Specops Breached Password Protection

Specops Password Policy (version 7.0 et ultérieure) est compatible avec Specops Breached Password Protection. La liste Breached Password Protection est une liste de mots de passe compromis et divulgués. Si vous êtes administrateur, vous pouvez empêcher les utilisateurs d'utiliser des mots de passe figurant dans cette liste. Il est également possible de vérifier en continu par rapport à la liste afin que les utilisateurs puissent être alertés dès que des mots de passe compromis sont ajoutés à la liste (Scan Continu).

La liste de plus de trois milliards de mots de passe compromis est gérée par Specops Software et est une combinaison de milliers de sources différentes de mots de passe compromis, y compris ceux utilisés dans des attaques réelles aujourd'hui ou figurant sur des listes de mots de passe compromis connues comme HaveIBeenPwned, ce qui facilite la conformité avec les réglementations de l'industrie telles que NIST ou NCSC. Les systèmes de collecte de données de surveillance des attaques de notre équipe de recherche mettent à jour le service quotidiennement et garantissent que les réseaux sont protégés contre les attaques de mots de passe réelles se produisant actuellement.

Breached Password Protection Complete:

Contient la liste principale des mots de passe divulgués, stockée dans le cloud, elle est donc toujours à jour.

Remarque

Ce n'est pas une protection zero-day car la liste des mots de passe divulgués devra être ajoutée à la base de données dans notre format reconnu.
Si un utilisateur change son mot de passe pour un qui figure dans la liste des mots de passe divulgués, Breached Password Protection Complete notifie l'utilisateur par e-mail ou SMS. Son compte est également marqué, obligeant l'utilisateur à changer son mot de passe lors de sa prochaine connexion.
Si le Scan Continu est activé, les utilisateurs seront alertés des mots de passe compromis dès qu'ils seront ajoutés à la liste (si les notifications sont configurées), ou seront obligés de changer leur mot de passe lors de la prochaine connexion.
Nécessite plus d'infrastructure dans Active Directory, inclut l'installation de Specops Arbiter et le téléchargement d'une clé API. Cela nécessite un serveur supplémentaire, sur lequel vous installez le Specops Arbiter, qui communiquera avec l'API Cloud de Breached Password Protection.

Breached Password Protection Express:

Utilise un sous-ensemble de la liste des mots de passe divulgués qui est normalement mis à jour tous les 3-4 mois.
La liste est téléchargée dans Active Directory (affectera la réplication entre les contrôleurs de domaine).
Les administrateurs doivent vérifier manuellement s'il y a des mises à jour de la liste des mots de passe divulgués, puis télécharger la liste mise à jour.
Empêche immédiatement un utilisateur de changer pour un mot de passe divulgué.
Vérifie en continu les mots de passe compromis.

Explication des vérifications de Breached Password Protection

Il y a trois principales différences entre Breached Password Protection Express et Breached Password Protection Complete:

La taille de la base de données: Breached Password Protection Complete dispose d'un ensemble beaucoup plus large de mots de passe compromis.
Le contenu de la base de données: Breached Password Protection Complete est mis à jour en continu, tandis que Breached Password Protection Express est mis à jour tous les 3 ou 4 mois.
Le moment où la vérification est effectuée:
- Breached Password Protection Express effectue des vérifications lors du changement de mot de passe, ainsi que des vérifications continues (par exemple, nocturnes).
- Breached Password Protection Complete effectue sa vérification immédiatement après le changement de mot de passe.

Exemple de flux de Breached Password Protection Complete (Changement de mot de passe)

L'exemple suivant montre comment la vérification Breached Password Protection Complete est effectuée.

L'utilisateur change son mot de passe.
Si le nouveau mot de passe est conforme à toutes les autres règles de la politique de mot de passe, le nouveau mot de passe est soumis (l'utilisateur peut utiliser son nouveau mot de passe).
Le mot de passe est vérifié par rapport à la base de données Breached Password Protection Complete.
Si le mot de passe est trouvé compromis, le compte de l'utilisateur est marqué, et il doit changer son mot de passe lors de la prochaine connexion.
Le mot de passe n'est pas vérifié par rapport à la base de données Breached Password Protection Complete jusqu'au prochain changement de mot de passe.

