Vigilance sécuritéStratégies de mots de passe de domaine de Windows
Derek Melber
Si vous êtes administrateur d'un domaine Windows, vous ne connaissez que trop bien les contraintes liées aux stratégies de mot de passe pour les comptes d'utilisateur de domaine. Avec la venue de Windows Server 2008, cependant, certaines de ces restrictions disparaîtront. Examinons comment le nouveau système d'exploitation résout l'un de ces problèmes : l'impossibilité d'implémenter plusieurs stratégies de mot de passe.
Si vous exécutez actuellement une version de domaine Windows® quelconque (Windows NT®, Windows 2000 Active Directory® ou Windows Server® 2003 Active Directory), vous êtes limité à une seule stratégie de mot de passe par domaine. En réalité, la restriction ne vient pas uniquement de la stratégie de mot de passe, mais plutôt de l'ensemble plus large des paramètres entrant dans les stratégies de comptes. La figure 1 illustre ces stratégies et ces paramètres.
Figure 1 Stratégies de comptes
| Stratégie de mot de passe |
| Conserver l’historique des mots de passe |
| Durée de vie maximale du mot de passe |
| Durée de vie minimale du mot de passe |
| Longueur minimale des mots de passe |
| Le mot de passe doit respecter des exigences de complexité |
| Enregistrer les mots de passe en utilisant le chiffrement réversible |
| Stratégie de verrouillage des comptes |
| Durée de verrouillage des comptes |
| Seuil de verrouillage des comptes |
| Réinitialiser le compteur de verrouillages de comptes après... |
| Stratégie Kerberos |
| Appliquer les restrictions pour l'ouverture de session |
| Durée de vie maximale du ticket de service |
| Durée de vie maximale du ticket utilisateur |
| Durée de vie maximale pour le renouvellement du ticket utilisateur |
| Tolérance maximale pour la synchronisation de l'horloge de l'ordinateur |
Ces paramètres de stratégie s'appliquent à tous les comptes de domaine et d'utilisateur associés au domaine, par défaut. Cela est dû à la façon dont la stratégie de groupe hérite ses valeurs par le biais de la structure Active Directory. Pour mieux appréhender la façon dont ces stratégies affectent les comptes d'utilisateur de domaine locaux, il est important de comprendre où ces stratégies sont définies et comment l'héritage de la stratégie de groupe affecte tous les comptes utilisateur. (Notez que les paramètres de stratégie Kerberos s'appliquent uniquement aux comptes d'utilisateur de domaine, car eux seuls utilisent Kerberos pour l'authentification. Les comptes d'utilisateur locaux utilisent plutôt NTLMv2, NTLM ou LM pour l'authentification).
Définition des stratégies de comptes
Dans Active Directory, la stratégie de groupe établit et contrôle les stratégies de comptes pour l'ensemble du domaine. Cette opération s'exécute lors de l'installation initiale de votre domaine Active Directory, en liant un objet de stratégie de groupe par défaut au nœud de domaine dans Active Directory. Cet objet de stratégie de groupe, appelé stratégie de domaine par défaut, possède des configurations par défaut pour les trois sections des stratégies de comptes. La figure 2 offre une liste complète des paramètres initiaux pour les éléments de stratégie de mot de passe sur un domaine Windows Server 2003.
Figure 2** Stratégies de mots de passe par défaut pour un domaine Windows Server 2003 **(Cliquer sur l'image pour l'agrandir)
Les paramètres de cet objet de stratégie de groupe contrôlent les stratégies de comptes pour tous les comptes d'utilisateur de domaine, ainsi que pour chaque ordinateur du domaine. Il est important de se rappeler que tous les ordinateurs du domaine (postes de travail et serveurs) possèdent un Gestionnaire de comptes de sécurité local. C'est ce Gestionnaire de comptes de sécurité qui est contrôlé par les paramètres de cet objet de stratégie de groupe par défaut. Bien sûr, les Gestionnaires de comptes de sécurité locaux contiennent également des comptes utilisateur locaux pour l'ordinateur concerné.
Les paramètres de la stratégie de domaine par défaut concernent tous les ordinateurs du domaine par l'héritage normal des objets de stratégie de groupe dans toute la structure Active Directory. Puisque cet objet de stratégie de groupe est lié au nœud de domaine, il affectera tous les comptes d'ordinateur du domaine.
Ce qui est impossible avec les stratégies de mot de passe actuelles
Un grand nombre d'idées fausses sur les contrôles de mot de passe entourent l'implémentation actuelle d'Active Directory (dans Windows Server 2003), malgré les années de tests rigoureux et bien qu'aucune preuve ne vienne justifier ces idées. Il est évident, ou cela devrait l'être, que la stratégie ne fonctionnera pas autrement que conformément à sa conception.
