Comment configurer une politique de mot de passe de domaine
Dans cet article, vous apprendrez comment configurer la politique de mot de passe de domaine Active Directory.
Vous apprendrez également:
- Quelle est la politique de mot de passe de domaine par défaut
- Comprendre les paramètres de politique de mot de passe
- Meilleure politique de mot de passe pratiques
- Modifier la politique de mot de passe de domaine
Quest-ce que la politique de mot de passe de domaine par défaut?
Par défaut, Active Directory est configuré avec un domaine par défaut politique de mot de passe. Cette stratégie définit les exigences de mot de passe pour les comptes dutilisateurs Active Directory, telles que la longueur du mot de passe, lâge, etc.
Cette politique de mot de passe est configurée par la politique de groupe et liée à la racine du domaine. Pour afficher la politique de mot de passe, procédez comme suit:
1. Ouvrez la console de gestion des stratégies de groupe
2. Développez Domaines, votre domaine, puis regroupez les objets de stratégie
3. Cliquez avec le bouton droit sur la politique de domaine par défaut et cliquez sur modifier
4. Accédez maintenant à Configuration ordinateur \ Politiques \ Paramètres Windows \ Paramètres de sécurité \ Politiques de compte \ Politique de mot de passe
Vous pouvez également afficher le stratégie de mot de passe par défaut avec Powershell à laide de cette commande.
Get-ADDefaultDomainPasswordPolicy
Important: la politique de mot de passe par défaut est appliquée à tous les ordinateurs de le domaine. Si vous souhaitez appliquer différentes stratégies de mot de passe à un groupe dutilisateurs, il est recommandé dutiliser une stratégie de mot de passe affinée. Ne créez pas de nouvel objet de stratégie de groupe et liez-le à une unité dorganisation, ce nest pas recommandé.
Outil recommandé: Outil de nettoyage Active Directory
Trouvez les utilisateurs et les ordinateurs inactifs, gardez AD sécurisé et propre.
Téléchargez votre copie de loutil de nettoyage Active Directory
Comprendre les paramètres de politique de mot de passe
Maintenant que vous savez comment afficher la politique de mot de passe par défaut du domaine, regardons dans les paramètres.
Appliquer lhistorique des mots de passe:
Ce paramètre définit le nombre de mots de passe uniques à utiliser avant quun ancien mot de passe puisse être réutilisé. Par exemple, si mon mot de passe actuel est « Th334goore0! » alors je ne peux pas réutiliser ce mot de passe avant davoir changé mon mot de passe 24 fois (ou quel que soit le nombre sur lequel la stratégie est définie). Ce paramètre est utile pour que les utilisateurs ne continuent pas à réutiliser le même mot de passe. Le paramètre par défaut est 24
Âge maximum du mot de passe:
Ce paramètre définit la durée en jours pendant laquelle un mot de passe peut être utilisé avant de devoir être modifié. Le paramètre par défaut est de 42 jours
Mot de passe minimum age
Ce paramètre détermine la durée dutilisation dun mot de passe avant de pouvoir le modifier. Le paramètre par défaut est 1 jour
Longueur minimale du mot de passe
Ce paramètre détermine le nombre de caractères quun mot de passe doit avoir. La valeur par défaut est 7. Cela signifie que mon mot de passe doit contenir au moins 7 caractères.
Le mot de passe doit répondre aux exigences de complexité
Si activé, les mots de passe doivent répondre à ces exigences :
- Ne pas contenir le nom de compte de lutilisateur ou des parties du nom complet de lutilisateur qui dépassent deux caractères consécutifs
- Faire au moins six caractères
- Conta en caractères de trois des quatre catégories suivantes:
- Caractères anglais majuscules (A à Z)
- Caractères anglais minuscules (a à z)
- Chiffres de base 10 ( 0 à 9)
- Caractères non alphabétiques (par exemple,!, $, #,%)
Ceci est activé par par défaut
Stocker les mots de passe à laide dun cryptage réversible
Ce paramètre détermine si les systèmes dexploitation stockent les mots de passe à laide dun cryptage réversible. Cela revient essentiellement à stocker les versions les plus végétales des mots de passe. Cette stratégie ne doit JAMAIS être activée, sauf si vous avez des exigences dapplication très spécifiques.
Bonnes pratiques en matière de politique de mot de passe
Il y a des opinions différentes à ce sujet, je vais donc citer deux sources. En outre, la politique de mot de passe de votre organisation peut être régie par des exigences de conformité / réglementation telles que PCI / SOX / CJIS, etc.
Paramètres de mot de passe recommandés par Microsofts
Ces paramètres proviennent du Security Compiance Toolkit de Microsoft. Cette boîte à outils fournit les paramètres GPO recommandés par Microsoft.
- Appliquer lhistorique des mots de passe: 24
- Âge maximum du mot de passe: non défini
- Âge minimum du mot de passe: non défini
- Mot de passe minimum longueur: 14
- Le mot de passe doit être complexe: activé
- Stocker les mots de passe à laide du chiffrement réversible: désactivé
REMARQUE: Microsoft a abandonné les politiques dexpiration des mots de passe en commençant par la ligne de base de sécurité 1903. Vous pouvez en savoir plus ici
Je pense que cest une bonne décision, mais certaines organisations devront toujours suivre des guides spécifiques (comme PCI, SOX, CJIS). Espérons que ceux-ci seront bientôt mis à jour.
Paramètres de mot de passe CIS Benchmark
Ces paramètres proviennent des CIS Benchmarks.Le centre pour la sécurité Internet est une organisation à but non lucratif qui élabore des directives et des repères de sécurité.
- Appliquer lhistorique des mots de passe: 24
- Âge maximum du mot de passe: 60 jours ou moins
- Âge minimum du mot de passe: 1 ou plus
- Longueur minimale du mot de passe: 14
- Le mot de passe doit être complexe: activé
- Stocker les mots de passe à laide dun chiffrement réversible: désactivé
Modifier la politique de mot de passe du domaine par défaut
Pour modifier la politique de mot de passe, vous devrez modifier la politique de domaine par défaut.
1. Ouvrez la console de gestion des stratégies de groupe
2. Développez Domaines, votre domaine, puis regroupez les objets de stratégie
3. Cliquez avec le bouton droit sur la politique de domaine par défaut et cliquez sur modifier
4. Accédez maintenant à Configuration ordinateur \ Stratégies \ Paramètres Windows \ Paramètres de sécurité \ Stratégies de compte \ Stratégie de mot de passe
5. Maintenant, double-cliquez sur lun des paramètres à modifier. Par exemple, je vais doubler la longueur minimale du mot de passe.
Je vais modifier ce paramètre de 7 à 14 caractères, puis cliquer sur Appliquer.
Double-cliquez sur nimporte quel autre paramètre de stratégie de mot de passe pour le modifier.
Jespère que vous avez apprécié cet article.
Avez-vous des questions? Faites-moi savoir dans les commentaires ci-dessous.
Outil recommandé: SolarWinds Server & Application Monitor
Cet utilitaire a été conçu pour surveiller Active Directory et dautres services critiques comme DNS & DHCP. Il détectera rapidement les problèmes de contrôleur de domaine, empêchera les échecs de réplication, suivra les tentatives de connexion infructueuses et bien plus encore.
Ce que jaime le plus à propos de SAM, cest son tableau de bord facile à utiliser et ses fonctionnalités dalerte. Il a également la capacité de surveiller les machines virtuelles et le stockage.
Téléchargez votre essai gratuit ici