Stratégies au niveau du domaine

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Introduction
Stratégies de compte
Conserver l'historique des mots de passe
Durée de vie maximale du mot de passe
Durée de vie minimale du mot de passe
Longueur minimale du mot de passe
Les mots de passe doivent respecter des exigences de complexité
Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine
Stratégie de verrouillage de compte
Durée de verrouillage du compte
Seuil de verrouillage du compte
Réinitialiser le compteur de verrouillages du compte après
Stratégie Kerberos
Appliquer les restrictions pour l'ouverture de session
Durée de vie maximale du ticket de service
Durée de vie maximale du ticket utilisateur
Durée de vie maximale pour le renouvellement de ticket utilisateur
Tolérance maximale pour la synchronisation des horloges des ordinateurs

Dans ce module

Ce module explique comment définir les stratégies au niveau du domaine, notamment les stratégies de compte, les stratégies de verrouillage de compte et les stratégies Kerberos.

Haut de page

Objectifs

Utilisez ce module pour définir les stratégies au niveau du domaine suivantes :

  • Stratégies de compte

    • Conserver l'historique des mots de passe

    • Durée de vie maximale du mot de passe

    • Durée de vie minimale du mot de passe

    • Longueur minimale du mot de passe

    • Les mots de passe doivent respecter des exigences de complexité

    • Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine

  • Stratégie de verrouillage de compte

    • Durée de verrouillage du compte

    • Seuil de verrouillage du compte

    • Réinitialiser le compteur de verrouillages du compte après

  • Stratégie Kerberos

    • Appliquer les restrictions pour l'ouverture de session

    • Durée de vie maximale du ticket de service

    • Durée de vie maximale du ticket utilisateur

    • Durée de vie maximale pour le renouvellement de ticket utilisateur

    • Tolérance maximale pour la synchronisation des horloges des ordinateurs

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

  • système d'exploitation Microsoft Windows® Server™ 2003 ;

  • service d'annuaire Microsoft Active Directory® ;

  • Microsoft Windows XP.

Haut de page

Comment utiliser ce module

Ce module a pour objectif de vous fournir un document de référence expliquant les paramètres de sécurité au niveau du domaine disponibles dans les versions actuelles des systèmes d'exploitation Microsoft Windows. C'est un guide associé à deux autres publications de Microsoft : le Guide sur la sécurité de Windows Server 2003 disponible à l'adresse http://go.microsoft.com/fwlink/?LinkId=14845et le Guide sur la sécurité de Windows XP.

Ce module est organisé de façon à reprendre les principales sections qui apparaissent dans l'interface utilisateur de modification des stratégies de groupe. Il commence par une brève explication du sujet abordé, suivie de la liste des titres de sous-section. Les titres de sous-section correspondent à un paramètre ou à un groupe de paramètres. Chaque paramètre s'accompagne d'une brève explication de la contre-mesure, et contient trois autres sous-sections : vulnérabilité, contre-mesure et impact potentiel. La sous-section Vulnérabilité explique comment la contre-mesure pourrait être exploitée par un pirate si elle était configurée de façon moins sécurisée. La sous-section Contre-mesure indique comment mettre en œuvre la contre-mesure. La sous-section Impact potentiel explique l'impact négatif éventuel de la mise en œuvre de la contre-mesure.

Haut de page

Introduction

Les paramètres de stratégie de compte sont tous appliqués au niveau du domaine. La stratégie par défaut des contrôleurs de domaine, intégrée à Windows, définit les valeurs par défaut des stratégies de compte, stratégies de verrouillage de compte et stratégies Kerberos. Au moment de définir ces stratégies dans Microsoft Active Directory, gardez à l'esprit que Microsoft Windows n'autorise qu'une seule stratégie de compte de domaine : la stratégie de compte appliquée au domaine racine de l'arborescence. La stratégie de compte de domaine devient la stratégie de compte par défaut de tout système Windows membre du domaine. Il existe une seule exception à cette règle : lorsqu'une autre stratégie de compte est définie pour une unité d'organisation. Dans ce cas, les paramètres de la stratégie de compte de l'unité d'organisation (UO) affecteront la stratégie locale de tous les ordinateurs contenus dans l'UO. Les paramètres de chacun de ces types sont décrits dans ce module.

Haut de page

Stratégies de compte

Les stratégies de compte sont mises en œuvre au niveau du domaine. Un domaine Microsoft Windows Server 2003 ne doit avoir qu'une seule stratégie de mot de passe, une seule stratégie de verrouillage de compte et une seule stratégie de protocole d'authentification Kerberos version 5 pour le domaine. Si vous configurez ces stratégies à n'importe quel autre niveau dans Active Directory, elles ne s'appliqueront qu'aux comptes locaux des serveurs membres. Si certains groupes requièrent d'autres stratégies de mot de passe, vous devez les segmenter dans un domaine ou une forêt à part, en fonction de leurs autres besoins.