Exemple de flux de Breached Password Protection Express

L'exemple suivant montre comment la vérification Breached Password Protection Express est effectuée.

L'utilisateur change son mot de passe.
Le nouveau mot de passe est vérifié par rapport à la base de données Breached Password Protection Express lors du changement de mot de passe.
Si le mot de passe est trouvé compromis, l'utilisateur ne sera pas autorisé à soumettre le changement. Sinon, le nouveau mot de passe est soumis.
Breached Password Protection Express vérifie le mot de passe par rapport à la base de données en continu (par exemple, nocturnement).
Si le mot de passe est trouvé compromis lors de vérifications ultérieures (à condition que la base de données Breached Password Protection Express ait été mise à jour entre-temps), le compte de l'utilisateur sera marqué et il devra changer son mot de passe lors de la prochaine connexion.

Exemple de flux de Breached Password Protection (Scan Continu)

L'exemple suivant montre comment la vérification Breached Password Protection est effectuée pour le scan continu.

Un scan continu de la liste est effectué (soit Breached Password Protection Express, soit Breached Password Protection Complete).
Le mot de passe de l'utilisateur est trouvé compromis.
L'utilisateur est alerté par SMS ou e-mail (si configuré) et/ou l'utilisateur est obligé de changer son mot de passe lors de la prochaine connexion (si configuré).

Utilisation de Breached Password Protection Express avec Breached Password Protection Complete

Vous pouvez configurer et activer Breached Password Protection Complete et Breached Password Protection Express en même temps, en sélectionnant les cases à cocher Empêcher les mots de passe de la liste Express locale et Activer la vérification des mots de passe via l'API Complete dans le menu Changement de mot de passe. L'avantage d'utiliser les deux est que les mots de passe sont vérifiés par rapport à la base de données Complete plus large, tout en fournissant un retour direct lors du changement de mot de passe si le nouveau mot de passe est trouvé dans la liste Express. Lorsque les utilisateurs changent leur mot de passe, Breached Password Protection Express vérifiera si le mot de passe figure dans la liste des mots de passe divulgués qui a été téléchargée. Si le mot de passe est trouvé dans la liste Express stockée dans votre environnement local, la règle Breached Password Protection Express empêchera l'utilisateur de changer pour ce mot de passe. S'il n'est pas trouvé dans la liste stockée localement, le mot de passe sera vérifié par rapport à la liste trouvée dans Breached Password Protection Complete lors de la soumission du nouveau mot de passe. S'il est trouvé dans la liste Complete, le compte de l'utilisateur sera marqué avec une notification "doit changer de mot de passe" et il sera requis de changer son mot de passe lors de la prochaine connexion.

Exigences

Composant	Exigences
Specops Password Policy Sentinel	Windows Server 2012 R2 ou ultérieur .Net Framework 4.7.1 ou ultérieur Contrôleur de domaine inscriptible
Specops Arbiter	.NET 4.7.1 ou ultérieur Windows Server 2012 R2 ou ultérieur
Mises à jour de Breached Password Protection Express	Espace disque Les dictionnaires pour Specops Password Breached Password Protection Express sont téléchargés et stockés dans sysvol, répliqués à chaque contrôleur de domaine. 13 Go d'espace libre dans sysvol sur chaque contrôleur de domaine. Temporaire: 13 Go supplémentaires sur l'ordinateur administrateur où les dictionnaires sont téléchargés.

Composants

Specops Password Policy avec Breached Password Protection se compose des composants suivants.

Specops Password Policy Sentinel

Le Specops Password Policy Sentinel est un package d'installation qui doit être installé sur tous les contrôleurs de domaine inscriptibles dans un domaine.

Le Specops Sentinel se compose du filtre de mot de passe Sentinel et du service Sentinel.

Filtre de mot de passe Sentinel

Le filtre de mot de passe Sentinel est un filtre de mot de passe Windows qui vérifie si un nouveau mot de passe correspond aux paramètres de Specops Password Policy assignés à l'utilisateur.

Lorsque la validation avec Specops Breached Password Protection est configurée, le filtre de mot de passe Sentinel écrit un fichier de demande de validation Breached Password Protection pour chaque nouveau mot de passe (changement/réinitialisation de mot de passe), tel que configuré dans les paramètres GPO de Specops Password Policy.

