Définir la stratégie de mot de passe
Nous allons dans ce premier exemple modifier la stratégie de mot de passe définit par défaut dans un domaine. L’option la plus souvent utilisée est de modifier les paramètres de la stratégie de groupe « Default Domain Policy ». Si vous définissez une stratégie de mot de passe sur une unité d’organisation contenant des objets ordinateurs, la stratégie que vous avez définie remplacera la stratégie pour les comptes créés localement sur la machine (voir SAM local), mais les comptes du domaine ne sont pas impactés.
Il faut retenir qu’il n’y a qu’une seule stratégie de mot de passe dans un domaine sera appliquée au compte du domaine à l’aide des stratégies de groupes (GPO). Nous verrons plus loin qu’il est possible de créer des stratégies spécifiques mais pas avec les GPO. |
Dans notre exemple nous allons créer une nouvelle stratégie de groupe nommée « Password Default Policy » au niveau du domaine.
Une fois la stratégie créée nous allons modifier l’ordre de priorité des stratégies afin de la rendre plus prioritaire que la stratégie par défaut.
Nous allons maintenant modifier les paramètres de stratégies de groupe. Pour cela il faut faire un clic droit et « modifier …» sur la stratégie. Nous déployons l’arborescence à gauche pour atteindre « Configuration ordinateur \ Stratégies \ Paramètres Windows \ Paramètres de sécurité \ Stratégies de comptes \ Stratégie de mot de passe ».
Nous allons définir les différents paramètres :
- Conserver l’historique des mots de passe (PasswordHistoryCount) : ce nombre indique le nombre de mots de passe différents que l’utilisateur doit définir avant de pouvoir en réutiliser un. Il évite qu’un utilisateur réutilise trop rapidement le même mot de passe.
- Durée de vie maximale du mot de passe (MaxPasswordAge) : cette valeur oblige l’utilisateur à modifier régulièrement son mot de passe. L’unité est le jour et lorsque le seuil est atteint l’utilisateur sera obligé de changer son mot de passe. Il faut noter que la date d’expiration du mot de passe est une valeur au format date et heure donc si votre mot de passe a été défini à 9h30 il expirera également à 9h30.
- Durée de vie minimale du mot de passe (minPasswordAge) : cette valeur détermine le nombre de jours avant que l’utilisateur puisse de nouveau changer le mot de passe. Elle évite qu’un utilisateur puisse changer plusieurs fois de suite son mot de passe afin de revenir au mot de passe d’origine.
- Enregistrer les mots de passe en utilisant un chiffrement réversible (ReversibleEncryptionEnabled). Cette option utilisée pour faciliter l’authentification avec des applications utilisant d’ancienne méthode représente un risque. Il est recommandé de la désactiver.
- Le mot de passe doit respecter des exigences de complexité(ComplexityEnabled). Il doit :
- contenir au moins six caractères ;
- contenir une combinaison d’au moins trois des caractères suivants : lettres en majuscules, lettres en minuscules, chiffres et symboles (signes de ponctuation, #,&,@, …) ;
- ne contiennent pas le nom d’utilisateur de l’utilisateur ou une partie du nom d’ouverture de session.
- Longueur minimale du mot de passe (MinPasswordLength): ce paramètre définit le nombre minimal de caractère pour le mot de passe de l’utilisateur. Si les exigences de complexité sont activées il n’est pas pris en compte s’il est inférieur à 6 et il est prioritaire s’il est supérieur à 6.
Pour modifier une valeur sélectionnez le paramètre, puis activer l’option « définir ce paramètre de stratégie » et indiquer la valeur désirée.
Lorsque vous modifiez un paramètre il est possible de connaître le détail de son action et également les versions de clients qui peuvent prendre en compte ce paramètre. La partie « expliquer » donne ses informations et je vous conseille de les lire.
Dans notre exemple nous avons défini une stratégie de mot de passe sans niveau de complexité avec une longueur de 3 caractères seulement. Je ne vous conseille pas de faire la même chose dans votre environnement. Ce choix a été uniquement fait car il est plus simple d’illustrer l’application de la stratégie de mot de passe avec des valeurs simples.
Une fois que notre stratégie est enregistrée nous effectuons un « gpupdate /force » sur le contrôleur de domaine et nous pouvons afin de la tester, réinitialiser le mot de passe d’un utilisateur.
RAPPEL : Par défaut, les stratégies de groupes sont actualisées dans un intervalle pouvant atteindre deux heures. Il est possible de forcer immédiatement l’actualisation des paramètres sur un poste avec la commande « gpupdate /force ». Il est également possible de le faire sur un conteneur avec l’option « Mise à jour de la stratégie de groupe » depuis la console de gestion des stratégies de groupe.
Nous essayons de réinitialiser le mot de passe d’un utilisateur, avec un nouveau de trois caractères.
Le mot de passe est conforme à la nouvelle stratégie et la réinitialisation fonctionne.
La commande PowerShell suivante détermine les paramètres de la stratégie de mot de passe de votre domaine :
Get-ADDefaultDomainPasswordPolicy
Il est également possible de définir la stratégie de mot de passe avec PowerShell, mais dans ce cas il faut conserver la GPO « Default Domain Policy ». Pour l’exemple nous supprimons la stratégie « Password Default Policy » afin de revenir à la méthode classique et utiliser la GPO « Default Domain Policy ».
La commande suivante permet de configurer les paramètres pour le domaine :
Set-ADDefaultDomainPasswordPolicy -Identity htrab.lan -ComplexityEnabled $True -ReversibleEncryptionEnabled $False -MaxPasswordAge 60.00:00:00 -minPasswordAge 05.00:00:00 -MinPasswordLength 8 -PasswordHistoryCount 5
Il est possible de vérifier le résultat depuis la console de gestion des GPO (GPMC.msc).
Il faut donc retenir que dans un domaine Active Directory, il ne peut y avoir qu’une stratégie de mot de passe défini dans les stratégies de groupes pour les comptes du domaine. La stratégie doit impérativement être appliquée au niveau du domaine. Néanmoins si vous souhaitez mettre en place des stratégies de mot de passe différentes pour des groupes d’utilisateurs, il est possible d’utiliser les stratégies de mots de passe affinées (PSO) que nous verrons plus loin.
Il est recommandé d’utiliser des mots de passe de plus de 8 caractères et d’activer la complexité, d’utiliser la durée minimale du mot de passe et maximale du mot de passe et de désactiver l’enregistrement des mots de passe avec un chiffrement réversible.