Guide pas à pas pour l'application de stratégies de mots de passe renforcés dans Windows Server 2003 avec Active Directory

Paru le 17/09/2004

Ce guide pas à pas décrit de façon détaillée les méthodes utilisées pour définir des stratégies de mots de passe renforcés à l'aide d'objets Stratégie de groupe afin de renforcer la sécurité d'un environnement informatique.

Sur cette page

Introduction
Présentation
Définition de stratégies de mots de passe à l'aide d'objets Stratégie de groupe
Autres ressources

Introduction

Guides pas à pas

Les guides pas à pas pour le déploiement de Windows Server 2003 fournissent une expérience pratique pour de nombreuses configurations de système d'exploitation courantes. Les guides commencent par établir une infrastructure réseau commune via l'installation de Windows Server 2003, la configuration d'Active Directory®, l'installation d'une station de travail Windows XP Professionnel et l'ajout de cette station de travail à un domaine. Les guides pas à pas ultérieurs partent du principe que vous avez déjà mis en place cette infrastructure réseau commune. Si vous ne souhaitez pas suivre cette infrastructure réseau commune, vous devez apporter les modifications appropriées lors de l'utilisation de ces guides.

La mise en place de l'infrastructure réseau commune nécessite que vous ayez lu et appliqué les guides suivants :

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• 2ème partie : Installation d'une station de travail Windows XP Professionnel et connexion à un domaine

Une fois que vous avez configuré l'infrastructure réseau commune, vous pouvez vous reporter à n'importe quel guide pas à pas supplémentaire. Notez que, dans certains guides pas à pas, d'autres conditions préalables peuvent venir s'ajouter à celles déjà mentionnées pour la mise en place de l'infrastructure réseau commune. Toute condition préalable supplémentaire sera indiquée dans le guide pas à pas correspondant.

Microsoft Virtual PC

Les guides pas à pas pour le déploiement de Windows Server 2003 peuvent être implémentés dans un environnement de laboratoire ou à l'aide de technologies de virtualisation telles que Microsoft Virtual PC 2004 ou Microsoft Virtual Server 2005. La technologie de la machine virtuelle permet aux clients d'exécuter simultanément plusieurs systèmes d'exploitation sur un seul serveur physique. Virtual PC 2004 et Virtual Server 2005 sont conçus pour offrir un meilleur rendement d'exécution en termes de test et développement de logiciels, migration d'applications héritées et scénarios de consolidation de serveur.

Bien que les guides pas à pas de déploiement de Windows Server 2003 supposent que toutes les configurations ont lieu dans un environnement de laboratoire, la plupart des configurations peuvent s'appliquer dans un environnement virtuel sans modification.

L'application des concepts présentés dans ces guides pas à pas dans un environnement virtuel dépasse le cadre de ce document.

Remarques importantes

Les exemples de sociétés, organisations, produits, noms de domaines, adresses de messagerie, logos, personnes, lieux et événements décrits ici relèvent de la fiction, et aucun lien avec une société, organisation, produit, nom de domaine, adresse de messagerie, logo, personne, lieu ou événement réel n'en peut être déduit.

Cette infrastructure commune répond à des objectifs d'utilisation sur un réseau privé. Le nom de société fictif et le nom DNS (Domain Name System) utilisés dans l'infrastructure commune ne sont pas enregistrés et ne peuvent donc pas être utilisés sur Internet. Vous ne devez pas utiliser ce nom sur un réseau public ou sur Internet.

La structure du service Active Directory pour cette infrastructure commune est conçue pour illustrer la gestion des modifications et de la configuration de Windows Server 2003 et son interaction avec Active Directory. Elle n'a pas été conçue comme modèle de configuration d'Active Directory pour une organisation.

Présentation

La plupart des utilisateurs ouvrent une session sur un ordinateur local ou distant en tapant un nom d'utilisateur et un mot de passe. Malgré la diversité des technologies d'authentification disponibles pour les systèmes d'exploitation courants, telles que les procédés biométriques, les cartes à puce et les mots de passe à usage unique, la plupart des organisations ont toujours recours aux mots de passe traditionnels et continueront à y avoir recours encore de longues années. Par conséquent, il est important que les organisations définissent et appliquent des stratégies de mots de passe pour leurs ordinateurs qui exigent l'utilisation de mots de passe renforcés.

Les mots de passe renforcés répondent à un certain nombre d'exigences en matière de complexité, notamment la longueur et les caractères autorisés, qui rendent leur identification plus difficile pour les pirates. L'application de stratégies de mots de passe renforcés au sein de votre organisation permet d'éviter l'usurpation de l'identité des utilisateurs par des pirates et de protéger ainsi les informations sensibles contre toute perte, modification ou corruption.