Service Sentinel

Le service Sentinel (service Windows) est un composant de Specops Password Policy. Le service Sentinel est toujours installé dans le cadre de Specops Password Policy Sentinel, mais effectif uniquement si la validation Breached Password Protection est configurée.

Le service Sentinel prend les demandes de validation Breached Password Protection de l'archive de la file d'attente, et les transmet à l'Arbiter Breached Password Protection, qui déterminera si le mot de passe est autorisé ou a été compromis. En fonction des paramètres GPO de Specops Password Policy, le service Breached Password Protection peut imposer à l'utilisateur de changer de mot de passe lors de la prochaine connexion pour les mots de passe compromis.

Le service Sentinel s'exécute en tant que système local et, par défaut, est autorisé à définir que l'utilisateur doit changer de mot de passe lors de la prochaine connexion pour les utilisateurs concernés.

Exigences d'installation: .NET 3.5 SP1 ou ultérieur

Arbiter Breached Password Protection

L'Arbiter Breached Password Protection est un composant de Specops Password Policy, et doit être installé sur un serveur avec une connexion Internet. Un seul Arbiter est suffisant pour la plupart des organisations. Si votre organisation nécessite une redondance, des Arbiters supplémentaires sont recommandés.

L'Arbiter Breached Password Protection agit comme une passerelle entre le service Breached Password Protection et l'API Cloud Specops Breached Password Protection, où se trouve la liste des mots de passe divulgués. L'Arbiter Breached Password Protection utilise une clé API pour communiquer avec l'API Cloud Breached Password Protection.

L'Arbiter s'exécute en tant que service réseau et, par défaut, a un accès en lecture seule à Active Directory. En lisant les paramètres de Specops Password Policy, l'Arbiter peut déterminer les actions requises si un hachage de mot de passe est trouvé dans la liste Breached Password Protection.

Pour utiliser la validation Breached Password Protection, au moins un Arbiter doit être installé dans le domaine. Les organisations utilisant Specops Password Policy sans validation Breached Password Protection n'ont pas besoin d'installer l'Arbiter.

Exigences d'installation: .NET 4.7.1 ou ultérieur

Remarque

Les paramètres de Breached Password Protection Express ne nécessitent pas le composant Arbiter Breached Password Protection.

API Cloud Breached Password Protection

L'API Cloud Breached Password Protection, hébergée par Specops dans le cloud, est un composant de Specops Password Policy.

L'API Cloud Breached Password Protection héberge une liste étendue de mots de passe divulgués.

Remarque

Les paramètres de Breached Password Protection Express ne nécessitent pas le composant Arbiter Breached Password Protection.

Configuration de Breached Password Protection Complete (API Complete)

Pour configurer Breached Password Protection Complete, vous devrez:

Installer Specops Password Policy Sentinel sur tous les contrôleurs de domaine. La même version doit être installée sur tous les contrôleurs de domaine. Instructions

Remarque

Les clients de Specops Password Policy utilisant la version 6.8.18106.1 ou antérieure nécessiteront une nouvelle clé de licence.
Installer un (ou plusieurs) Arbiters dans le(s) domaine(s) Instructions
Enregistrer le(s) Arbiter(s) dans l'outil d'administration de domaine Specops Password Policy, et ajouter la clé API que vous avez reçue d'un spécialiste produit Specops:
1. Dans l'outil d'administration de domaine, sélectionnez Breached Password Protection, et cliquez sur Enregistrer un nouvel Arbiter.
2. Sélectionnez ou tapez le nom de votre ordinateur Arbiter, et cliquez sur OK. L'ordinateur Arbiter est maintenant ajouté au tableau contenant tous les Arbiters de Specops Password.
  
  Remarque
  
  Vous pouvez également rechercher votre ordinateur Arbiter en cliquant sur le bouton Avancé puis sur Rechercher maintenant.
3. Cliquez sur le bouton Importer la clé API et collez la clé API que vous avez reçue de Specops dans le champ de texte qui s'affiche. Cliquez sur OK. Une coche verte devrait apparaître dans la colonne clé API du tableau.
  
  Remarque
  
  Collez uniquement la clé API réelle dans le champ de texte, en excluant tout commentaire qui pourrait être présent.
4. Cliquez sur Tester la connexion cloud pour tester la connexion.
  
