Bonjour à tous
Un de mes clients a récemment souhaité mettre en oeuvre les stratégies de mot de passe au niveau d’un domaine Active Directory en mode natif 2003 (que des contrôleurs de domaine Windows 2003 Server).
Cela me permet donc intressant d’effectuer quelques rappels sur ce blog.
POUR RAPPEL :
Les stratégies de mot de passe sont un sous ensemble des stratégies de comptes. Elles permettent de définir :
* L’historique des mots de passe : permet de mémoriser un certain nombre de mots de passe précédents. On ne peut pas réutiliser un mot de passe précédent qui est encore mémorisé.
* La durée de vie maximale du mot de passe : le mot de passe expire après la durée indiquée. Le paramètre “Le mot de passe n’expire jamais” au niveau d’un compte utilisateur est prioritaire sur ce paramètre.
* La durée de vie minimale du mot de passe : ce paramètre est principalement utilisé avec le paramètre “Historique de mots de passe”. Si l’historique des mots de passe est configuré sur 10 mots de passe, cela évite qu’un petit malin change 10 fois son mots de passe pour pouvoir reprendre son mot de passe d’origine. Je vous préconise une “durée de vie minimale du mot de passe ” de 1 journée.
* La taille minimale du mot de passe : permet de définir le nombre de caractères (au minimum) nécessaire pour un mot de passe. Ce paramètre n’empêchera pas l’utilisation d’un compte avec un mot de passe déjà défini même si ce dernier ne respecte pas le critère “Taille minimale du mot de passe”. Quand le mot de passe de ce compte expira ou que l’utilisateur changerera le mot de passe, il faudra alors définir un mot de passe qui respecte la contrainte “Taille minimale du mot de passe”.
* La complexité des mots de passe : le mot de passe devra respecter les exigences suivantes (minimum 7 caractères, 3 catégories de caractères différentes). Pour plus d’informations, voir :
http://technet.microsoft.com/en-us/library/cc786468(WS.10).aspx.
Le gros défaut est que les paramètres de la complexité ne sont pas configurables. Il existe des produits tiers qui le font (voir partie “Remarques très importantes”).
* La méthode de chiffrement du mots de passe (chiffrement réversible ou non). Certaines applications nécessitent le chiffrement réversible (très peu sécurisé comme son nom l’indique). A ne surtout pas activer si possible.
Pour plus d’informations, voir article Microsoft :
http://technet.microsoft.com/en-us/library/cc784090(WS.10).aspx
A SAVOIR :
* Les stratégies de mot de passe pour les comptes d’un domaine Active Directory se configurent uniquement au niveau de la stratégie “Default Domain Policy” (stratégie par défaut du domaine). Les stratégies de mot de passe définis dans un objet stratégie de groupe autre que la “Default Domain Policy” ne s’applique pas pour les comptes utilisateurs du domaine. Il n’est donc pas possible de définir une stratégie de mots de passe au niveau d’une OU pour les comptes du domaine.
Pour configurer la stratégie de mots de passe pour les utilisateurs du domaine, éditer la “Default Domain Policy”, puis aller dans Configuration Ordinateur | Paramètres Windows | Paramètre de Sécurité | Stratégie de Comptes | Stratégie de mot de passe.
* Les stratégies de mots de passe s’appliquent à tous les comptes utilisateurs du domaine et à tous les comptes utilisateurs de la base SAM locale de toutes les stations de travail / serveurs membres du domaine. Pour rappel, un contrôleur de domaine n’a pas de base SAM (uniquement une base avec un compte administreur utilisé par le mode “Restauration des services d’annuaire”).
BEST PRATICE :
Si vous décidez d’implémenter les stratégies de mot de passe, penser à :
* Inclure la DSI et la direction dans le processus. En effet, il est nécessaire que les utilisateurs (surtout les responsables) adèrent au processus. En effet, si vous définissez une taille mimimale de mots de passe de 14 caractères, le premier réflexe de vos utilisateurs va être d’écrire leurs mots de passe dernière le clavier ou sur un papier à côté de leur écran. Le niveau de sécurité diminue encore…
* Attention aux comptes de services. Il est probable que de nombreuses applications soient configurées avec des comptes utilisateurs du domaine ou des comptes utilisateurs de la base SAM locale et non avec le compte SYSTEM ou Service réseau. Que se passera t’il quand le mot de passe de ces comptes expirera. C’est tout simple, le service ne démarrera pas et vous serez en arrêt de production !
COMMENT GERER LES PROBLEMES DES COMPTES DE SERVICES :
Deux solutions :
1. Configurer tous les comptes utilisateurs du domaine et tous les comptes utilisateurs locaux (base SAM de chaque serveur) qui servent de “compte de service” avec le paramètre “Le mot de passe n’expire jamais”.
2. Configurer tous les comptes utilisateurs du domaine qui servent de “compte de service” avec le paramètre “Le mot de passe n’expire jamais”.
Pour les comptes utilisateurs de la base SAM sur les serveurs membres et les stations de travail membre du domaine :
a. Créer un objet GPO appelé par exemple « GPO Comptes locaux » au niveau des unités d’organisation qui contiennent les comptes ordinateurs de vos serveurs / stations de travail.
b. Configurer au niveau de cette GPO, les stratégies de mots de passe au niveau de “Configuration Ordinateur | Paramètres Windows | Paramètre de Sécurité | Stratégie de Comptes | Stratégie de mot de passe”.
c. Faire un GPUPDATA / FORCE. Dans mon cas, j’ai du redémarré la station de travail de tests pour que la GPO s’applique.
d. Faire alors, un “Jeu de Stratégie Résultant (RSOP)” pour voir les GPO qui s’appliquent. La stratégie de mots de passe défini au niveau l’OU est pris en compte pour les comptes utilisateurs de la base SAM locale. Ce n’est pas le cas pour les comptes utilisateurs du domaine (seule la Default Domain Policy s’applique).
e. Créer un compte utilisateur dans la base SAM d’une station de travail. Même si la “Default Domain Policy impose 7 caractères, cela marche pour un compte utilisateur de la base SAM locale.
Remarques très importantes :
* Les Best Practices veulent cependant que l’on coche tout le temps le paramètre « Le mot de passe n’expire jamais » pour un “compte de service”.
* Le contenu de cette article s’applique uniquement à des domaines Active Directory en mode mixte, natif 2000 et natif 2003.
* Les domaines en mode natif 2008 (que des contrôleurs de domaine Windows 2008) permettent de de créer des “Granular Password Policy” (multiple stratégies de mots de passe). Pour plus d’informations, voir :
http://technet.microsoft.com/en-us/library/cc770842.aspx
* Il existe de nombreux outils qui permettent d’étendre les fonctionnalités des stratégies de mots de passe (plusieurs stratégies de mots de passe, configuration des paramètres de la complexité des mots de passe, message d’avertissement…). Voir :
http://www.specopssoft.com/products/specopspasswordpolicy/
http://www.questsoftware.fr/identity-management/password_management.aspx
a+
Genial, merci beaucoup pouyr cet article, cela faisait 3 jours que je me prenais la tête avec les GPO et ne comprenait pas pourquoi ça ne fonctionnait pas. Suite à la lecture de votre article, j’ai réalisé que tous les utilisateurs avaient la case “le mot de passe n’expire jamais” qui était activé. Donc encore merci !!!