Stratégie de mot de passe

S'applique à: Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Cette rubrique de référence de stratégie de sécurité pour les professionnels de l’informatique fournit une vue d’ensemble des stratégies de mot de passe pour Windows et des liens vers des informations pour chaque paramètre de stratégie.

Dans de nombreux systèmes d’exploitation, la méthode la plus courante pour authentifier l’identité d’un utilisateur consiste à utiliser une phrase secrète ou un mot de passe. Un environnement réseau sécurisé, tous les utilisateurs à utiliser des mots de passe forts, au moins huit caractères et incluent une combinaison de lettres, chiffres et symboles. Ces mots de passe est un moyen d’éviter la compromission des comptes d’utilisateurs et des comptes d’administration des utilisateurs non autorisés qui utilisent des méthodes manuelles ou des outils automatisés de deviner les mots de passe faibles. Les mots de passe forts sont régulièrement modifiés réduisent la probabilité d’une attaque de mot de passe.

Introduite dans Windows Server 2008 R2 et Windows Server 2008, Windows prend en charge les stratégies de mot de passe affinées. Cette fonctionnalité offre aux organisations un moyen de définir le mot de passe et stratégies de verrouillage de compte pour différents groupes d’utilisateurs dans un domaine. Dans les domaines Windows 2000 Server et Windows Server 2003 Active Directory, stratégie de verrouillage de compte et de stratégie de mot de passe qu’une seule peut être appliqués à tous les utilisateurs du domaine. Stratégies de mot de passe affinées s’appliquent uniquement aux objets utilisateur (ou des objets inetOrgPerson si elles sont utilisées au lieu d’objets utilisateur) et les groupes de sécurité globaux.

Pour appliquer une stratégie de mot de passe affinées aux utilisateurs d’une unité d’organisation, vous pouvez utiliser un groupe d’ombres. Un groupe de clichés instantanés est un groupe de sécurité global est logiquement associé à une unité d’organisation pour appliquer une stratégie de mot de passe affinées. Vous ajoutez des utilisateurs de l’unité d’organisation en tant que membres du groupe de clichés instantanés nouvellement créé et ensuite appliquez la stratégie de mot de passe affinées à ce groupe de clichés instantanés. Vous pouvez créer des groupes de clichés instantanés supplémentaires pour d’autres unités d’organisation en fonction des besoins. Si vous déplacez un utilisateur à partir d’une unité d’organisation à l’autre, vous devez mettre à jour l’appartenance des groupes de clichés instantanés correspondant.

Stratégies de mot de passe affinées incluent les attributs pour tous les paramètres qui peuvent être définis dans la stratégie de domaine par défaut (à l’exception des paramètres Kerberos) en plus des paramètres de verrouillage de compte. Lorsque vous spécifiez une stratégie de mot de passe affinées, vous devez spécifier tous ces paramètres. Par défaut, seuls les membres du groupe Admins du domaine peuvent définir des stratégies de mot de passe affinées. Toutefois, vous pouvez également déléguer la capacité à définir de telles stratégies à d’autres utilisateurs. Le domaine doit être exécuté au moins Windows Server 2008 R2 ou Windows Server 2008 pour utiliser des stratégies de mot de passe affinées. Stratégies de mot de passe affinées ne peut pas être appliqués directement à une unité d’organisation (UO).

Stratégies de mot de passe affinée n’interfèrent pas avec les filtres de mot de passe personnalisé que vous pouvez utiliser dans le même domaine. Les organisations ayant déployé des filtres de mot de passe personnalisé pour les contrôleurs de domaine exécutant Windows 2000 Server ou Windows Server 2003 peuvent continuer à utiliser ces filtres de mot de passe pour appliquer des restrictions supplémentaires pour les mots de passe. Pour plus d’informations sur les stratégies de mot de passe affinées, voir AD DS : stratégies de mot de passe affinées.

Vous pouvez imposer l’utilisation des mots de passe via une stratégie de mot de passe approprié. Les paramètres de stratégie de mot de passe qui contrôlent la complexité et la durée de vie des mots de passe, tels que les les mots de passe doivent respecter des exigences de complexité paramètre de stratégie.

Vous pouvez configurer les paramètres de stratégie de mot de passe à l’emplacement suivant sur votre contrôleur de domaine à l’aide de la Console de gestion des stratégies de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies Comptes\stratégie

Si tous les groupes nécessitent des stratégies de mot de passe distincts, ces groupes doivent être séparées dans un autre domaine ou forêt, selon les exigences supplémentaires.

Pour plus d’informations sur la définition des stratégies de sécurité, consultez Comment configurer les paramètres de stratégie de sécurité.

Les rubriques suivantes fournissent une présentation de la mise en œuvre de stratégie de mot de passe et meilleure considérations pratiques, l’emplacement de la stratégie, valeurs par défaut pour le type de serveur ou d’un objet de stratégie de groupe, les différences pertinentes dans les versions de système d’exploitation, les considérations de sécurité (y compris les failles possibles de chaque paramètre), les contre-mesures que vous pouvez prendre, et avoir un impact sur le potentiel de chaque paramètre.

• Conserver l’historique du mot de passe

• Durée de vie maximale

• Durée de vie minimale

• Longueur minimale du mot de passe

• Mot de passe doit respecter des exigences de complexité

• Enregistrer les mots de passe en utilisant un chiffrement réversible