Académique Documents
Professionnel Documents
Culture Documents
C’est pourquoi les DSI optent souvent pour l’application de stratégies, permettant de
contrôler au mieux les comportements des salariés par l’instauration de règles (longueur
minimale du mot de passe, expiration, etc.).
Et ce travail est facilité pour les structures qui opèrent par le biais d’un environnement Active
Directory.
Vous souhaitez appliquer votre politique par défaut pour tous les utilisateurs d’un même
domaine ? Cet article vous expliquera tout ce qu’il y a à savoir sur les GPO pour les mots de
passe dans Active Directory.
Vous préférez affiner l’attribution de vos règles en fonction des profils des collaborateurs ?
Nous ferons également un focus sur les PSO.
💡 Nous avons affaire ici à un paramétrage homogène : la politique de mot de passe établie
dans la GPO Default Domain Policy s’applique à l’ensemble des utilisateurs d’un domaine
Active Directory.
👉 Sur votre contrôleur de domaine, accédez à votre outil de gestion des stratégies de
groupes, Group Policy Management, et rendez-vous sur les onglets Domains > Default
Domain Policy puis éditez.
👉 Allez ensuite sur Computer Configuration > Policies > Windows Settings > Security
Settings > Password Policy.
👉 Là, configurez les différents éléments :
Enforce password history, pour renseigner le nombre d’anciens mots de passe stockés dans
l’historique de l’AD qui ne peuvent être utilisés à nouveau.
Maximum password age, pour définir à quel moment expirera le mot de passe en nombre de
jours, et ainsi forcer le renouvellement. Grâce à ce paramètre, vous gérez l’antériorité
maximale du mot de passe.
Minimum password age, pour établir le nombre de jours à partir duquel un utilisateur pourra
changer le mot de passe, et éviter les modifications trop régulières. Si vous souhaitez autoriser
un renouvellement immédiat, inscrivez 0.
Minimum password lengh, pour configurer la longueur minimale du mot de passe. Il est
recommandé d’opter pour au moins 8 caractères. L’ANSSI va même jusqu’à 12.
Password must meet complexity requirements, pour signifier si le mot de passe doit répondre
à des exigences de complexité. Grâce à ce paramètre, les collaborateurs ne peuvent utiliser le
nom du compte utilisateur. Il impose également l’usage de 3 types de caractères différents
appartenant aux 5 catégories suivantes :
lettres majuscules,
lettres minuscules,
chiffres,
caractères spéciaux,
caractères Unicode.
Store passwords using reversible encryption. Pour des raisons de sécurité, mieux vaut ne pas
activer ce critère. En effet, les mots de passe stockés se retrouveraient moins protégés, car il
sera possible de les récupérer en clair.
👉 Configurer ensuite les autres paramètres de stratégie relatifs au verrouillage du
compte dans la section Account Lockout Password :
Account lockout threshold, pour définir le nombre de tentatives de connexion échouées avant
verrouillage du compte.
Account lockout duration, qui détermine combien de temps le compte restera verrouillé suite
aux tentatives infructueuses.
Reset account lockout counter after, pour choisir le total de minutes après lequel le nombre de
tentatives échouées est réinitialisé.
Lire aussi
o Exemple d’une politique de mot de passe efficace en 10 conseils
Comment forcer le changement de mot de passe via
GPO ?
Avec les GPO, il est possible de forcer le changement des mots de passe avant l’expiration
prédéfinie.
Pour ce faire, il vous faut créer une nouvelle stratégie de groupe et la nommer.
Puis, depuis l’interface de gestion des stratégies de groupe, faites un clic droit sur le nom de
votre nouvelle stratégie pour l’éditer, puis rendez-vous sur le dossier Security Options.
👉 De là, cliquez sur l’option Interactive Logon et indiquez le nombre de jours souhaités afin
de demander le renouvellement des mots de passe avant leur expiration.
Autrement dit, il s’agit de déployer une politique spécifique en fonction des profils. Par
exemple, il est possible d’exiger un mot de passe plus long pour les services manipulant des
données sensibles (service financier notamment).
Notez toutefois que cette configuration est disponible depuis Windows Server 2008, et sur
Windows Server 2008 R2 ainsi que sur Windows Server 2022. Vous devez donc a
minima travailler sur Windows 2008 pour bénéficier de cette option.
Lire aussi
o Qu'est-ce que la FGPP, ou comment appliquer une politique de mot de passe
affinée ?
Les étapes à suivre
👉 Rendez-vous sur le Centre d’administration Active Directory, puis sur System > Password
Settings Container > New > Create Password Settings.
Comme vous le constatez, le formulaire à compléter reprend les mêmes caractéristiques que
lors de la création d’une stratégie de mot de passe via GPO :
Protect from accidental delation, pour garantir une protection contre les surpressions
accidentelles ;
Description, utile, par exemple, pour spécifier quels sont les personnes ou groupes à qui cette
politique s’adresse.
☝️Mais surtout, en opérant via PSO, les renseignements suivants s’avèrent indispensables :
Precedence : ce paramètre implique de renseigner la priorité dans le cas où plusieurs PSO sont
destinés à un même objet. Voici les règles à connaître :
la plus petite valeur indiquée sera priorisée ;
si les valeurs sont identiques, alors la stratégie qui aura le plus petit GUID (Globally
Unique IDentifier) l’emportera ;
un PSO appliqué au niveau d’un utilisateur est prioritaire sur celui appliqué au niveau
du groupe.
Directly applies to : là, vous rattachez les groupes ou utilisateurs concernés par la stratégie.
S’affiche alors une liste avec tous les utilisateurs. Sélectionnez celui qui vous intéresse, puis
allez sur Afficher les paramètres de mot de passe. Toutes les caractéristiques associées
apparaîtront alors.
PowerShell, la plateforme d’automatisation des tâches éditée par Microsoft, revient souvent
en tête de liste. Grâce à elle, vous gérez plus facilement vos politiques de mots de passe, les
associez à un utilisateur ou à un groupe et affichez toutes les informations relatives aux
stratégies effectives.
💡 Mention spéciale aussi pour Specops Password Policy, un logiciel spécialement conçu pour
renforcer les politiques de mots de passe dans l’AD. Avec cet outil, allez plus loin que ce que
propose Microsoft dans l’administration des stratégies de groupes, et optimisez la gestion des
stratégies de mot de passe à granularité fine. Par exemple, vous pouvez interdire un mot de
passe dans l’Active Directory à partir d’une liste ou d’un dictionnaire, ou encore paramétrer
plus précisément les critères d’expiration (en fonction de la longueur).
Que retenir ?
Si vous travaillez dans l’Active Directory, que vous opériez via GPO ou PSO, il est important
d’appliquer des paramètres de politique de mot de passe stricts et adaptés aux usages de
votre entreprise ainsi qu’au niveau de criticité de ses données. C’est d’ailleurs pourquoi
beaucoup d’experts favorisent la Fine Grained Password Policy, puisqu’elle autorise une
administration et une granularité plus fine, en accord avec la complexité des organisations.
Par conséquent, beaucoup de DSI font le choix de s’équiper en plus d’un logiciel
spécialisé pour renforcer leur politique de mot de passe, et assurer au maximum la protection
du système d’information de l’entreprise.