Sur Windows et de nombreux systèmes d'exploitation, la méthode la plus courante pour authentifier l'identité d'un utilisateur consiste à utiliser une expression de passe ou un mot de passe. La sécurisation de l'environnement réseau implique que tous les utilisateurs possèdent des mots de passe sûrs. Cela réduit le risque qu'un utilisateur non autorisé puisse deviner un mot de passe faible par des méthodes manuelles ou à l'aide d'outils conçus pour intercepter les informations d'identification d'un compte utilisateur compromis. Le risque est d'autant plus grand pour les comptes d'administration. Le classeur Microsoft Excel intitulé Windows Default Security and Services Configuration, fourni avec ce guide, explique les paramètres par défaut. Cliquez ici pour le télécharger.

L'utilisation de mots de passe complexes que l'on modifie régulièrement réduit les chances de réussite des attaques par mot de passe. Les paramètres de stratégie de mot de passe contrôlent la complexité et la durée de vie des mots de passe. Cette section décrit tous les paramètres spécifiques de la stratégie de mot de passe.

Remarque : pour les comptes de domaine, il ne peut y avoir qu'une seule stratégie de compte par domaine. La stratégie de compte doit être définie dans la Stratégie de domaine par défaut ou dans une nouvelle stratégie liée à la racine du domaine et ayant la priorité sur la Stratégie de domaine par défaut, qui est appliquée par les contrôleurs de domaine qui constituent le domaine. Un contrôleur de domaine extrait toujours la stratégie de compte auprès de la racine du domaine, même si une autre stratégie de compte est appliquée à l'unité d'organisation dont il fait partie. La racine du domaine est le conteneur de niveau supérieur du domaine, à ne pas confondre avec le domaine racine d'une forêt ; dans une forêt, le domaine racine est le domaine de niveau supérieur au sein de la forêt.

Par défaut, les stations de travail et les serveurs appartenant à un domaine, les ordinateurs membres du domaine, reçoivent également la même stratégie de compte pour leurs comptes locaux. Toutefois, il est possible d'appliquer aux ordinateurs membres des stratégies de compte local différentes en définissant une stratégie de compte pour l'UO contenant les ordinateurs membres.

Les paramètres de la stratégie de compte peuvent être configurés à l'emplacement suivant dans l'éditeur d'objets Stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mots de passe

Haut de page

Conserver l'historique des mots de passe

Le paramètre Conserver l'historique des mots de passe détermine le nombre de nouveaux mots de passe uniques devant être associés à un compte utilisateur avant qu'un ancien mot de passe puisse être réutilisé.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Valeur comprise entre 0 et 24, spécifiée par l'utilisateur

  • Non défini

Vulnérabilité

La réutilisation des mots de passe est un problème important pour toutes les entreprises. Beaucoup d'utilisateurs voudront garder longtemps le même mot de passe de compte utilisateur ou le réutiliser constamment. Plus un mot de passe est utilisé longtemps pour le même compte, plus il y a de risque qu'un pirate parvienne à le deviner par des attaques en force. Si vous obligez les utilisateurs à modifier leur mot de passe, mais que rien ne les empêche de réutiliser l'ancien ou de recycler sans cesse un petit nombre de mots de passe, l'efficacité de la stratégie de mot de passe s'en trouve considérablement réduite.

Si vous affectez un nombre peu élevé à ce paramètre, les utilisateurs pourront réutiliser continuellement la même série de mots de passe. Si le paramètre Durée de vie minimale du mot de passe n'est pas configuré non plus, les utilisateurs pourront changer leur mot de passe autant de fois que nécessaire pour revenir à leur mot de passe initial.

Contre-mesure

Définissez le paramètre Conserver l'historique des mots de passe sur 24, la valeur maximale. Le fait de configurer ce paramètre à sa valeur maximale permet de minimiser les vulnérabilités liées à la réutilisation des mots de passe.

Pour garantir l'efficacité de ce paramètre dans l'entreprise, configurez le paramètre Durée de vie minimale du mot de passe de sorte que les utilisateurs ne puissent pas modifier immédiatement leur mot de passe. Définissez cette valeur à un niveau représentant un compromis raisonnable entre la durée de vie maximale des mots de passe et l'intervalle de changement des mots de passe pour tous les utilisateurs de l'entreprise.

Impact potentiel

Le principal impact de ce paramètre est que les utilisateurs devront utiliser un nouveau mot de passe à chaque fois qu'ils auront été forcés de changer l'ancien. Le fait de demander aux utilisateurs de choisir un mot de passe totalement nouveau augmente le risque que ces derniers ressentent le besoin de consigner leurs mots de passe par écrit par crainte de les oublier.