Vous devez exécuter l'une des tâches suivantes, ou les deux, pour appliquer des stratégies de mots de passe renforcés sur les ordinateurs de votre organisation, selon qu'il s'agit de membres d'un domaine Active Directory et/ou d'ordinateurs autonomes.

• Configurer des paramètres de stratégie de mot de passe dans un domaine Active Directory

• Configurer des paramètres de stratégie de mot de passe sur des ordinateurs autonomes.

Ce document explique comment configurer des paramètres de stratégie de mot de passe pour les membres d'un domaine Active Directory en utilisant des objets Stratégie de groupe (GPO, Group Policy Objects).

Une fois que vous aurez correctement configuré les paramètres de stratégie de mot de passe, les utilisateurs de votre organisation seront en mesure de créer de nouveaux mots de passe, à condition de respecter la longueur et la complexité requises par les mots de passe renforcés. En revanche, ils ne pourront pas les modifier immédiatement.

Conditions préalables

• 1ère partie : Installation de Windows Server 2003 en tant que contrôleur de domaine

• Guide pas à pas pour la gestion du service Active Directory

• Guide pas à pas de l'ensemble des fonctionnalités de stratégie de groupe

Conditions

• Informations d'identification : Pour réaliser les exercices suivants, vous devez ouvrir une session en tant que membre du groupe Admins du domaine.

Définition de stratégies de mots de passe à l'aide d'objets Stratégie de groupe

Avant de configurer des stratégies de mots de passe sur les ordinateurs de votre réseau, vous devez identifier les paramètres pertinents, déterminer les valeurs à utiliser pour ces paramètres et comprendre la méthode utilisée par Windows pour stocker les informations sur la configuration de la stratégie de mot de passe.

Remarque : Les systèmes d'exploitation Windows 95, Windows 98 et Windows Millennium ne prennent pas en charge les fonctionnalités de sécurité avancées telles que les stratégies de mots de passe. Si votre réseau comprend des ordinateurs autonomes (qui n'appartiennent à aucun domaine) exécutant ces systèmes d'exploitation, vous ne serez pas en mesure d'y appliquer des stratégies de mots de passe. Si les ordinateurs exécutant ces systèmes d'exploitation sont membres d'un domaine Active Directory, vous pourrez appliquer des stratégies de mots de passe uniquement au niveau du domaine.

Identification des paramètres relatifs aux stratégies de mots de passe

Dans Windows 2000, Windows XP et Windows Server 2003, vous pouvez configurer six paramètres relatifs aux caractéristiques des mots de passe : Conserver l'historique des mots de passe, Durée maximale du mot de passe, Durée de vie minimale du mot de passe, Longueur minimale du mot de passe, Le mot de passe doit respecter des exigences de complexité et Enregistrer les mots de passe en utilisant un cryptage réversible. Pour obtenir de l'aide sur la définition de ces paramètres avec des valeurs adaptées aux besoins de votre organisation, consultez la page Selecting Secure Passwords , sur le site Web Conseils Microsoft sur la sécurité.

• Le paramètre Conserver l'historique des mots de passe détermine le nombre de nouveaux mots de passe uniques à utiliser avant qu'un ancien mot de passe ne puisse être réutilisé. La valeur de ce paramètre peut être comprise entre 0 et 24. S'il prend la valeur 0, le paramètre est désactivé. Pour la plupart des organisations, cette valeur doit être définie à 24 mots de passe.

• Le paramètre Durée maximale du mot de passe détermine le nombre de jours pendant lesquels un mot de passe peut être utilisé avant qu'il ne soit nécessaire de le modifier. La valeur de ce paramètre peut être comprise entre 0 et  999. S'il prend la valeur 0, le mot de passe n'expire jamais. Si sa valeur est trop faible, les utilisateurs pourraient se sentir frustrés d’avoir à changer trop souvent de mot de passe et si elle est trop élevée, les mots de passe seront plus longtemps exposés aux pirates potentiels. Pour la plupart des organisations, cette valeur doit être définie à 42 jours.

• Le paramètre Durée de vie minimale du mot de passe détermine le nombre de jours pendant lesquels un nouveau mot de passe doit être conservé avant de pouvoir être remplacé. Il est conçu pour fonctionner avec le paramètre Conserver l'historique des mots de passe de sorte que les utilisateurs ne puissent pas réinitialiser rapidement leurs mots de passe afin d'atteindre le nombre maximal autorisé et réutiliser ensuite leurs anciens mots de passe. La valeur de ce paramètre peut être comprise entre 0 et 999. S'il prend la valeur  0, les utilisateurs pourront changer les nouveaux mots de passe immédiatement. Il est recommandé de définir cette valeur à 2 jours.

