Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Le chiffrement réversible Active Directory expliqué
Si vous avez administré des stratégies de mot de passe dans Active Directory ou examiné les stratégies locales présentes dans le système d’exploitation client Windows, vous avez peut-être remarqué un paramètre intéressant contenu dans la section Stratégies de compte (Account Policy). Il s’agit de « Stocker les mots de passe à l’aide d’un chiffrement réversible » (Store passwords using reversible encryption). Qu’est-ce que ce paramètre et pourquoi pourriez-vous l’utiliser ?
Qu’est-ce que le paramètre « Stocker les mots de passe à l’aide d’un chiffrement réversible » ?
« Stocker les mots de passe à l’aide d’un chiffrement réversible » est un paramètre de stratégie dans Active Directory qui détermine si les mots de passe sont stockés d’une manière qui utilise un chiffrement réversible. Il stocke les mots de passe à l’aide d’un schéma de cryptage réversible qui peut être fourni lors du processus d’authentification. Active Directory prend en charge les applications existantes qui nécessitent des mots de passe sous forme de texte en clair pour fonctionner.
Cette stratégie est requise lors de l’utilisation de certaines applications tierces, mais le plus souvent requise avec l’authentification CHAP (Challenge Handshake Authentication Protocol) via l’accès à distance ou les services d’authentification Internet (IAS). Elle est également requise lors de l’utilisation de l’authentification Digest dans Internet Information Services (IIS).
Pourquoi activer le chiffrement réversible Active Directory ?
Le paramètre de stratégie peut s’appliquer aux applications qui utilisent des protocoles nécessitant la connaissance du mot de passe de l’utilisateur en texte clair. Par défaut, l’historique des mots de passe de l’utilisateur est crypté de manière irréversible, bien que certains cas d’utilisation puissent nécessiter un cryptage réversible. Pour prendre en charge certaines applications et leur authentification, Microsoft autorise le stockage des mots de passe à l’aide d’un cryptage réversible en raison de leur connaissance des mots de passe utilisateur.
Il existe quelques cas d’utilisation où ce paramètre est activé dans Active Directory. Par exemple :
- Challenge Handshake Authentication Protocol (CHAP) pour l’accès à distance ou les services d’authentification Internet (IAS)
- Authentification Digest des services d’information Internet (IIS)
- Exécution de la politique de mots de passe Specops sur Active Directory
Concernant les cas d’utilisation mentionnés ci-dessus, les organisations traiteront ce paramètre avec beaucoup de soin, car son activation a des implications importantes en matière de sécurité.
Il est fortement recommandé aux organisations de n’activer le cryptage réversible que si elles sont sûres que leurs contrôleurs de domaine sont sécurisés.
Considérations lors de l’activation et de la désactivation du chiffrement réversible
Si votre organisation doit activer ce paramètre dans Active Directory, il y a quelques directives à suivre. Parmi lesquelles :
- Assurez-vous que l’activation du paramètre est nécessaire pour votre entreprise.
- Utilisez la stratégie de groupe pour appliquer le paramètre à des utilisateurs spécifiques de manière granulaire et non au niveau du domaine pour tout le monde.
- Gardez à l’esprit que si vous activez le paramètre puis le désactivez, seuls les nouveaux mots de passe seront stockés à l’aide du cryptage unidirectionnel par défaut. Les mots de passe existants seront stockés à l’aide d’un cryptage réversible jusqu’à ce qu’ils soient modifiés.
Augmenter la force des mots de passe Active Directory
Les organisations doivent s’assurer qu’elles ont mis en place des politiques de mots de passe solides pour Active Directory. En plus de suivre les bonnes pratiques du secteur, il existe d’autres facteurs qui peuvent renforcer la bonne santé des mots de passe dans l’environnement. Ceux-ci incluent la vérification de l’environnement pour les mots de passe compromis et la surveillance proactive de ces types de mots de passe.
Specops Password Policy fournit aux organisations les outils nécessaires pour renforcer la sécurité de leurs mots de passe notamment avec sa connaissance des mots de passe compromis.
En savoir plus sur Specops Password Policy, cliquez ici.
(Dernière mise à jour le 12/04/2022)