Avec l’explosion des cyberattaques dans le monde entier, il est plus important que jamais pour les organisations d’avoir une politique de mot de passe robuste. Les pirates informatiques ont souvent accès aux réseaux d’entreprise via des informations d’identification d’utilisateur ou d’administrateur légitimes, ce qui entraîne des incidents de sécurité et des défaillances de conformité. Dans cet article, nous explorerons comment créer et maintenir une politique de mot de passe Active Directory solide et efficace.
Comment les attaquants compromettent les mots de passe d’entreprise
Les pirates utilisent diverses techniques pour compromettre les mots de passe d’entreprise, notamment les suivantes:
- Attaque par force brute – Les pirates exécutent des programmes qui entrent diverses combinaisons de mots de passe potentielles jusqu’à ce qu’ils touchent le bon.
- Attaque par dictionnaire — Il s’agit d’une forme spécifique d’attaque par force brute qui consiste à essayer les mots trouvés dans le dictionnaire comme mots de passe possibles.
- Attaque par pulvérisation de mot de passe — Les pirates entrent un nom d’utilisateur connu ou un autre identifiant de compte et essaient plusieurs mots de passe courants pour voir s’ils fonctionnent.
- Attaque de bourrage d’informations d’identification — Les pirates utilisent des outils automatisés pour entrer des listes d’informations d’identification contre divers portails de connexion d’entreprise.
- Spidering — Les utilisateurs malveillants collectent autant d’informations que possible sur une cible de piratage, puis essaient des combinaisons de mots de passe créées à l’aide de ces données.
Comment afficher et modifier la stratégie de mot de passe Active Directory
Pour se défendre contre ces attaques, les organisations ont besoin d’une stratégie de mot de passe Active Directory solide. Les stratégies de mot de passe définissent différentes règles pour la création de mot de passe, telles que la longueur minimale, des détails sur la complexité (comme si un caractère spécial est requis) et la durée de vie du mot de passe avant qu’il ne soit modifié.
La stratégie de domaine par défaut est un objet de stratégie de groupe (GPO) qui contient des paramètres qui affectent tous les objets du domaine. Pour afficher et configurer une stratégie de mot de passe de domaine, les administrateurs peuvent utiliser la Console de gestion des stratégies de groupe (GPMC). Développez le dossier Domaines et choisissez le domaine auquel vous souhaitez accéder à la stratégie, puis choisissez Objets de stratégie de groupe. Cliquez avec le bouton droit sur le dossier de stratégie de domaine par défaut et sélectionnez Modifier. Accédez à Configuration de l’ordinateur – > Stratégies – > Paramètres Windows – > Paramètres de sécurité – > Stratégies de compte – > Stratégie de mot de passe.
Vous pouvez également accéder à votre stratégie de mot de passe de domaine en exécutant la commande PowerShell suivante:
Get-ADDefaultDomainPasswordPolicy
N’oubliez pas que toutes les modifications que vous apportez à la stratégie de mot de passe de domaine par défaut s’appliquent à chaque compte de ce domaine. Vous pouvez créer et gérer des stratégies de mot de passe à grain fin à l’aide du centre de gestion Active Directory (ADAC) dans Windows Server.
Comprendre les paramètres de stratégie de mot de passe AD
Voici les six paramètres de stratégie de mot de passe et leurs valeurs par défaut:
- Appliquer l’historique des mots de passe — La valeur par défaut est 24. Ce paramètre spécifie le nombre de mots de passe uniques que les utilisateurs doivent créer avant de réutiliser un ancien mot de passe. Il est recommandé de conserver la valeur par défaut pour réduire le risque que les mots de passe des utilisateurs aient été compromis.
- Âge maximum du mot de passe — La valeur par défaut est 42. Ce paramètre établit combien de temps un mot de passe peut exister avant que le système ne force l’utilisateur à le modifier. Les utilisateurs reçoivent généralement un avertissement contextuel lorsqu’ils atteignent la fin de la période d’expiration de leur mot de passe. Vous pouvez vérifier ce paramètre via PowerShell en exécutant la commande NOM d’utilisateur/ domaine de l’utilisateur net. Gardez à l’esprit que le fait de forcer de fréquents changements de mot de passe peut amener les utilisateurs à écrire leurs mots de passe ou à adopter des pratiques telles que l’ajout du mois à un mot-clé qu’ils réutilisent, ce qui augmente les risques de sécurité. Définir « Âge maximum du mot de passe » sur 0 signifie que les mots de passe n’expirent jamais (ce qui n’est généralement pas recommandé).