Haut de page

Durée de vie maximale du mot de passe

Le paramètre Durée de vie maximale du mot de passe détermine le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que le système n'invite l'utilisateur à le modifier.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de jours compris entre 0 et 999, spécifié par l'utilisateur

  • Non défini

Vulnérabilité

Tous les mots de passe peuvent être détournés. Les équipements informatiques sont aujourd'hui si performants que décrypter les mots de passe les plus complexes n'est qu'une question de temps et de puissance de traitement. Certains paramètres décrits ci-dessous peuvent compliquer la tâche des pirates en augmentant le temps nécessaire au décryptage des mots de passe. Toutefois, le fait de changer fréquemment les mots de passe permet de réduire le risque de décryptage, mais aussi de limiter le temps pendant lequel un pirate pourrait utiliser un mot de passe obtenu frauduleusement. Le paramètre de durée de vie maximale du mot de passe peut être défini de sorte que les utilisateurs ne soient jamais tenus de modifier leur mot de passe, mais cela introduirait un risque majeur.

Contre-mesure

Attribuez au paramètre Durée de vie maximale du mot de passe une valeur comprise entre 30 et 60 jours. Vous pouvez configurer le paramètre Durée de vie maximale du mot de passe de sorte qu'il n'expire jamais, en entrant le nombre 0.

Impact potentiel

Si vous définissez une valeur de durée de vie maximale du mot de passe trop réduite, les utilisateurs devront modifier leur mot de passe très souvent. Cela risque en fait de poser un problème de sécurité dans l'entreprise car les utilisateurs seront alors tentés de consigner leurs mots de passe par écrit pour éviter de les oublier. Définir une valeur trop élevée pose également un problème de sécurité car cela laisse aux pirates potentiels beaucoup plus de temps pour décrypter le mot de passe d'un utilisateur.

Haut de page

Durée de vie minimale du mot de passe

Le paramètre Durée de vie minimale du mot de passe détermine le nombre de jours pendant lesquels un mot de passe doit être utilisé avant que l'utilisateur ne soit autorisé à le changer. La valeur du paramètre Durée de vie minimale du mot de passe doit être inférieure à la valeur du paramètre Durée de vie maximale du mot de passe.

Donnez-lui une valeur supérieure à 0 si vous souhaitez que le paramètre Conserver l'historique des mots de passe soit efficace. Si le paramètre Conserver l'historique des mots de passe est défini sur 0, l'utilisateur n'a pas à choisir de nouveaux mots de passe. Si l'historique des mots de passe est utilisé, les utilisateurs doivent entrer un mot de passe totalement nouveau lorsqu'ils changent de mot de passe.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de jours compris entre 0 et 998, spécifié par l'utilisateur

  • Non défini

Vulnérabilité

Forcer les utilisateurs à changer régulièrement de mot de passe est inutile si ces derniers peuvent réutiliser continuellement d'anciens mots de passe. Pour éviter cela, utilisez ce paramètre en conjonction avec le paramètre Conserver l'historique des mots de passe. Par exemple, si le paramètre Conserver l'historique des mots de passe empêche les utilisateurs de réutiliser l'un de leurs 12 derniers mots de passe, et que le paramètre Durée de vie minimale du mot de passe n'est pas défini sur une valeur supérieure à 0, ces derniers pourraient changer 13 fois de suite de mot de passe afin de reprendre leur mot de passe initial. Vous devez donc lui affecter une valeur supérieure à 0 pour que le paramètre Conserver l'historique des mots de passe soit efficace.

Contre-mesure

Attribuez au paramètre Durée de vie minimale du mot de passe une valeur de 2 jours. Une valeur de 0 jours autorise les changements immédiats de mot de passe, ce qui n'est pas recommandé.

Impact potentiel

Affecter au paramètre Durée de vie minimale du mot de passe une valeur supérieure à 0 présente un inconvénient mineur. Si un administrateur définit le mot de passe d'un utilisateur et compte lui demander de changer ce mot de passe, il doit activer la case à cocher L'utilisateur doit changer de mot de passe à la prochaine ouverture de session. Sinon, l'utilisateur ne pourra pas changer le mot de passe avant le lendemain.