Cela a dit, de nombreux administrateurs croient qu'il est possible d'utiliser plusieurs stratégies de mot de passe pour les utilisateurs d'un même domaine. Ils pensent qu'ils peuvent créer un objet de stratégie de groupe et le lier à une Unité d'organisation. L'idée est de déplacer des comptes utilisateur dans l'Unité d'organisation pour que l'objet de stratégie de groupe s'applique à ces objets. Dans l'objet de stratégie de groupe, les stratégies de comptes sont modifiées pour créer une stratégie de mot de passe plus sécurisée, éventuellement en définissant la longueur du mot de passe maximale à 14 caractères. Mais, pour différentes raisons, cette configuration n'offrira jamais le résultat souhaité. Premièrement, les paramètres Stratégies de mots de passe sont basés sur l'ordinateur et non sur l'utilisateur. Par conséquent, ils ne concerneront jamais un compte utilisateur. Deuxièmement, le seul moyen de modifier les paramètres Stratégies de comptes pour un compte d'utilisateur de domaine consiste à utiliser un objet de stratégie de groupe lié au domaine. Les objets de stratégie de groupe liés à l'Unité d'organisation qui sont configurés pour modifier les paramètres Stratégies de comptes modifieront le Gestionnaire de comptes de sécurité local des ordinateurs résidant dans l'Unité d'organisation ou dans des sous-unités de l'Unité d'organisation liée.
Une deuxième idée fausse est que les paramètres Stratégies de comptes établis dans le domaine racine (le domaine initial de la forêt Active Directory) seront répercutés (par héritage) sur les domaines enfants de la forêt. Ceci n'est pas non plus exact et vous ne pouvez pas faire fonctionner les paramètres de cette manière. Les objets de stratégie de groupe liés au domaine et aux Unités d'organisation d'un domaine n'affecteront pas les objets d'un autre domaine, même si le domaine où l'objet de stratégie de groupe est lié est le domaine racine. La seule méthode pour faire en sorte que les paramètres d'objet de stratégie de groupe s'étendent à des objets de domaines différents consiste à lier les objets de stratégie de groupe à des sites Active Directory.
Traitement des mots de passe dans Windows Server 2008
Comme nous venons de le voir, les versions actuelles de Windows traitent les mots de passe de compte d'utilisateur de manière simple et directe. Un seul jeu de règles de mot de passe est utilisé pour tous comptes de domaine, et la gestion des stratégies de comptes s'opère par le biais d'un objet de stratégie de groupe lié au nœud de domaine dans Active Directory. Tout ceci vole en éclat avec de Windows Server 2008.
Windows Server 2008 et son infrastructure Active Directory suivent une approche différente. Au lieu d'avoir des stratégies de comptes dans un objet de stratégie de groupe, ce qui ne permettait de déterminer qu'une seule stratégie pour tous les comptes d'utilisateur de domaine, les paramètres ont été déplacés vers une partie plus profonde d'Active Directory. De plus, les stratégies de comptes ne sont plus basées sur les comptes d'ordinateur. Vous pouvez désormais cibler des utilisateurs individuels et des groupes d'utilisateurs pour contrôler leurs restrictions de mot de passe. Il s'agit d'un concept radicalement nouveau pour les administrateurs Windows, puisque nous utilisons les stratégies de comptes pour les comptes d'ordinateur depuis très longtemps.
Stratégies de comptes dans Windows Server 2008
Dans Windows Server 2008, vous n'établirez pas les stratégies de comptes avec la stratégie de domaine par défaut. En fait, vous n'utiliserez pas les objets de stratégie de groupe pour créer des stratégies de comptes pour les comptes d'utilisateur de domaine. Dans Windows Server 2008, vous serez dirigé vers la base de données Active Directory pour effectuer vos modifications. Plus spécifiquement, vous utiliserez un outil comme ADSIEdit pour modifier l'objet Active Directory et ses attributs associés.
La raison de cette modification est que la stratégie de groupe n'est pas conçue pour plusieurs mots de passe dans le même domaine. L'implémentation de la fonctionnalité de mots de passe multiples par domaine dans Windows Server 2008 est attrayante, mais pas tout à fait aussi conviviale qu'on l'aurait souhaitée. Au fil du temps, cependant, l'interface de configuration des paramètres deviendra plus facile d'accès. Pour le moment, vous devez enfiler votre costume de pirate de base de données Active Directory pour apporter des modifications au système.
Vous n'avez pas besoin d'utiliser ADSIEdit pour modifier les paramètres de stratégie de compte si vous préférez le faire d'une autre façon. Vous pouvez utiliser tout autre outil de modification LDAP capable d'opérer dans la base de données Active Directory ou même écrire un script. En implémentant vos stratégies de mot de passe dans Windows Server 2008, votre approche devra être très différente de celle suivie jusqu'à présent. Avec ces nouvelles fonctionnalités, vous devez déterminer quels utilisateurs et quels groupes recevront quels paramètres de mot de passe.
