de Windows. Si vous avez des privilèges de niveau administrateur de domaine, vous verrez “system\Password Settings Container” sous votre nom de domaine à gauche.
Si vous sélectionnez ce lien, vous verrez que vous pouvez choisir « New>Password Settings » sur la droite.
L’interface de configuration suivante sera lancée.
Vous disposez ici des mêmes options de base que dans la politique de domaine par défaut :
- Nom – Donnez-lui un nom qui reflètera le groupe ou l’individu auquel cette politique s’appliquera.
- Priorité – Si plusieurs FGPP s’appliquent à un utilisateur, par exemple s’il fait partie de plusieurs groupes AD, la priorité définit la politique à appliquer.
- Longueur minimale du mot de passe – Tous les mots de passe doivent comporter un nombre minimal de caractères.
- Historique des mots de passe – Le nombre de mots de passe qui doivent être mémorisés par AD pour chaque utilisateur afin qu’ils ne puissent pas être réutilisés.
- Complexité requise – 3 des 5 types de caractères (supérieurs, inférieurs, chiffres, spéciaux et Unicode), ne doivent pas contenir le nom d’utilisateur.
- Stockez les mots de passe avec un cryptage réversible
- Protection contre les suppressions accidentelles
- Âge minimum du mot de passe – Empêche les utilisateurs de changer leur mot de passe plusieurs fois le même jour afin qu’ils dépassent ce qui a été défini dans le champ Historique du mot de passe et puissent réutiliser le même mot de passe.
- Âge maximal du mot de passe – Quand le mot de passe doit-il expirer ?
- Politique de verrouillage – Combien de fois l’utilisateur peut-il saisir un mot de passe incorrect avant que le compte ne soit verrouillé, et combien de temps doit-il rester verrouillé ?
- S’applique directement à – A qui cette politique doit-elle s’appliquer, soit à un utilisateur, soit à un groupe, vous ne pouvez pas l’appliquer à une OU.
Vous pouvez trouver le conteneur Password Settings dans Active Directory Users and Computers.
Si vous avez activé les fonctionnalités avancées, vous le trouverez sous le Password Settings Container.
Si un objet s’y trouve, vous pouvez afficher ses propriétés et ses paramètres configurés sous l’onglet “Attribute Editor”.
Comme vous pouvez le constater, il ne s’agit pas exactement d’une politique de mot de passe “granulaire”. La complexité est soit activée, soit désactivée. Il est intéressant de noter que même Microsoft considère désormais les paramètres de complexité comme une mesure anti-sécurité.
Si nous devons toujours vivre avec des mots de passe, il existe des solutions plus polyvalentes, conviviales et riches en fonctionnalités. Specops Password Policy vous permet de suivre les dernières directives du NIST et du NCSC, et offre un véritable contrôle fin sur toutes les exigences de la politique de mot de passe que vous pourriez avoir besoin d’appliquer à votre organisation, par exemple bloquer les mots de passe faibles, imposer une phrase de passe, interdire les mots de passe incrémentiels ou bloquer les caractères identiques consécutifs.
(Dernière mise à jour le 17/11/2021)