Haut de page

Longueur minimale du mot de passe

Le paramètre Longueur minimale du mot de passe détermine le nombre minimal de caractères qu'un mot de passe de compte utilisateur doit contenir. Il existe de nombreuses théories différentes sur la détermination de la longueur de mot de passe optimale pour une entreprise, mais le terme « expression de passe » est peut-être plus approprié que « mot de passe ». Dans Microsoft Windows 2000 et ses versions ultérieures, les expressions de passe peuvent être relativement longues et inclure des espaces. Une phrase de type « J'aimerais boire un milkshake à 5 $ » est une expression de passe valide, qui s'avère beaucoup plus sûre qu'une chaîne de 8 ou 10 caractères et chiffres choisis au hasard, tout en étant plus facile à retenir.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre compris entre 0 et 14, spécifié par l'utilisateur

  • Non défini

Vulnérabilité

Plusieurs types d'attaques peuvent être lancés dans le but d'obtenir le mot de passe d'un compte utilisateur donné. Il s'agit notamment des attaques de dictionnaire, qui consistent à essayer des mots et des expressions existantes, et des attaques en force, qui consistent à essayer toutes les combinaisons possibles de caractères. D'autres attaques consistent à obtenir le mot de passe de base de données et à utiliser des utilitaires pour détourner les comptes et les mots de passe.

Contre-mesure

Attribuez au paramètre Longueur minimale du mot de passe une valeur de 8. Si le nombre de caractères est défini sur 0, aucun mot de passe ne sera demandé.

Dans la plupart des environnements, il est conseillé d'utiliser des mots de passe à 8 caractères car c'est une longueur suffisante pour garantir une sécurité appropriée, tout en restant facilement mémorisable du point de vue des utilisateurs. Ce paramètre assure une protection appropriée contre les attaques en force. L'ajout d'exigences de complexité permet de réduire les risques liés aux attaques de dictionnaire. Les exigences de complexité sont traitées dans la section suivante.

Impact potentiel

Autoriser des mots de passe courts pose un problème de sécurité car il devient plus facile de découvrir les mots de passe en lançant des attaques de dictionnaire ou des attaques en force à l'aide d'outils. Exiger de très longs mots de passe peut générer un nombre élevé d'erreurs de saisie des mots de passe et par-là même une augmentation des comptes bloqués et des appels passés au support technique.

Demander des mots de passe extrêmement longs risque en fait de faire décroître la sécurité d'une entreprise car les utilisateurs seront plus enclins à les écrire par peur de les oublier. Si vous leur expliquez qu'ils peuvent utiliser des expressions de passe comme indiqué plus haut, ils devraient réussir à s'en souvenir beaucoup plus facilement.

Haut de page

Les mots de passe doivent respecter des exigences de complexité

Le paramètre Les mots de passe doivent respecter des exigences de complexité détermine si les mots de passe doivent suivre un ensemble de critères jugés importants pour les mots de passe sûrs.

Si vous activez cette stratégie, les mots de passe devront respecter les exigences suivantes :

  • Le mot de passe doit contenir au moins six caractères.

  • Le mot de passe contient des caractères provenant de trois des quatre catégories suivantes :

    • Majuscules non accentuées (de A à Z)

    • Minuscules non accentuées (de a à z)

    • Nombre décimaux (de 0 à 9)

    • Caractères non alphanumériques (par exemple : !, $, # ou %)

  • Le mot de passe ne contient pas plus de deux caractères du nom de compte de l'utilisateur. Si le nom de compte fait moins de trois caractères, cette vérification n'est pas effectuée parce que le taux de rejet des mots de passe serait trop élevé. Lorsque vous vérifiez le nom complet de l'utilisateur, plusieurs caractères sont considérés comme des séparateurs qui divisent le nom en plusieurs unités : virgules, points, tirets/traits d'union, caractères de soulignement, espaces, symboles de livre sterling et marques de tabulation. Chaque unité composée d'au moins trois caractères est recherchée dans le mot de passe. Si elle y est présente, la modification du mot de passe est rejetée. Par exemple, le nom « Erin M. Hagens » est divisé en trois unités : « Erin », « M » et « Hagens ». La deuxième unité ne contentant qu'un seul caractère, elle ne sera pas prise en compte. Par conséquent, cet utilisateur ne peut pas créer un mot de passe contenant la chaîne « erin » ou « hagens ». Toutes ces vérifications ne prennent pas en compte la casse.

Ces exigences de sécurité sont appliquées lors de la modification ou de la création de mots de passe.

Les règles incluses dans la stratégie de Windows Server 2003 ne peuvent pas être modifiées directement. Toutefois, il est possible de créer une nouvelle version de passfilt.dll pour appliquer un ensemble de règles différent. Pour obtenir le code source de passfilt.dll, consultez l'article 151082 de la Base de connaissances Microsoft : « HOW TO: Password Change Filtering & Notification in Windows NT » à l'adresse : http://support.microsoft.com/default.aspx?scid=151082.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Activé

  • Désactivé

  • Non défini

Vulnérabilité

Les mots de passe qui ne contiennent que des caractères alphanumériques sont extrêmement faciles à découvrir, à l'aide de différents utilitaires disponibles partout. Pour éviter cela, les mots de passe doivent contenir d'autres caractères et répondre à certaines exigences.

