Flexible Security for Your Peace of Mind

Comment créer et gérer une stratégie de mot de passe Active Directory

Active Directory est le service d’authentification central de la plupart des organisations. En reflétant la structure organisationnelle de votre organisation, Active Directory simplifie la manière dont les administrateurs gèrent les utilisateurs, ainsi que la manière dont ils s’authentifient sur le réseau. Dans la plupart des cas, l’authentification des utilisateurs nécessite des mots de passe. Bien que les mots de passe soient intrinsèquement faibles, ils ne sont pas près de disparaître. La politique de mot de passe Active Directory est essentielle pour protéger le réseau contre les accès non autorisés.

Une stratégie de mot de passe Active Directory est un ensemble de règles qui définissent les mots de passe autorisés dans une organisation et leur durée de validité. La politique est appliquée à tous les utilisateurs dans le cadre de la Default Domain Policy de l’objet stratégie de groupe, ou en appliquant une stratégie de mot de passe à granularité fine (Fine-Grained Password Policy ou FGPP en anglais) aux groupes de sécurité.

Les mots de passe Active Directory avec des paramètres FGPP peuvent être configurés à partir du centre administratif Active Directory. Ces paramètres offrent les mêmes options de base que la stratégie de mot de passe de la stratégie de domaine par défaut, notamment des exigences en matière de longueur, d’âge et de complexité des mots de passe. Malheureusement, ces mots de passe sont faciles à craquer grâce à la popularité des outils de piratage de mots de passe et des tables arc-en-ciel. Des paramètres de mot de passe supplémentaires peuvent être ajoutés à l’aide d’outils de stratégie de mot de passe tiers.

Comment rester en sécurité

Votre programme de sécurité des informations est aussi fort que votre mot de passe le plus faible. Si un audit a révélé de mauvaises pratiques en matière de mots de passe, appliquer les meilleures pratiques de la stratégie standard en matière de mots de passe ne suffira à faire disparaître les mots de passe faibles. Une taille unique ne convient pas à tout le monde, vous devrez donc aller plus loin pour identifier vos besoins uniques en matière de sécurité. L’essentiel est de trouver un équilibre entre sécurité et praticité pour l’utilisateur.

Une politique de mot de passe bien pensée doit tenir compte de ce qui se passe réellement sur le réseau. Un audit des mots de passe peut aider à identifier les risques de sécurité liés aux mots de passe sur votre réseau. Vous pouvez le faire en interne ou par l’intermédiaire d’une société de piratage éthique. Si vous décidez d’opter pour la voie du bricolage, de nombreux outils en ligne gratuits sont à votre disposition. Ces outils vous permettent généralement de vérifier le NT Hash des mots de passe, stockés dans Active Directory, par rapport aux mêmes listes de mots de passe dont disposent les pirates. Pour plus d’informations sur la façon de vérifier les mots de passe d’Active Directory, consultez les conseils de bonnes pratiques sur la façon de vérifier les mots de passe du réseau (en anglais).

Une fois que vous aurez identifié les risques, vous serez prêt à créer vos propres best practices en matière de politique de mots de passe. Chaque risque que vous identifiez nécessitera une considération spécifique pour la prévention.

  • Si les mots de passe sont prévisibles, votre politique doit bloquer les mots de passe courants qui sont susceptibles d’être attaqués.
  • Si les utilisateurs ne modifient que le dernier caractère de leur mot de passe existant à chaque changement de mot de passe, votre politique doit exiger un nombre minimum de caractères modifiés.
  • Si les utilisateurs créent des mots de passe dont ils ne se souviennent pas, ce qui entraîne des appels au helpdesk, votre stratégie devrait imposer des phrases de passe, plus faciles à retenir.

Malheureusement, le FGPP ne dispose pas d’un grand nombre de ces fonctionnalités de sécurité essentielles.

Avec les bons outils en place, vous pouvez créer une politique qui réduit le risque lié aux mots de passe. Cette politique doit être adaptée aux différents rôles dans votre organisation. Les personnes qui n’ont pas accès aux données critiques de l’entreprise n’ont normalement pas besoin de protéger leur compte de la même manière qu’un membre des services juridiques, financiers ou informatiques. Échangez avec les différents départements et élaborez une politique qui répond à ses besoins et aux exigences de sécurité dont vous avez besoin. Pour plus de conseils utiles, consultez les conseils sur les meilleures pratiques en matière de politique de mot de passe (en anglais).

