Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.
Stratégies de verrouillage de compte par défaut dans Windows 11
Windows 11 est le système d’exploitation le plus récent et considéré comme le plus sécurisé de la famille Windows. Dans la dernière version de Windows, il existe des politiques de verrouillage de compte par défaut afin d’atténuer les RDP et d’autres vecteurs de mots de passe de force brute.
Les attaques de mots de passe par force brute peuvent être automatisées pour essayer des millions de combinaisons de mots de passe contre un ou tous les comptes d’utilisateurs afin d’en trouver un qui fonctionne. Sans politique de verrouillage de compte, ce type d’attaque peut se poursuivre indéfiniment jusqu’à ce que le bon mot de passe soit finalement trouvé. Avec une politique de verrouillage par défaut de Windows 11 qui fonctionne, dix tentatives de mot de passe infructueuses empêchent un attaquant de continuer jusqu’à ce que le compteur soit réinitialisé. Cela ralentit considérablement un attaquant.
Les politiques de verrouillage par défaut préconfigurées démarrent dans les nouvelles installations de Windows11 Build 22528.1000. Les stratégies par défaut devraient également être rétroportées prochainement sur Windows 10 et les serveurs Windows. La politique de verrouillage par défaut est désormais la suivante :
- Durée de verrouillage du compte : 10 minutes ;
- Seuil de verrouillage du compte : 10 tentatives infructueuses ;
- Autoriser le verrouillage du compte administrateur : oui (compte administrateur intégré) ;
- Réinitialiser le compteur de verrouillage de compte après : 10 minutes.
Les politiques par défaut s’appliquent uniquement aux nouvelles installations. Les nouveaux paramètres de stratégie de groupe (local ou de domaine) ne sont pas appliqués rétroactivement aux systèmes existants. La plupart des systèmes ne tireront donc pas parti des nouveaux paramètres. Cela déplace la responsabilité de la modification sur les administrateurs système. Naturellement, Microsoft ne veut pas encombrer les paramètres existants ou apporter une modification potentiellement problématique sans le consentement d’une organisation.
Qu’en est-il des identifiants volés ?
Les attaquants empruntent souvent le chemin le plus facile. L’approche par force brute suppose des essais et des erreurs, mais avec des informations d’identification valides volées, un attaquant n’a pas besoin de passer du temps à trouver une faille dans les défenses d’une organisation. Au lieu de cela, il se connecte simplement en tant qu’utilisateur normal ou administrateur pour lancer l’attaque de l’intérieur.
De nombreuses listes de mots de passe existantes et nouvellement créées contiennent des tonnes d’informations d’identification volées, et l’une de ces listes peut inclure les informations d’identification d’un membre de votre organisation. Il suffit qu’un attaquant dépense une somme d’argent relativement faible pour récupérer ces informations d’identification, et lance ensuite une attaque de ransomware qui comporte de faibles risques pour lui mais peut lui rapporter gros.
Protégez-vous contre les informations d’identification volées avec Specops Password Policy
Bien que les stratégies de verrouillage soient importantes, ces paramètres ne vous protègent pas contre une liste de mots de passe achetée contenant des informations d’identification valides. Par conséquent, vous avez besoin d’une liste à jour des mots de passe compromis/volés pour que les informations d’identification soient activement vérifiées. La politique de mots de passe Specops met la barre plus haut et améliore considérablement, non seulement, la force potentielle des mots de passe de votre compte, mais offre la possibilité d’analyse en temps réel ou sur une période donnée des mots de passe de compte, par rapport à une liste de mots de passe compromis connus.
Avec la fonctionnalité Breached Password List, vous pouvez analyser vos comptes par rapport à une liste régulièrement mise à jour de plus de 3 milliards de mots de passe compromis. Vous pouvez même informer instantanément les utilisateurs lors du changement de mot de passe de la raison pour laquelle leur mot de passe n’est pas conforme.
Specops Password Policy offre bien plus que des protections par mot de passe compromis, vous pouvez également :
- Utiliser des listes de dictionnaires personnalisés pour interdire les mots relatifs à votre organisation ;
- Bloquer les noms d’utilisateur, les noms d’affichage, les mots spécifiques, les caractères consécutifs, les mots de passe incrémentiels et la réutilisation d’une partie du mot de passe actuel ;
- Tirer parti du ciblage granulaire basé sur les GPO pour n’importe quelle unité organisationnelle (UO), ordinateur, utilisateur ou groupe de population ;
- Utiliser des expressions régulières pour personnaliser davantage les exigences ;
- Utiliser une messagerie client utile pour l’utilisateur final en cas d’échec des changements de mot de passe.
Pour plus d’informations, consultez :
- L’impact de l’exécution de Specops Password Policy sur Active Directory ;
- Et protégez votre organisation et vos utilisateurs dès aujourd’hui avec un essai gratuit de Specops Password Policy.
(Dernière mise à jour le 13/12/2022)