Contre-mesure

Affectez la valeur Activé au paramètre Le mot de passe doit respecter des exigences de complexité.

Associé à une Longueur minimale du mot de passe de 8, ce paramètre permet de faire en sorte qu'il existe au moins 218 340 105 584 896 possibilités différentes pour un seul mot de passe. Cela complique les attaques en force, bien qu'elles restent possibles. Un pirate disposant d'un matériel capable de tester 1 million de mots de passe par seconde pourrait retrouver le mot de passe en environ sept jours et demi, au maximum.

Impact potentiel

L'activation de la stratégie passfilt.dll par défaut peut augmenter le nombre d'appels passés au support technique en raison de comptes bloqués, les utilisateurs n'étant pas habitués à utiliser des mots de passe qui contiennent des caractères autres que ceux de l'alphabet. Toutefois, ce paramètre est suffisamment souple pour que les utilisateurs puissent rapidement apprendre à en satisfaire les exigences.

Vous pouvez personnaliser passfilt.dll pour spécifier l'utilisation de caractères ne provenant pas de la rangée du haut. Les caractères de la rangée du haut sont ceux que vous obtenez en appuyant sur les chiffres 1 à 10 tout en maintenant la touche MAJ enfoncée.

L'utilisation de combinaisons de la touche Alt et de caractères peut également améliorer considérablement la complexité d'un mot de passe. Toutefois, le fait de demander à tous les utilisateurs d'une entreprise de respecter des exigences de mot de passe aussi contraignantes peut entraîner des mécontentements et alourdir considérablement la charge de travail du support technique. Pensez éventuellement à exiger que tous les mots de passe des comptes d'administration incluent des caractères ALT compris dans la plage 0128 – 0159. En dehors de cette plage, les caractères ALT peuvent correspondre à des caractères alphanumériques qui n'ajouteraient aucune complexité au mot de passe.

Haut de page

Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine

Le paramètre Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine détermine si Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Édition Professionnel et Windows XP Édition Professionnel stockent les mots de passe à l'aide du cryptage réversible.

Cette stratégie permet de prendre en charge les applications utilisant des protocoles qui nécessitent la reconnaissance du mot de passe de l'utilisateur dans le cadre du processus d'authentification. Par définition, stocker les mots de passe cryptés de façon réversible signifie qu'ils peuvent être décryptés. Un pirate bien informé, capable de décoder ce cryptage, pourrait ensuite accéder aux ressources réseau à l'aide du compte compromis. C'est pour cette raison que ce paramètre ne doit jamais être activé, sauf si les exigences d'une application l'emportent sur la protection des données de mots de passe.

L'activation de ce paramètre est nécessaire pour utiliser l'authentification CHAP via l'accès à distance ou les services IAS (Internet Authentication Service). Le protocole CHAP (Challenge Handshake Authentication Protocol) est un protocole d'authentification utilisé par l'accès à distance et les connexions réseau Microsoft. L'authentification avancée dans Microsoft Internet Information Services (IIS) nécessite également ce paramètre.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Activé

  • Désactivé

  • Non défini

Vulnérabilité

Ce paramètre détermine si Windows Server 2003 stocke les mots de passe dans un format moins fiable et beaucoup plus vulnérable aux attaques en force.

Contre-mesure

Définissez le paramètre Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine sur Désactivé.

Impact potentiel

Ce paramètre est requis si vous utilisez le protocole d'authentification CHAP via le service d'accès à distance ou d'authentification Internet (IAS). L'authentification avancée dans IIS requiert que ce paramètre soit défini sur Activé. C'est un paramètre extrêmement dangereux, à appliquer utilisateur par utilisateur à l'aide d'une stratégie de groupe, car il implique l'ouverture de l'objet de compte utilisateur dans la console Utilisateurs et ordinateurs Active Directory.

Attention : ce paramètre ne doit jamais être activé, sauf si les exigences de l'entreprise l'emportent sur la protection des données de mots de passe.

Haut de page

Stratégie de verrouillage de compte

Un grand nombre de saisies infructueuses du mot de passe au cours d'une tentative d'ouverture de session sur le système peut révéler qu'un pirate est en train d'essayer de trouver le mot de passe d'un compte en procédant par tâtonnement. Windows Server 2003 conserve un historique des tentatives de connexion, et le système d'exploitation peut être configuré pour répondre à ce type d'attaque potentielle en désactivant le compte pendant une période prédéfinie. Les paramètres de verrouillage de compte contrôlent le seuil de la réponse et les actions à entreprendre lorsque le seuil est atteint. Le classeur Microsoft Excel intitulé Windows Default Security and Services Configuration, fourni avec ce guide, explique les paramètres par défaut.