Vous devez réfléchir non seulement à la longueur des mots de passe mais également aux restrictions supplémentaires qui accompagnent les paramètres Stratégies de mots de passe, notamment l'âge minimal et maximal, l'historique, etc. Les autres difficultés concernent notamment le contrôle des paramètres de stratégie de verrouillage d'utilisateur et les paramètres Kerberos. Il existe une relation d'équivalence entre les paramètres Stratégies de comptes courants et ceux configurés dans la base de données Active Directory dans Windows Server 2008. Toutefois, il est important de noter que les noms de chaque paramètre de stratégie sont différents maintenant qu'ils sont des objets et des attributs Active Directory.
Pour implémenter les nouveaux paramètres de mot de passe, vous devez créer un objet Paramètres de mot de passe intitulé msDS-PasswordSettings sous le conteneur Paramètres de mot de passe, dont le chemin est LDAP de « cn=Password Settings,cn=System,dc=domainname,dc=com ». Notez que le niveau fonctionnel du domaine dans lequel vous travaillez doit être défini sur Windows Server 2008. Sous ce nouvel objet, vous allez fournir des informations pour plusieurs attributs, comme illustré à la figure 3.
Figure 3 Attributs de mots de passe dans Active Directory
| Nom de l'attribut Active Directory | Description de l'attribut |
| msDS-PasswordSettingsPrecedence | Détermine ce qui a priorité dans les situations où un utilisateur est membre de plusieurs groupes avec des stratégies de mot de passe différentes. |
| msDS-PasswordReversibleEncryptionEnabled | Active ou désactive le chiffrement réversible. |
| msDS-PasswordHistoryLength | Détermine combien de mots de passe doivent être uniques avant qu'un mot de passe puisse être réutilisé. |
| msDS-PasswordComplexityEnabled | Détermine le nombre et le type de caractères requis dans un mot de passe. |
| msDS-MinimumPasswordLength | Détermine la durée minimale d'un mot de passe. |
| msDS-MinimumPasswordAge | Détermine combien de temps un utilisateur doit utiliser un mot de passe avant de le modifier. |
| msDS-MaximumPasswordAge | Détermine combien de temps un utilisateur peut utiliser un mot de passe avant de devoir le modifier. |
| msDS-LockoutThreshold | Détermine combien de tentatives manquées de saisie de mot de passe seront autorisées avant le verrouillage du compte d'utilisateur. |
| msDS-LockoutObservationWindow | Détermine le délai de réinitialisation du compteur de mots de passe incorrects. |
| msDS-LockoutDuration | Détermine la durée de verrouillage du compte après un nombre excessif d'échecs de tentatives de saisie de mot de passe. |
Comme vous pouvez le voir, tous les paramètres Stratégie de groupe relatifs aux paramètres Stratégie de compte sont dupliqués en tant qu'attributs. Notez également la présence d'un paramètre de priorité. Celui-ci est essentiel pour implémenter plusieurs mots de passe dans le même domaine, car des conflits se présenteront sûrement et nécessitent donc un mécanisme pour les traiter.
Ciblage des paramètres Stratégie de compte
Pour chaque objet que vous créez, vous devrez renseigner tous les attributs pour adapter la stratégie de compte à chaque utilisateur. Un nouvel attribut, msDS-PSOAppliesTo, détermine quels objets recevront le jeu de paramètres de stratégie. C'est l'attribut ultime qui vous permet d'affecter des paramètres spécifiques à certains utilisateurs. La liste sous cet attribut être composée d'utilisateurs ou de groupes mais, comme toujours lorsque vous établissez une liste de contrôle d'accès, il est préférable d'utiliser des groupes plutôt que des utilisateurs. Les groupes sont plus stables, plus lisibles et généralement beaucoup plus faciles à traiter.
Hauts les cœurs !
Pendant des années, nous avons tous voulu pouvoir utiliser plusieurs mots de passe dans le même domaine Active Directory, et maintenant nous le pouvons. Plus jamais les utilisateurs d'un domaine entier ne seront tenus au même niveau de sécurité en termes de mots de passe. Désormais, par exemple, les utilisateurs normaux peuvent avoir un mot de passe de 8 caractères et les professionnels de l'informatique (qui peuvent avoir des droits d'administrateur) un mot de passe plus complexe, de 14 caractères.
Il faudra du temps pour s'habituer à accéder à la base de données Active Directory pour définir ou modifier les paramètres Stratégie de compte. Heureusement, cependant, les nouveaux paramètres s'apparentent à ce que vous connaissez déjà. Veillez à explorer ces nouveaux paramètres dès que vous disposerez de Windows Server 2008, car ils entreront sûrement dans la première série de configurations que vous ferez.
Derek Melber, MCSE, CISM, MVP est consultant et formateur indépendant. Il enseigne et promeut la technologie Microsoft, se concentrant en particulier sur Active Directory, les stratégies de groupes, la sécurité et la gestion des postes de travail. Derek a rédigé plusieurs ouvrages informatiques, notamment Microsoft Windows Group Policy Guide (Microsoft Press, 2005). Vous pouvez le contacter à l'adresse derekm@braincore.net.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.