  Remarque
  
  Vous recevrez une erreur vous invitant à entrer une clé de licence valide une fois l'installation terminée.

Pour activer la validation Breached Password Protection en utilisant Breached Password Protection Complete pour les nouveaux mots de passe (changement/réinitialisation de mot de passe), vous devez configurer les GPO de Specops Password Policy pour les utilisateurs concernés.

Configuration de Breached Password Protection Complete pour le Changement de Mot de Passe

Ouvrez l'outil d'administration de domaine Password Policy.
Sélectionnez le menu Politiques de mot de passe.
Accédez à la politique pour le GPO que vous souhaitez modifier (Modifier)
Cliquez sur l'onglet Breached Password Protection, puis sélectionnez le menu Changement de mot de passe.
Cochez la case Activer la vérification des mots de passe via l'API Complete.
[Optionnel] Cochez la case Forcer les utilisateurs à changer les mots de passe compromis.

Remarque

Cela marquera le compte de l'utilisateur pour exiger un changement de mot de passe la prochaine fois qu'il se connectera.

Remarque

Lorsque la politique de l'utilisateur est définie sur "le mot de passe n'expire jamais", et que son mot de passe est trouvé compromis, le drapeau le mot de passe n'expire jamais sera effacé. L'utilisateur sera alors invité à changer son mot de passe lors de la prochaine connexion.
[Optionnel] Cochez la case Vérifier les mots de passe lors de la réinitialisation en plus du changement.

Remarque

Si cette option est désactivée, la fonction Breached Password Protection Complete ne sera pas utilisée lorsque les mots de passe sont réinitialisés, seulement lorsqu'ils sont changés.

Remarque

Si vos utilisateurs ont accès à un système de réinitialisation de mot de passe en libre-service, cette option devrait être activée.
[Optionnel] Activez les options de notification par e-mail et/ou SMS. Pour plus d'informations sur les notifications, veuillez visiter la page des notifications.
Cliquez sur Appliquer.
Cliquez sur OK.

Configuration de Breached Password Protection Complete pour le Scan Continu

Remarque

Pour activer le Scan Continu, les clients existants nécessitent un nouveau fichier de licence. Contactez licensing@specopssoft.com pour plus d'informations.

Ouvrez l'outil d'administration de domaine Password Policy.
Sélectionnez le menu Politiques de mot de passe.
Accédez à la politique pour le GPO que vous souhaitez modifier (Modifier)
Cliquez sur l'onglet Breached Password Protection, puis sélectionnez le menu Continu.
Dans le menu déroulant Vérifier les mots de passe compromis en continu, choisissez En utilisant l'API Complete en ligne.
[Optionnel] Cochez la case Forcer les utilisateurs à changer les mots de passe compromis

Remarque

Cela marquera le compte de l'utilisateur pour exiger un changement de mot de passe lors de la prochaine connexion.
[Optionnel] Activez les options de notification par e-mail et/ou SMS. Pour plus d'informations sur les notifications, veuillez visiter la page des notifications.
Cliquez sur Appliquer.
Cliquez sur OK.

Configuration de Breached Password Protection Express (Liste Express)

Si vous êtes administrateur, vous pouvez télécharger une liste de mots de passe divulgués et les stocker dans votre environnement local. Chaque fois qu'un utilisateur de votre organisation réinitialise ou change son mot de passe, son nouveau mot de passe choisi sera vérifié par rapport à cette liste de mots de passe divulgués. Si le mot de passe choisi par l'utilisateur figure dans la liste des mots de passe divulgués, il doit en choisir un autre.

Breached Password Protection Express diffère de Breached Password Protection Complete de la manière suivante:

Validation instantanée du mot de passe: comme la liste des mots de passe divulgués est stockée localement, Breached Password Protection Express peut immédiatement confirmer si le mot de passe nouvellement choisi par un utilisateur est acceptable ou non. Les utilisateurs obtiendront une validation instantanée, peu importe où ils changent leur mot de passe, même s'ils ont les deux versions de Breached Password Protection configurées et activées.
Notifications: vous n'avez pas besoin de configurer les notifications par SMS et e-mail de Breached Password Protection pour Breached Password Protection Express, car les mots de passe sont validés instantanément.
Scan des mots de passe divulgués: Breached Password Protection Express peut scanner les mots de passe de tous les utilisateurs affectés par la politique. Les mots de passe seront comparés à la liste téléchargée de Breached Password Protection Express. Les utilisateurs avec des mots de passe divulgués seront invités à changer leur mot de passe lors de la prochaine connexion.
Mises à jour: la liste des mots de passe divulgués doit être mise à jour manuellement. Si une nouvelle version de la liste a été publiée, vous devez la télécharger depuis l'outil d'administration de domaine Password Policy.

