L'authentification multi-facteur permet de renforcer la sécurité de la connexion à votre compte Azure en utilisant au moins deux mécanismes combinés pour vous connecter.
Le principe de l'authentification multi facteur est de combiner aux moins deux éléments parmi un élément que vous connaissez (mot de passe), un élément que vous possédez (smartphone par exemple) ou un élément qui vous caractérise (biométrie).
Avec Windows Server 2012 R2, un nouveau groupe a été rajouté dans Active Directory : « Protected Users ».
Le groupe « Protected User » permet de réduire les risques liés aux comptes d'administration. L'ajout d'un compte dans ce groupe va modifier certains comportements. Dans cet exemple, nous verrons quelques éléments de protection liés à ce groupe.
Le compte « krbtgt » dans Active Directory est un compte du domaine particulier qui est désactivé par défaut. Le mot de passe de ce compte est utilisé pour générer les tickets pour l'authentification Kerberos. Il ne faut donc surtout pas le supprimer. Néanmoins son mot de passe est lié à la sécurité et en plus il ne change jamais. Ce compte conserve par défaut les 2 derniers mots de passe dans son historique, donc si vous le modifiez les tickets générés avec l'ancien mot de passe restent valide, les nouveaux tickets utilisant le nouveau mot de passe.