- Âge minimum du mot de passe — La valeur par défaut est de 1 jour. Ce paramètre spécifie combien de temps un mot de passe doit exister avant que l’utilisateur ne soit autorisé à le modifier. La définition d’un âge minimum empêche les utilisateurs de réinitialiser leur mot de passe à plusieurs reprises pour contourner le paramètre « Appliquer l’historique des mots de passe » et réutiliser immédiatement un mot de passe favori.
- Longueur minimale du mot de passe — La valeur par défaut est 7. Ce paramètre établit le plus petit nombre de caractères qu’un mot de passe puisse avoir. Alors que les mots de passe plus courts sont plus faciles à déchiffrer pour les pirates, exiger des mots de passe très longs peut entraîner des verrouillages dus à des erreurs de saisie et des risques de sécurité pour les utilisateurs qui écrivent leurs mots de passe.
- Exigences de complexité — La valeur par défaut est activée. Ce paramètre détaille les types de caractères qu’un utilisateur doit inclure dans une chaîne de mot de passe. Les meilleures pratiques recommandent d’activer ce paramètre avec une longueur de mot de passe minimale d’au moins 8 ; cela rend plus difficile la réussite des attaques par force brute. Les exigences de complexité exigent généralement que le mot de passe inclue un mélange de:
-
- Lettres majuscules ou minuscules (de A à Z et de a à z)
- Caractères numériques (0-9)
- Caractères non alphanumériques tels que $, # ou %
- Pas plus de deux symboles du nom de compte ou du nom d’affichage de l’utilisateur
- Stocker les mots de passe à l’aide d’un cryptage réversible — La valeur par défaut est désactivée. Ce paramètre prend en charge les applications qui nécessitent que les utilisateurs saisissent un mot de passe pour l’authentification. Les administrateurs doivent garder ce paramètre désactivé car son activation permettrait aux attaquants familiers avec la façon dont ce cryptage est rompu de se connecter au réseau une fois qu’ils ont compromis le compte. À titre exceptionnel, vous pouvez activer ce paramètre lorsque vous utilisez les Services d’authentification Internet (IAS) ou le Protocole d’authentification par prise de contact (CHAP).
Stratégie à grain fin et comment Elle est configurée
Les anciennes versions d’AD permettaient la création d’une seule stratégie de mot de passe pour chaque domaine. L’introduction de stratégies de mots de passe à grain fin (FGPP) dans les versions ultérieures d’AD a permis aux administrateurs de créer plusieurs stratégies de mots de passe pour mieux répondre aux besoins de l’entreprise. Par exemple, vous pouvez exiger que les comptes d’administrateur utilisent des mots de passe plus complexes que les comptes d’utilisateurs ordinaires. Il est important que vous définissiez votre structure organisationnelle de manière réfléchie afin qu’elle corresponde aux stratégies de mot de passe souhaitées.
Pendant que vous définissez la stratégie de mot de passe de domaine par défaut dans un GPO, les FGPP sont définis dans les objets paramètres de mot de passe (PSO). Pour les configurer, ouvrez l’ADAC, cliquez sur votre domaine, accédez au dossier système, puis cliquez sur le conteneur Paramètres de mot de passe.
Directives sur les mots de passe NIST SP 800-63
Le National Institute of Standards (NIST) est un organisme fédéral chargé d’émettre des contrôles et des exigences concernant la gestion des identités numériques. La publication spéciale 800-63B couvre les normes relatives aux mots de passe. La révision 3 de la norme SP 800-63B, publiée en 2017 et mise à jour en 2019, est la norme actuelle.
Ces lignes directrices fournissent aux organisations une base pour la construction d’une infrastructure de sécurité par mot de passe robuste. Les recommandations du NIST sont les suivantes:
- Exiger que les mots de passe générés par l’utilisateur comportent au moins 8 caractères (6 pour ceux générés par la machine).
- Permet aux utilisateurs de créer des mots de passe d’une longueur maximale de 64 caractères.
- Permet aux utilisateurs d’utiliser n’importe quel caractère ASCII/Unicode dans leurs mots de passe.
- Interdire les mots de passe avec des caractères séquentiels ou répétés.