Les paramètres de la stratégie de verrouillage de compte peuvent être configurés à l'emplacement suivant dans l'éditeur d'objets Stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de verrouillage de comptes

Haut de page

Durée de verrouillage du compte

Le paramètre Durée de verrouillage du compte détermine le nombre de minutes pendant lesquelles le compte reste verrouillé, avant d'être automatiquement déverrouillé. Ce nombre peut être compris entre 1 et 99 999 minutes. Vous pouvez spécifier la valeur 0 pour que le compte reste bloqué jusqu'à ce qu'un administrateur le déverrouille explicitement. Si un seuil de verrouillage du compte est défini, la durée de verrouillage du compte doit être supérieure ou égale à la durée de réinitialisation.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de minutes compris entre 0 et 99,999, spécifié par l'utilisateur

  • Non défini

Vulnérabilité

Une attaque par déni de service (DoS, Denial of Service) peut être lancée si un pirate utilise le Seuil de verrouillage du compte à mauvais escient et tente continuellement de se connecter à un compte. Si le Seuil de verrouillage du compte est configuré, le compte est verrouillé dès que le nombre maximal de tentatives infructueuses spécifié est atteint. Si la valeur du paramètre Durée de verrouillage du compte est définie sur 0, le compte reste verrouillé tant qu'un administrateur ne le déverrouille pas manuellement.

Contre-mesure

Définissez Durée de verrouillage du compte sur 30 minutes. Pour spécifier que le compte ne doit jamais être déverrouillé, définissez cette valeur sur 0.

Impact potentiel

Même si le fait de configurer ce paramètre pour qu'il ne se déverrouille jamais peut paraître une bonne idée, un tel paramétrage risque d'accroître le nombre d'appels auxquels aura à faire face le service de support technique de l'entreprise pour déverrouiller les comptes verrouillés par erreur.

Haut de page

Seuil de verrouillage du compte

Le paramètre Seuil de verrouillage du compte détermine le nombre de tentatives de connexion infructueuses à partir duquel le compte est verrouillé. Un compte verrouillé ne peut plus être utilisé tant qu'il n'a pas été déverrouillé par un administrateur ou tant que la durée de verrouillage du compte n'a pas expiré. Vous pouvez définir un nombre de tentatives de connexion compris entre 1 et 999 ou spécifier que le compte ne doit jamais être verrouillé en spécifiant la valeur 0. Si vous définissez un seuil de verrouillage du compte, alors la durée de verrouillage du compte doit être supérieure ou égale à la durée de réinitialisation.

Les échecs des tentatives de saisie de mot de passe sur les stations de travail ou les serveurs membres ayant été verrouillés par les touches Ctrl+Alt+Suppr ou des écrans de veille protégés par mot de passe ne sont pas considérés comme des tentatives d'ouverture de session infructueuses, à moins que la stratégie de groupe Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail soit activée Si le paramètre Ouverture de session interactive : nécessite l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail est activé, les échecs répétés de saisie de mot de passe pour déverrouiller la station de travail sont comptabilisés pour l'évaluation du Seuil de verrouillage du compte.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Valeur comprise entre 0 et 999, spécifiée par l'utilisateur

  • Non défini

Vulnérabilité

Les attaques de mot de passe peuvent passer par des outils qui essayent automatiquement des milliers, voire des millions, de combinaisons de mot de passe pour l'un des comptes utilisateur ou l'ensemble de ces comptes. Limiter le nombre de tentatives de connexion infructueuses pouvant être réalisées élimine quasiment toute chance de réussite de ces attaques.

Il est néanmoins important de noter qu'un domaine pour lequel un seuil de verrouillage de compte a été configuré pourrait faire l'objet d'une attaque par déni de service. Un utilisateur malveillant pourrait lancer, par programme, une série d'attaques de mot de passe visant l'ensemble des utilisateurs d'une organisation. Si le nombre de tentatives dépasse le seuil de verrouillage du compte, le pirate parvient alors à bloquer tous les comptes.

Contre-mesure

Comme il existe des vulnérabilités à la fois lorsque ce paramètre et défini et lorsqu'il ne l'est pas, deux contre-mesures distinctes sont définies. Chaque organisation doit peser le pour et le contre des deux possibilités en fonction des menaces identifiées et des risques qu'elle essaie de parer. Deux options doivent être prises en compte pour ce paramètre.

  • Définissez Seuil de verrouillage du compte sur 0. Cela garantit que les comptes ne seront pas verrouillés. Ce paramétrage permet d'empêcher les attaques par déni de service visant à verrouiller intentionnellement l'ensemble des comptes ou certains d'entre eux. De plus, les appels passés au support technique s'en verront réduits car les utilisateurs ne pourront pas verrouiller accidentellement leurs comptes.

    Comme cela n'empêche pas une attaque en force, choisissez ce paramètre uniquement si les deux critères suivants sont remplis :

    • La stratégie de mot de passe force tous les utilisateurs à avoir des mots de passe complexes de 8 caractères ou plus.

