Contrôle de l'expiration des mots de passe

Le contrôle SSA de l'expiration des mots de passe détermine si des comptes locaux comportent des mots de passe qui n'expirent pas. Changez les mots de passe fréquemment pour empêcher les attaques.

Un compte local avec un paramètre Le mot de passe n'expire jamais prime le paramètre Durée maximale du mot de passe dans la Stratégie de mot de passe de la Stratégie de groupe et permet ainsi à un utilisateur de garder le même mot de passe indéfiniment.

De même, le paramètre Le mot de passe n'expire jamais prime le paramètre L'utilisateur doit changer le mot de passe à la prochaine ouverture de session. Lorsque de nouveaux mots de passe sont attribués aux utilisateurs par les administrateurs ou par les représentants du support technique, une bonne pratique consiste à choisir l'option L'utilisateur doit changer le mot de passe à la prochaine ouverture de session pour s'assurer que l'utilisateur définira un nouveau mot de passe.

Il est recommandé d'examiner tout compte local pour lequel les rapports SSA indiquent la présence de mots de passe qui n'expirent jamais. Déterminez pourquoi le compte est configuré de cette manière. Si la raison n'est pas acceptable selon les normes de sécurité de votre organisation, configurez le compte de manière à ce que le mot de passe expire et envisagez de changer immédiatement le mot de passe.

Il existe des exceptions à ce contrôle. N'éliminez pas le paramètre Le mot de passe n'expire jamais pour les comptes suivants, car vous risqueriez d'entraver le fonctionnement des applications et du serveur :

  • IUSR_*
  • IWAM_*
  • SUPPORT_*
  • SMSCli*
  • ACTUser
  • ASPNET
  • SQLDebugger
  • HelpAssistant
  • TSInternetUser

Ce contrôle génère deux niveaux de scores :

  • Général
  • Par compte

Score général

Le tableau suivant montre comment Client Security détermine le score général résultant de l'évaluation des paramètres d'expiration des mots de passe des comptes sur l'ordinateur analysé.

Score Nombre de comptes au score Moyen Nombre de comptes au score Informations Nombre de comptes au score Faible L'ordinateur est un contrôleur de domaine Message de résultats

Moyen

Au moins 1

0 ou plus

0 ou plus

Non

Nombre de comptes d'utilisateur comportant des mots de passe qui n'expirent pas : nombre [de comptes au score Moyen]. Nombre total de comptes utilisateur : nombre.

Informations

0

Au moins 1, désactivé mais pas exempt

0 ou plus

Non

Nombre de comptes d'utilisateur désactivés comportant des mots de passe qui n'expirent pas : nombre [de comptes au score Informations]. Nombre total de comptes utilisateur : nombre.

 

0

Au moins 1, figurant sur la liste d'exemption

0 ou plus

Non

Tous les comptes sans expiration du mot de passe figurent sur la liste d'exemption.

 

Non applicable

Non applicable

Non applicable

Oui

Ce contrôle n'est pas pris en charge sur les contrôleurs de domaine.

Faible

0

0

Au moins 1

Non

Les mots de passe expirent pour tous les comptes configurés sur cet ordinateur.

Par score de compte

Le tableau suivant montre comment Client Security détermine le score général résultant de l'évaluation des paramètres d'expiration des mots de passe pour un compte d'utilisateur spécifique.

Score Le mot de passe expire Compte désactivé Compte sur la liste d'exemption Message de résultats

Moyen

Non

Non

Non

Le mot de passe pour ce compte n'expire jamais : nomutilisateur.

Informations

Non

Oui

Non

Le mot de passe pour ce compte n'expire jamais : nomutilisateur. Toutefois, le compte est désactivé.

 

Non

Oui ou Non

Oui

Le mot de passe pour ce compte n'expire jamais : nomutilisateur. Toutefois, le compte figure dans la liste des comptes exempts de Contrôle de l'expiration des mots de passe.

Faible

Oui

Non applicable

Non applicable

Le mot de passe pour ce compte expire : nomutilisateur.

Afficher: