Flexible Security for Your Peace of Mind

Pourquoi les informations d’identification mises en cache provoquent des blocages de comptes ?

Les comptes utilisateurs Active Directory peuvent être verrouillés pour un certain nombre de raisons, notamment lorsqu’on travaille à distance. Les systèmes Windows peuvent mettre en cache les informations d’identification des utilisateurs, connues en anglais sous le nom de « cache credentials ». Or, les informations d’identification mises en cache qui entraînent le verrouillage des comptes constituent un problème majeur pour les utilisateurs distants. 

Informations d’identification Active Directory mises en cache 

Pour comprendre l’objectif des informations d’identification mises en cache, examinons le processus normal de connexion en termes généraux. Lorsqu’un utilisateur se connecte sur un ordinateur relié à un domaine, ses informations d’identification sont transmises au contrôleur de domaine le plus proche dans l’environnement. Le contrôleur de domaine vérifie les informations d’identification, et soit authentifie l’utilisateur, soit rejette les informations d’identification saisies. 

Les travailleurs distants qui utilisent des ordinateurs portables reliés à un domaine pour accéder aux ressources de l’entreprise ne se connecteront pas directement au réseau de l’entreprise. Par extension, ces utilisateurs n’auront pas accès à un contrôleur de domaine pour répondre aux demandes d’authentification. La solution à ce problème est la mise en cache des informations d’identification. Comment fonctionnent les justificatifs d’identité mis en cache ?

Les informations d’identification mises en cache permettent à la station de travail ou à l’ordinateur portable distant de stocker la valeur hachée d’une connexion réussie dans un cache d’informations d’identification local qui permet à l’ordinateur de s’authentifier et de se connecter localement, qu’un contrôleur de domaine soit disponible ou non. Microsoft stocke la valeur hachée dans la clé de registre HKEY_LOCAL_MACHINE\SECURITY


Emplacement dans la base de registre des informations d’identification mises en cache

Il existe une autre valeur de registre que les organisations peuvent contrôler via la stratégie de groupe et qui configure la mise en cache des informations de connexion. Cette clé se trouve dans HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\\Current Version\Winlogon\ et s’appelle CachedLogonCount. Par défaut, il est défini sur 10 connexions mises en cache. Si la clé est définie sur « 0 » , la mise en cache des connexions est désactivée.

Le paramètre de stratégie de groupe se trouve dans la boîte de dialogue de stratégie de groupe, on y trouve une excellente explication du paramètre de stratégie comme suit :

« Ouverture de session interactive : Nombre de connexions précédentes à mettre en cache (au cas où le contrôleur de domaine ne serait pas disponible).

Les informations d’ouverture de session de chaque utilisateur unique sont mises en cache localement afin que, dans le cas où un contrôleur de domaine ne serait pas disponible lors des tentatives d’ouverture de session suivantes, l’utilisateur puisse se connecter. Les informations de connexion mises en cache sont stockées à partir de la session de connexion précédente. Si un contrôleur de domaine est indisponible et que les informations de connexion d’un utilisateur ne sont pas mises en cache, l’utilisateur reçoit ce message :

Il n’y a actuellement aucun serveur de connexion disponible pour répondre à la demande de connexion.

Dans ce paramètre de stratégie, une valeur de 0 désactive la mise en cache des informations de connexion. Toute valeur supérieure à 50 ne met en cache que 50 tentatives de connexion. Windows prend en charge un maximum de 50 entrées de cache et le nombre d’entrées consommées par utilisateur dépend de l’identifiant. Par exemple, un maximum de 50 comptes utilisateur à mot de passe unique peut être mis en cache sur un système Windows, mais seulement 25 comptes utilisateur à carte à puce peuvent être mis en cache car les informations du mot de passe et celles de la carte à puce sont toutes deux stockées. Lorsqu’un utilisateur dont les informations de connexion sont mises en cache se connecte à nouveau, les informations individuelles mises en cache de l’utilisateur sont remplacées. »

Les informations d’identification mises en cache provoquant le verrouillage des comptes

Les informations d’identification mises en cache permettent à un utilisateur distant, sans accès à un contrôleur de domaine, de se connecter localement à la machine. Mais, cela peut aussi provoquer des blocages de compte. Supposons qu’un utilisateur final distant utilise des informations d’identification mises en cache pour se connecter localement à un ordinateur portable relié à un domaine. Même si les informations d’identification permettent à l’utilisateur de se connecter, l’état actuel du compte utilisateur dans Active Directory peut comporter un mot de passe ancien qui oblige l’utilisateur à choisir un nouveau mot de passe.

Un utilisateur dans ce scénario de compte peut supposer que le mot de passe est le même pour toute ressource de l’entreprise à laquelle il tente de se connecter. Que se passe-t-il s’il continue à essayer de se connecter à son courriel Web en utilisant l’ancien mot de passe ? En outre, supposons qu’il se connecte au réseau de l’entreprise avec une connexion VPN. Dans ce cas, l’ordinateur portable ou de bureau distant tentera d’utiliser les informations d’identification en cache de l’utilisateur pour accéder aux ressources du réseau. Lorsque cela se produit, le contrôleur de domaine considère les tentatives d’authentification comme des échecs de connexion, ce qui entraîne le verrouillage du compte une fois que le seuil d’échec de connexion spécifié est atteint.

Rappeler aux utilisateurs l’expiration de leur mot de passe

Specops Software propose un outil gratuit qui permet aux organisations de gérer efficacement les informations d’identification mises en cache, notamment pour les employés distants. L’un des problèmes rencontrés par les employés distants est le manque de visibilité lorsque les mots de passe des comptes expirent. Souvent, un employé distant n’est pas au courant de l’expiration du mot de passe de son compte. Il n’y a donc aucune mesure prise à l’avance. Specops Password Notification permet de rappeler efficacement aux utilisateurs l’expiration imminente de leur mot de passe afin qu’ils puissent définir de manière proactive un nouveau mot de passe de compte avant qu’il n’expire.

Mise à jour des informations d’identification mises en cache lorsqu’un contrôleur de domaine est injoignable

Avec une solution tierce de réinitialisation de mot de passe, vous pouvez facilement gérer les réinitialisations de mot de passe à distance. Specops uReset permet aux utilisateurs de réinitialiser en toute sécurité leurs mots de passe Active Directory directement depuis l’écran de connexion Windows. Il empêche également le verrouillage des comptes en mettant à jour les informations d’identification locales mises en cache, même lorsqu’un contrôleur de domaine ne peut être atteint.

Tags:

Revenir sur le blog