    • Il existe un solide mécanisme d'audit permettant d'alerter les administrateurs lorsqu'une série d'échecs de connexion se produit dans l'environnement.

  • Si ces deux critères ne sont pas remplis, configurez le paramètre Seuil de verrouillage du compte sur une valeur suffisamment élevée pour donner à l'utilisateur la possibilité d'entrer un mot de passe erroné plusieurs fois sans verrouiller son compte, tout en s'assurant qu'une attaque de mot de passe en force continuera de verrouiller le compte. Dans ce cas, il est conseillé de choisir un nombre de tentatives d'ouverture de session infructueuses de 50 environ. Ce paramétrage évite les verrouillages accidentels de compte, réduit le nombre d'appels au support technique, mais n'empêchera pas les attaques par déni de service décrites précédemment.

Impact potentiel

L'activation de ce paramètre rend le compte verrouillé inutilisable tant qu'il n'a pas été déverrouillé par un administrateur ou tant que la durée de verrouillage du compte n'a pas expiré. Il entraînera probablement une augmentation des appels passés au support technique. Dans de nombreuses entreprises, le verrouillage des comptes représente en fait la première cause d'appels au service interne de support technique.

Si le seuil de verrouillage de compte est défini sur 0, il est possible qu'une tentative de découverte de mot de passe par attaque en force passe inaperçue.

Haut de page

Réinitialiser le compteur de verrouillages du compte après

Le paramètre Réinitialiser le compteur de verrouillages du compte après détermine le nombre de minutes devant s'écouler après une tentative d'ouverture de session infructueuse pour que le compteur d'échecs d'ouverture de session revienne à 0. Si un Seuil de verrouillage du compte est défini, cette durée de réinitialisation doit être inférieure ou égale à la Durée de verrouillage du compte.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de minutes compris entre 1 et 99 999, spécifié par l'utilisateur

  • Non défini

Vulnérabilité

Les utilisateurs peuvent verrouiller accidentellement leurs comptes s'ils entrent un mot de passe erroné plusieurs fois de suite. Pour limiter ce risque, le paramètre Réinitialiser le compteur de verrouillages du compte après détermine le nombre de minutes devant s'écouler après une tentative d'ouverture de session infructueuse pour que le compteur d'échecs d'ouverture de session revienne à 0.

Contre-mesure

Définissez la valeur du paramètre Réinitialiser le compteur de verrouillages du compte après sur 30 minutes.

Impact potentiel

Si ce paramètre n'est pas défini ou qu'il est défini sur un intervalle trop long, une attaque par déni de service pourrait se produire. Un pirate pourrait exécuter un nombre de tentatives d'ouverture de sessions qui échoueront sur tous les comptes utilisateur de votre organisation, ce qui les verrouillera comme décrit précédemment. Si aucune stratégie n'est définie pour remettre à zéro le verrouillage des comptes, les administrateurs devront déverrouiller manuellement tous les comptes. Si ce paramètre est configuré sur une durée raisonnable, les comptes utilisateur seront verrouillés pendant une certaine période, puis ils seront déverrouillés automatiquement.

Haut de page

Stratégie Kerberos

Dans Windows Server 2003, le protocole d'authentification Kerberos version 5 fournit le mécanisme par défaut utilisé par les services d'authentification, ainsi que les données d'autorisation requises pour permettre aux utilisateurs d'accéder aux ressources et d'effectuer des opérations sur celles-ci. En diminuant la durée de vie des tickets Kerberos, vous diminuez le risque que les informations d'identification légitimes d'un utilisateur soient détournées par un pirate. Cependant, vous augmentez la charge liée à l'autorisation. Dans la plupart des environnements, ces paramètres n'ont pas à être modifiés. Ces paramètres sont appliqués au niveau du domaine. Les valeurs par défaut sont configurées dans l'objet Stratégie de groupe du domaine par défaut de l'installation par défaut d'un domaine Active Directory Windows 2000 ou Windows Server 2003. Le classeur Microsoft Excel intitulé Windows Default Security and Services Configuration, fourni avec ce guide, explique les paramètres par défaut.

Les paramètres de la stratégie Kerberos peuvent être configurés à l'emplacement suivant dans l'éditeur d'objets Stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie Kerberos

Haut de page

Appliquer les restrictions pour l'ouverture de session

Ce paramètre de sécurité détermine si le service système Centre de distribution de clés Kerberos V5 valide chaque demande de ticket de session en vérifiant la stratégie des droits utilisateur du compte utilisateur. La validation de toutes les demandes de ticket de session est une étape facultative car elle prend du temps et peut ralentir l'accès aux services via le réseau.

