Flexible Security for Your Peace of Mind

Specops Password Policy 7.9 : envoyer des emails depuis l’Arbiter, configurer les sites AD pour une meilleure performance et bien plus encore

Nous publions aujourd’hui la dernière version de notre solution de gestion des mots de passe Active Directory : Specops Password Policy 7.9.

Dans ce billet de blog, nous allons nous pencher sur les nouveautés :

  • Nouvelle option pour envoyer des emails à partir de l’Arbiter sans passer par le service Sentinel ;
  • Nouvelle option permettant de configurer les sites AD desservis par l’Arbiter afin d’améliorer les performances ;
  • Amélioration de l’application  «mots de passe compromis » pour les utilisateurs dont le mot de passe n’expire jamais.
  • Et bien plus encore.

Nouveau : La possibilité de configurer l’envoi d’emails via l’Arbiter pour renforcer les DC.

Dans cette version, nous avons ajouté la possibilité de configurer optionnellement les emails envoyés par Specops Password Policy (rappels d’expiration et notifications de compromission de mot de passe) à travers Specops Arbiter sans recourir au service Sentinel.

L’option permettant de configurer l’Arbiter en tant que système d’envoi de courrier électronique SMTP se trouve dans la section Domain Setting dans les outils d’administration du domaine Specops Password Policy.

Comme le service Sentinel doit être installé sur les contrôleurs de domaine, les clients qui cherchent à éviter de générer du trafic SMTP directement à partir des contrôleurs de domaine trouveront cette nouvelle option particulièrement intéressante. Les clients ayant installé des Arbiters sur des serveurs qui ne sont pas des contrôleurs de domaine (comme cela est recommandé) pourront utiliser cette nouvelle option afin de renforcer davantage leurs contrôleurs de domaine.

Les clients existants ne peuvent avoir des Arbiters installés que s’ils utilisent Specops Breached Password Protection. Les clients n’utilisant pas actuellement Specops Breached Password Protection mais qui voudraient recourir à un Arbiter pour envoyer les emails de rappel d’expiration devront d’abord installer l’Arbiter.

Pour plus d’informations sur la configuration d’Arbiter pour l’envoi d’email, cliquez ici.

Nouveau : Configurer les sites Active Directory desservis par l’Arbiter pour améliorer les performances.

Dans cette version, nous avons ajouté la possibilité de configurer les sites Active Directory desservis par un Specops Arbiter.

Les clients existants ont la possibilité de configurer des sites pour un Arbiter particulier dans la section Password Policy Arbiters des outils d’administration de domaine.

Les arbiters sont un composant de la politique de mot de passe de Specops utilisés pour :

  • la vérification des mots de passe par rapport à la liste Breach Password Protection Complete et ses plus de 3 milliards de mots de passe compromis (systématiquement si la Breach Password Protection Complete est configurée) ;
  • l’envoi de SMS depuis Specops Password Policy (systématiquement si les notifications par SMS sont configurées) ;
  • l’envoi d’un email à partir de Specops Password Policy (optionnel, à partir de cette version)

Les clients qui cherchent à optimiser les performances de l’Arbiter et de leur réseau trouveront cette nouvelle configuration intéressante.

Plus d’informations sur cette option de configuration sont disponibles ici.

Amélioration du blocage des mots de passe compromis pour les utilisateurs dont le mot de passe n’expire jamais

Avant cette version, les utilisateurs dont les mots de passe étaient définis comme n’expirant jamais ne pouvaient pas être contraints de modifier leur mot de passe lors de leur prochaine connexion lorsque leur mot de passe était trouvé dans une liste des mots de passe non protégés.

Avec cette version, nous avons introduit la possibilité d’imposer un changement de mot de passe aux utilisateurs avec des mots de passe définis comme n’expirant jamais lorsque leur mot de passe a justement été compromis.

Lorsque le paramètre « Exiger que les utilisateurs dont les mots de passe ont été divulgués les modifient à la prochaine connexion » est coché pour la protection contre les compromissions de mots de passe, Specops Password Policy décoche la case « le mot de passe n’expire jamais » sur l’utilisateur dans l’ADsi son mot de passe se retrouve sur la liste Breached Password Protection Complete ou détecté dans le cadre de l’analyse quotidienne de la liste Express, l’obligeant ainsi à modifier son mot de passe lors de sa prochaine connexion.

Le paramètre qui, lorsqu’il est activé, oblige les utilisateurs à modifier leur mot de passe lors de leur prochaine connexion. Ce paramètre existe également dans le menu Breached Password Protection Express.

Les clients peuvent utiliser l’observateur d’évènements (event ID 1166)  ou les notifications par email pour aider à gérer les utilisateurs dont la case « n’expire jamais » est décochée.

Note : Les clients dont les comptes de service sont configurés pour ne jamais expirer peuvent vouloir prendre des précautions supplémentaires avant la mise à jour et examiner quels comptes de service ont des mots de passe compromis avec l’aide de Specops Password Auditor et plannifier de changer ces mots de passe ou les exclure de l’analyse quotidienne de l’Express.

Les alternatives aux mots de passe qui n’expirent jamais

Alors que de nombreuses organisations peuvent être intéressées par les mots de passe n’expirant jamais – cela permet en effet de réduire la charge de gestion des mots de passe et d’éliminer les mauvaises pratiques des utilisateurs en matière d’itération des mots de passe – nous constatons que de nombreux clients préfèrent encore utiliser l’expiration afin de se prémunir contre la réutilisation des mots de passe. Ces clients utilisent le vieillissement des mots de passe basé sur la longueur comme solution intermédiaire pour répondre à ces deux préoccupations.

Exemple de paramètres pour le vieillissement du mot de passe basé sur la longueur au sein de Specops Password Policy

Plus d’améliorations et de corrections

D’autres améliorations et corrections peuvent être trouvées dans les notes de version.

Si vous êtes déjà client de Specops Password Policy, vous pouvez trouver les instructions de mise à niveau ici. Si vous avez des questions sur la mise à jour, vous pouvez contacter le support.

Découvrez comment Specops Password Policy peut vous aider

Si vous souhaitez voir une démonstration de la toute dernière version de Specops Password Policy ou si vous avez des questions sur la façon dont vous pouvez bloquer plus de 3 milliards de mots de passe compromis avec notre Breached Password Protection, contactez-nous.

(Dernière mise à jour le 31/03/2023)

Revenir sur le blog