Téléchargement de la liste des mots de passe divulgués

Vous devez télécharger la liste des mots de passe divulgués dans votre environnement local, afin que votre ou vos objets de stratégie de groupe choisis puissent référencer la liste des mots de passe divulgués.

Remarque

Vous n'avez besoin de télécharger la liste qu'une seule fois. Une fois téléchargée, la liste sera stockée dans SYSVOL. La liste est téléchargée et s'applique à l'échelle du domaine.

Pour télécharger la liste Breached Password Protection, suivez ces étapes:

Démarrez l'outil d'administration de domaine Password Policy.
Accédez à la page Breached Password Protection.
Cliquez sur l'onglet Breached Password Protection Express (Liste Express).
Si une nouvelle version de la liste est disponible, cliquez sur le bouton Télécharger la dernière version.
La fenêtre Télécharger Breached Password Protection s'ouvrira. Pendant le téléchargement, les fichiers sont d'abord téléchargés dans un répertoire temporaire. Par défaut, le répertoire "temp" de l'utilisateur actuel est utilisé pour stocker temporairement les fichiers avant qu'ils ne soient automatiquement transférés vers un emplacement permanent dans SYSVOL. Pour sélectionner un autre répertoire temporaire, cliquez sur le bouton Parcourir.
Lorsque le téléchargement est terminé, les fichiers sont copiés à l'emplacement suivant dans SYSVOL: \\<votredomaine.com>\SYSVOL\<votredomaine>\Policies\SpecopsPassword\Dictionaries
Cliquez sur OK, et les fichiers commenceront à se télécharger. Selon la taille du package, cela peut prendre un certain temps.
Lorsque le téléchargement est terminé, vous verrez un message confirmant que la liste a été téléchargée avec succès et est à jour. Ce message affiche le numéro de version du package qui a été téléchargé, la date de publication de la version et la taille du package.

Si le téléchargement réussit, il n'est normalement pas nécessaire de valider les fichiers téléchargés. Cependant, s'il est souhaitable au sein de l'organisation de valider l'intégrité des fichiers téléchargés, la cmdlet Get-PasswordPolicyBppExpressList peut être utilisée. Elle effectuera une validation de somme de contrôle de tous les fichiers dans sysvol et les comparera au fichier de métadonnées contenant les sommes de contrôle attendues du téléchargement. Voir la page des cmdlets powershell pour plus d'informations.

Activation de Breached Password Protection Express

Une fois que vous avez téléchargé la liste Breached Password Protection, vous devez activer Breached Password Protection Express, afin qu'elle s'applique aux objets de stratégie de groupe pertinents.

Pour ce faire, suivez ces étapes:

Ouvrez l'outil d'administration de domaine Password Policy.
Sélectionnez le menu Politiques de mot de passe.
Accédez à la politique pour le GPO que vous souhaitez modifier (Modifier)
Cliquez sur l'onglet Breached Password Protection, puis sélectionnez le menu Changement de mot de passe.
Cochez la case Empêcher les mots de passe de la liste Express locale.

Remarque

Les notifications ne sont pas disponibles pour Breached Password Protection Express lors du changement de mot de passe, car les utilisateurs recevront un retour immédiat lorsque le mot de passe qu'ils essaient de changer a été compromis.
Cliquez sur Appliquer.
Cliquez sur OK.

Configuration de Breached Password Protection Express pour une analyse continue

Ouvrez l'outil d'administration du domaine Password Policy.
Sélectionnez le menu Politiques de mot de passe.
Accédez à la politique pour le GPO que vous souhaitez modifier (Modifier)
Cliquez sur l'onglet Breached Password Protection, puis sélectionnez le menu Continu.
Dans le menu déroulant Vérifier les mots de passe compromis en continu, choisissez Utiliser la liste Express locale.
[Optionnel] Cochez la case Forcer les utilisateurs à changer les mots de passe compromis

Remarque

Cela marquera le compte de l'utilisateur pour exiger un changement de mot de passe lors de la prochaine connexion.
[Optionnel] Activez les options de notification par email. Pour plus d'informations sur les notifications, veuillez visiter la page Notifications.