Vulnérabilité

Si ce paramètre est désactivé, les utilisateurs pourront se voir attribuer des tickets de session correspondant à des services qu'ils n'ont pas le droit d'utiliser.

Contre-mesure

Affectez la valeur Activé au paramètre Appliquer les restrictions pour l'ouverture de session.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Activé

  • Désactivé

  • Non défini

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Haut de page

Durée de vie maximale du ticket de service

Ce paramètre de sécurité détermine la durée maximale (en minutes) pendant laquelle un ticket de session accordé peut être utilisé pour accéder à un service donné. Ce paramètre doit être défini sur une valeur de 10 minutes ou plus, et inférieure à la Durée de vie maximale du ticket utilisateur.

Si un client présente un ticket de session expiré lors d'une demande de connexion à un serveur, le serveur renvoie un message d'erreur. Le client doit demander un nouveau ticket de session au Centre de distribution de clés Kerberos V5. Une fois la connexion authentifiée, toutefois, la durée de validité du ticket de session n'est plus prise en compte. Les tickets de session servent uniquement à authentifier les nouvelles connexions aux serveurs. Les opérations en cours ne sont pas interrompues si le ticket de session ayant servi à authentifier la connexion expire au cours de celle-ci.

Vulnérabilité

Si la valeur de ce paramètre est trop élevée, les utilisateurs pourront accéder aux ressources réseau en dehors de leurs horaires de connexion, ou les utilisateurs dont les comptes ont été désactivés pourront continuer à accéder aux ressources réseau à l'aide de tickets de service émis avant la désactivation du compte.

Contre-mesure

Définissez Durée de vie maximale du ticket de service sur 600 minutes.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de minutes spécifié par l'utilisateur, compris entre 10 et 99 999, ou 0 (dans ce cas, les tickets de service n'expirent pas)

  • Non défini

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Haut de page

Durée de vie maximale du ticket utilisateur

Ce paramètre de sécurité détermine la durée maximale (en heures) d'un ticket d'attribution de tickets octroyé à un utilisateur. Lorsque le ticket d'attribution de tickets d'un utilisateur expire, un nouveau ticket doit être demandé ou le ticket existant doit être « renouvelé ».

Vulnérabilité

Si la valeur de ce paramètre est trop élevée, les utilisateurs pourront accéder aux ressources réseau en dehors de leurs horaires de connexion, ou les utilisateurs dont les comptes ont été désactivés pourront continuer à accéder aux ressources réseau à l'aide de tickets de service émis avant la désactivation du compte.

Contre-mesure

Définissez Durée de vie maximale du ticket utilisateur sur 10 minutes.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de minutes compris entre 0 et 99 999, spécifié par l'utilisateur

  • Non défini

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Haut de page

Durée de vie maximale pour le renouvellement de ticket utilisateur

Ce paramètre de sécurité détermine la période maximale (en jours) au cours de laquelle le ticket d'attribution de tickets d'un utilisateur peut être renouvelé.

Vulnérabilité

Si la valeur de ce paramètre est trop élevée, les utilisateurs pourront renouveler des tickets utilisateur octroyés il y a très longtemps.

Contre-mesure

Définissez Durée de vie maximale pour le renouvellement de ticket utilisateur sur 7 jours.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de minutes compris entre 0 et 99 999, spécifié par l'utilisateur

  • Non défini

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Haut de page

Tolérance maximale pour la synchronisation des horloges des ordinateurs

Ce paramètre de sécurité détermine l'intervalle maximal (en minutes) que Kerberos V5 tolère entre l'heure de l'horloge du client et l'heure du contrôleur de domaine sur lequel le système Windows Server 2003 fournissant l'authentification Kerberos est exécuté.

Vulnérabilité

Pour éviter les « attaques par relecture », la définition du protocole Kerberos V5 inclut l'horodatage. Pour que l'horodatage fonctionne correctement, les horloges du client et du contrôleur de domaine doivent être aussi synchrones que possible. Étant donné que l'heure varie très souvent d'un ordinateur à l'autre, les administrateurs peuvent utiliser cette stratégie pour définir la différence maximale que Kerberos V5 peut accepter entre l'horloge d'un client et celle du contrôleur de domaine. Si la différence entre l'horloge d'un client et l'horloge du contrôleur de domaine est inférieure à la différence maximale définie dans la stratégie, tout horodatage utilisé dans une session entre les deux ordinateurs est considéré comme authentique.

Contre-mesure

Définissez Tolérance maximale pour la synchronisation des horloges des ordinateurs sur 5 minutes.

Ce paramètre de stratégie de groupe peut prendre les valeurs suivantes :

  • Nombre de minutes compris entre 1 et 99 999, spécifié par l'utilisateur

  • Non défini

Impact potentiel

Aucun. Il s'agit du paramètre par défaut.

Haut de page