- Ne nécessite pas de changements fréquents de mot de passe. Bien que depuis des années, de nombreuses organisations exigent que les utilisateurs changent fréquemment leurs mots de passe, cette politique conduit souvent les utilisateurs à apporter des modifications incrémentielles à un mot de passe de base, à écrire leurs mots de passe ou à subir des lock-out parce qu’ils oublient leurs nouveaux mots de passe. En conséquence, les dernières normes NIST 800-63B nécessitent une utilisation prudente des stratégies d’expiration des mots de passe. Des recherches plus récentes suggèrent que de meilleures alternatives incluent l’utilisation de listes de mots de passe interdits, l’utilisation de phrases de passe plus longues et l’application d’une authentification multifacteur pour une sécurité supplémentaire.
Bonnes pratiques de la Politique de mot de passe AD
Plus largement, les administrateurs doivent s’assurer de ::
- Définissez une longueur de mot de passe minimale de 8 caractères.
- Établissez les exigences de complexité du mot de passe.
- Appliquez une stratégie d’historique des mots de passe qui revient sur les 10 derniers mots de passe d’un utilisateur.
- Faites l’âge minimum du mot de passe 3 jours.
- Réinitialisez les mots de passe des administrateurs locaux tous les 180 jours (envisagez d’utiliser l’outil gratuit de réinitialisation de mot de passe Netwrix Bulk pour cela).
- Réinitialiser les mots de passe du compte de l’appareil pendant la maintenance une fois par an.
- Nécessite que les mots de passe des comptes d’administrateur de domaine comportent au moins 15 caractères.
- Configurez des notifications par e-mail pour informer les utilisateurs que les mots de passe expirent (l’outil gratuit de notification d’expiration de mot de passe Netwrix peut vous aider).
- Envisagez de créer des stratégies de mot de passe granulaires pour établir des liens avec des unités organisationnelles spécifiques au lieu de modifier les paramètres de stratégie de domaine par défaut.
- Utilisez des listes de mots de passe interdits.
- Utilisez les outils de gestion des mots de passe pour stocker plusieurs mots de passe.
Pour plus d’informations, lisez nos bonnes pratiques en matière de politique de mot de passe pour une sécurité renforcée dans AD.
L’éducation des utilisateurs est tout aussi cruciale que toute politique de mot de passe. Éduquez vos utilisateurs sur les règles de comportement suivantes:
- N’écrivez pas les mots de passe. Choisissez plutôt des mots de passe ou des mots de passe forts que vous pouvez facilement rappeler et utilisez des outils de gestion des mots de passe.
- Ne tapez pas votre mot de passe lorsque quelqu’un regarde.
- Comprenez que les adresses HTTPS:// sont plus sécurisées que les URL HTTP://.
- N’utilisez pas le même mot de passe pour plusieurs sites Web qui donnent accès à des informations sensibles.
FAQ
Comment puis-je trouver et modifier ma stratégie de mot de passe Active Directory ?
Vous pouvez trouver votre stratégie de mot de passe AD actuelle pour un domaine spécifique en accédant à la Configuration de l’ordinateur – > Stratégies – > Paramètres Windows – > Paramètres de sécurité – > Stratégies de compte – > Stratégie de mot de passe via la console de gestion, ou en utilisant la commande PowerShell Get-ADDefaultDomainPasswordPolicy.
Les mots de passe sont-ils cryptés dans Active Directory ?
Oui. Les mots de passe créés par un utilisateur passent par un algorithme de hachage qui les crypte.
Qu’est-ce que la complexité des mots de passe Active Directory ?Les exigences de complexité
contrôlent les caractères qui ne peuvent pas ou ne peuvent pas être inclus dans un mot de passe. Par exemple, les utilisateurs peuvent être empêchés d’utiliser leur nom d’utilisateur comme mot de passe ou doivent inclure au moins un chiffre et une lettre minuscule dans le mot de passe.
Qu’est-ce que la politique de mot de passe Windows Server ?
La stratégie de mot de passe Windows Server contrôle les mots de passe pour accéder aux serveurs Windows.
Comment puis-je trouver, modifier ou désactiver une stratégie de mot de passe dans Windows Server ?
Localisez l’objet de stratégie de groupe via la Console de gestion des stratégies de groupe et cliquez sur Modifier.
Qu’est-ce qu’une bonne politique de mot de passe ?
Les meilleures pratiques sont les suivantes:
- Incitez les utilisateurs à créer au moins 10 nouveaux mots de passe avant de réutiliser un ancien.
- Appliquer un âge de mot de passe maximum de 42 jours.
- Appliquer un âge de mot de passe minimum de 3 jours.
- Permet aux utilisateurs de créer des mots de passe d’au moins 8 caractères.
- Activez l’option « Exigences de complexité ».
- Désactivez le chiffrement réversible.