Plusieurs politiques au sein d'un même domaine

Les gourous de la sécurité vous diront que des mots de passe faibles pour n’importe quel compte, en particulier ceux qui donnent accès à des données sensibles ou à des privilèges administrateurs, peuvent conduire à une exposition des données ou à une prise de contrôle complète de tous les ordinateurs du réseau. Les utilisateurs standards et les utilisateurs à haut niveau de sécurité ne devraient pas être liés par les mêmes paramètres de mot de passe. La motivation va au-delà de la sécurité si l’on considère l’application de changements périodiques de mot de passe. Bien que cela puisse être nécessaire pour les administrateurs, cela peut nuire à la convivialité pour les utilisateurs disposant de peu de compte à accès restreint. L’objectif est de simplifier l’approche de la sécurité des mots de passe afin que les utilisateurs ordinaires puissent mieux créer leurs mots de passe et que les administrateurs puissent mieux protéger les comptes à haut risque.

Au cours des huit premières années d’Active Directory, la seule façon de disposer de plusieurs stratégies de mot de passe dans votre forêt AD était d’avoir plusieurs domaines. À partir de Windows Server 2008, Microsoft a introduit sa fonctionnalité FGPP, qui permet d’avoir plusieurs stratégies différentes au sein d’un même domaine. Pour plus d’informations sur cette fonctionnalité, consultez le blog sur la politique de mot de passe à grain fin.

Normes de politique en matière de mots de passe

Les normes de conformité ne peuvent pas anticiper les besoins uniques de chaque organisation. En fait, les exigences en matière de sécurité des mots de passe des différents organismes de conformité comprennent des conseils contradictoires concernant l’expiration, la longueur et la complexité des mots de passe. Heureusement, il y a une recommandation qu’ils ont en commun : simplifier les mots de passe pour les utilisateurs et faire reposer la charge sur le système d’authentification.

Pendant trop longtemps, les utilisateurs ont été blâmés pour leurs mauvais mots de passe, tandis que les politiques traditionnelles en matière de mots de passe qui encouragent leurs mauvais choix ont été ignorées. Les politiques traditionnelles sont les règles de complexité classiques : longueur minimale, exigences en matière de casse et caractères numériques/spéciaux. Une nouvelle approche exige que l’IT repense les politiques existantes parallèlement à un système d’authentification convivial qui encourage les phrases de passe et l’authentification multifactorielle, tout en interdisant les mots de passe courants. Bien entendu, les utilisateurs ont également un long chemin à parcourir, et le service informatique a la tâche difficile de les sensibiliser à l’importance de la sécurité des mots de passe. Les changements de politique en matière de mots de passe sont plus efficaces en parallèle à la formation. Les utilisateurs finaux doivent comprendre le pourquoi, afin de pouvoir faire de meilleurs choix de mots de passe.

Pour plus d’informations sur les exigences de conformité des politiques de mot de passe, y compris les dernières recommandations du de l’Agence Nationale de Sécurité des Systèmes d’Information, consultez notre blog sur les recommandations de mots de passe de l’ANSSI. Malheureusement, la plupart des recommandations des normes de conformité ne peuvent pas être satisfaites juste par une stratégie de mot de passe FGPP.

Pendant bien trop longtemps, les utilisateurs ont été tenus pour responsables de leurs mauvais mots de passe...

Conclusion

Vous recherchez une solution tierce de politique de mot de passe pour renforcer la sécurité ? Vous pouvez renforcer la sécurité des politiques de mot de passe, sans sacrifier la véritable intégration d’Active Directory. Specops Password Policy fonctionne en étendant la fonctionnalité de la stratégie de groupe avec des paramètres avancés au-delà des politiques traditionnelles qui peuvent être réalisées avec des stratégies de mot de passe fines. Les outils d’administration de Specops Password Policy s’intègrent aux outils de gestion des politiques de groupe (GPMC), ce qui permet aux administrateurs de gérer efficacement les politiques de mot de passe au sein de leur organisation à l’aide d’outils et de procédures qui leur sont familiers.

× Fermer

Vous voulez en savoir plus sur
Specops Password Policy ?

Démarrez un essai Non, merci. Je ne souhaite pas bloquer les mots de passe compromis de mon AD.