Remarque

Les notifications par message texte ne sont pas disponibles pour Breached Password Protection Express.
Cliquez sur Appliquer.
Cliquez sur OK.

Mise à jour de Breached Password Protection Express

La liste des mots de passe divulgués sera mise à jour à intervalles réguliers. La mise à jour sera ensuite publiée, afin qu'elle soit disponible pour téléchargement.

Pour vérifier si une nouvelle version est disponible pour téléchargement, suivez ces étapes:

Démarrez l'outil d'administration du domaine Password Policy.
Accédez à la section Breached Password Protection.
Cliquez sur l'onglet Breached Password Protection Express (Liste Express).

Si une nouvelle version de la liste est disponible, vous verrez une notification indiquant: « Une version mise à jour de la liste des mots de passe divulgués est prête pour téléchargement ».

Vous verrez également une comparaison entre la version actuelle que vous avez stockée localement et la version en ligne qui a été publiée.
Cliquez sur Télécharger la dernière version et les modifications seront appliquées.

Configuration de Breached Password Protection Complete et Breached Password Protection Express

Vous pouvez configurer et activer Breached Password Protection Complete et Breached Password Protection Express en même temps, en sélectionnant les cases Activer Breached Password Protection Complete et Activer Breached Password Protection Express. Si vous avez activé les deux, et que vos utilisateurs changent leur mot de passe, Breached Password Protection Express vérifiera si le mot de passe est dans la liste des mots de passe divulgués qui a été téléchargée. Si le mot de passe est trouvé dans la liste Express stockée dans votre environnement local, la règle Breached Password Protection Express empêchera l'utilisateur de changer pour ce mot de passe. S'il n'est pas trouvé dans la liste stockée localement, le mot de passe sera vérifié par rapport à la liste trouvée dans Breached Password Protection Complete. S'il est trouvé dans la liste en ligne, le compte de l'utilisateur sera marqué avec une notification « doit changer de mot de passe » et il sera obligé de changer pour un autre.

Questions fréquemment posées

Les mots de passe sont-ils envoyés à l'extérieur avec Specops Breached Password Protection ?

Non. Le filtre de mot de passe Sentinel génère un hash bcrypt du nouveau mot de passe de l'utilisateur. Ni le mot de passe ni le hash bcrypt ne sont exposés. Les premiers octets du hash bcrypt sont utilisés pour interroger un ensemble de hashes correspondants. La correspondance de Breached Password Protection a lieu au sein du réseau de l'organisation.

Quels sont les avantages de plusieurs Arbitres ? Comment le DC (gérant le changement de mot de passe) sélectionne-t-il un Arbitre ?

Avoir plus d'un Arbitre ajoute de la redondance, au cas où un Arbitre serait temporairement hors service. Des Arbitres supplémentaires n'affectent pas les performances. Le nombre de changements de mot de passe simultanés, pour une organisation avec de nombreux DC, ne devrait pas causer de problèmes de latence.

S'il y a plusieurs Arbitres, le service Breached Password Protection utilisera le round robin lors de la sélection.

Comment l'API Cloud de Breached Password Protection gère-t-elle les numéros de mobile et les adresses email lors de l'envoi de notifications SMS et email aux utilisateurs ?

L'API Cloud de Breached Password Protection utilise SendGrid pour les notifications par email, et Twilio pour les notifications par SMS. Les demandes de notifications par email et SMS de l'Arbitre à l'API Cloud de Breached Password Protection sont cryptées avec TLS. L'ID client et l'horodatage du message sont stockés dans Graylog. Ni le mot de passe ni le hash ne sont révélés dans la notification utilisateur.

Y a-t-il des avantages à utiliser Breached Password Protection Complete en conjonction avec Breached Password Protection Express ?

Oui. Étant donné que les vérifications sont effectuées à différents moments, il est avantageux d'exécuter les deux. Veuillez également consulter la section Explication des vérifications de Breached Password Protection sur cette page.