Pour ce nouvel article nous allons nous intéresser à gestion de la stratégie de mot de passe dans un domaine Active Directory. L’environnement utilisé pour réaliser cet article est composé d’une forêt mono-domaine Active Directory : « AD1.local ». L’environnement est géré par 2 contrôleurs de domaines en Windows 2012 R2 : « W2012R2DC1 » et « W2012R2DC2 ».
Dans un premier temps nous allons voir que dans un domaine Active Directory il n’y a qu’une stratégie de mot de passe qui s’applique depuis les stratégies de groupe, puis nous démontrerons qu’il est possible d’avoir des politiques différentes de mots de passe dans le même domaine depuis Windows 2008. En résumé je vous démontre un élément puis le contraire … ou presque dans la 2ème partie nous ne passerons plus par les stratégies de groupe.
Commençons d’abord par introduire les paramètres importants pour la sécurité des mots de passe :
- Conserver l’historique des mots de passe : empêche les utilisateurs de réutiliser les x derniers mots de passe.
- Durée de vie maximale du mot de passe : force le remplacement du mot de passe au maximum à x jours
- Durée de vie minimale du mot de passe : évite que les utilisateurs ne changent leur mot de passe plusieurs fois de suite pour revenir à celui d’origine
- Enregistrer les mots de passe en utilisant un chiffrement réversible : ce paramètre active le stockage des mots de passe avec un cryptage réversible et donc faiblement sécurisé. Cette option était entre autres utilisés avec des mécanismes d’authentification comme « CHAP » pour l’accès distant ou « digest » pour IIS. Il est conseillé de désactiver cette option pour des raisons de sécurité.
- Le mot de passe doit respecter des exigences de complexité. Le mot de passe doit avoir au moins 6 caractères, ne pas contenir le nom de l’utilisateur et respecter au moins 3 des 4 règles :
o Caractères majuscules de l'alphabet anglais (A à Z)
o Caractères minuscules de l'alphabet anglais (a à z)
o Chiffres de la base 10 (0 à 9)
o Caractères non alphabétiques (par exemple, !, $, #, %)
- Longueur minimale du mot de passe : avec les exigences de complexité il est au moins de 6 caractères. Si cette valeur est supérieure elle sera prioritaire. Si les exigences de complexité ne sont pas activées, la valeur définira le nombre minimal de caractère pour le mot de passe.
L’image ci-dessous nous montre les valeurs par défaut sur un domaine Active Directory
Si votre forêt contient plusieurs domaines, chaque domaine ayant des stratégies de groupe différentes, ils peuvent avoir une stratégie de mot de passes différente.
Dans les images suivantes nous allons vérifier que seule la GPO « default Domain Policy » rentre en compte dans la stratégie de mots de passe du domaine. Pour cela nous modifier la stratégie de mot de passe dans « default domain policy », en supprimant la complexité, l’historique, la durée maximale et minimale et nous garderons comme seul critère une longueur minimale de 1 caractère.
Depuis la console « utilisateurs et ordinateurs Active Directory », Nous réinitialisons le compte « Philippe Durand » avec un mot de passe à 1 caractère. Celui-ci est pris en compte sans problème.
Nous allons maintenant créer une stratégie de groupe avec des paramètres de mots de passe spécifiques d’une longueur de 2 caractères :
Nous actualisons les GPO sur le contrôleur de domaine :
Nous réinitialisons le mot de passe du compte « Philippe Dupond » avec un mot de passe d’une longueur d’un caractère :
Nous constatons que l’opération fonctionne et ce malgré la stratégie de groupe que nous venons de créer :
En utilisant l’assistant « résultats de stratégie de groupe » depuis la console GPMC (group Policy Management Console ou gestion des stratégies de groupe), nous constatons que la GPO définissant la longueur des mots de passe est bien la « Default Domain Policy » et non la GPO que nous venons de créer:
Nous allons maintenant modifier l’ordre d’application des stratégies de groupe (c’est juste un exemple et non une recommandation) :
Nous mettons à jour les stratégies (gpupdate /force)
Puis nous essayons de modifier à nouveau le mot de passe du compte :
Le nouveau mot de passe sur 1 caractère n’est pas accepté :
Alors qu’un mot de passe sur 2 caractères fonctionne sans problème :
Nous relançons la requête de l’assistant de résultat :
Nous constatons que le paramètre pris en compte est celui de la GPO « test GPO password 2 caractères » que nous venons de créer.
Allons un peu plus loin sur le même principe. La stratégie de mot de passe est un paramètre ordinateur et nous effectuons les modifications sur le contrôleur de domaine. Nous allons donc créer une GPO sur le conteur « Domain Controller » qui avec une stratégie de longueur minimale de mot de passe à 3 caractères :
Encore un « gpupdate /force ». Ensuite nous essayons de modifier le mot de passe de notre utilisateur :
Si nous vérifions les paramètres appliqués à l’aide des « résultats de stratégie de groupe » dans la console « gestion des stratégie de groupe », nous remarquons que la longueur du mot de passe est bien fixé à 2 caractères :
Par contre si nous utilisons l’assistant de modélisation, qui simule l’application des stratégies de groupe, nous constatons qu’il indique 3 caractères. Néanmoins ce paramètre n’est pas réellement appliqué comme nous avons pu le constater :
En espérant vous avoir aidé à comprendre comment les stratégies de mots de passe sont gérées dans un domaine, je vous donne rendez-vous dans la 2ème partie qui portera sur les stratégies de mots de passe affinées géré directement dans Active Directory et non dans les stratégies de groupe.