• Le paramètre Longueur minimale du mot de passe détermine le nombre minimum de caractères que doit comporter un mot de passe. Bien que Windows 2000, Windows XP et Windows Server 2003 prennent en charge les mots de passe comprenant jusqu'à 28 caractères, la valeur de ce paramètre doit être comprise entre 0 et 14. S'il prend la valeur 0, les utilisateurs pourront utiliser des mots de passe vides, ce qui est bien évidemment à proscrire. Il est recommandé de définir cette valeur à 8 caractères.

• Le paramètre Le mot de passe doit respecter des exigences de complexité détermine si les exigences de complexité sont appliquées ou non au mot de passe. Si le paramètre est activé, les mots de passe utilisateur respectent les exigences suivantes :

  • Le mot de passe comporte six caractères minimum.

  • Le mot de passe comporte des caractères appartenant à au moins trois des cinq catégories suivantes :

    • Caractères majuscules (A – Z)

    • Caractères minuscules (a – z)

    • Chiffres base 10 (0 – 9)

    • Caractères non-alphanumériques (par exemple !, $, # ou %)

    • Caractères Unicode

  • Le mot de passe ne comporte pas plus de deux caractères inclus dans le nom de compte de l'utilisateur.

  • Si le nom de compte comporte moins de trois caractères, cette vérification n'est pas effectuée car les probabilités de refus du mot de passe sont trop élevées. Lors de la vérification du nom complet de l'utilisateur, plusieurs caractères sont traités comme délimiteurs, fractionnant ainsi le nom en jetons individuels. Ces caractères sont les suivants : virgules, points, tirets/traits d'union, traits de soulignement, espaces, signes dièse et tabulations. Lorsqu'un jeton est composé de trois caractères minimum, il est recherché dans le mot de passe. S'il est présent, le changement de mot de passe est rejeté. Par exemple, le nom « Erin M. Hagens » doit être fractionné en trois jetons : « Erin », « M » et « Hagens ». Dans la mesure où le deuxième jeton ne contient qu'un seul caractère, il est ignoré. Par conséquent, cet utilisateur ne peut pas avoir un mot de passe incluant les sous-chaînes « erin » ou « hagens ». Ces vérifications ne font pas la distinction entre les majuscules et les minuscules.

  • Ces exigences de complexité sont appliquées lors de la création ou la modification d'un mot de passe. Il est conseillé d'activer ce paramètre.

• Le paramètre Enregistrer les mots de passe en utilisant un cryptage réversible permet de prendre en charge des applications utilisant des protocoles qui ont besoin de connaître le mot de passe de l'utilisateur pour authentification. L'enregistrement de mots de passe à l'aide d'un cryptage réversible et l'enregistrement des versions en texte brut des mots de passe sont des procédures essentiellement identiques. C'est pour cette raison que cette stratégie ne doit jamais être activée sauf si les exigences de l'application l'emportent sur le besoin de protéger les informations de mot de passe.

  • Cette stratégie est nécessaire lors de l'utilisation du protocole CHAP (Challenge Handshake Authentication Protocol) via l'accès à distance ou le service d'authentification Internet (IAS, Internet Authentication Services). Elle est également requise lors de l'utilisation de l'authentification Digest dans les services Internet (IIS).

Stockage des informations sur la stratégie de mot de passe

Avant de mettre en place des stratégies de mots de passe, vous devez comprendre la façon dont les informations de configuration de la stratégie de mot de passe sont stockées. Cela s'explique par le fait que les mécanismes de stockage de stratégies de mots de passe limitent le nombre de stratégies de mots de passe différentes pouvant être implémentées et ont une incidence sur la façon dont vous appliquez vos paramètres de stratégie de mot de passe.

Chaque base de données des comptes ne peut présenter qu'une seule stratégie de mot de passe. Un domaine Active Directory est considéré comme une base de données des comptes unique, car c'est la base de données des comptes locale sur les ordinateurs autonomes. Les ordinateurs faisant partie d'un domaine possèdent également une base de données des comptes locale, mais dans la plupart des organisations ayant déployé des domaines Active Directory, les utilisateurs doivent ouvrir une session sur leurs ordinateurs et sur le réseau en utilisant des comptes basés sur domaine. Par conséquent, si vous fixez la longueur minimale des mots de passe à 14 caractères pour un domaine, tous les utilisateurs du domaine devront respecter cette règle lors de la création de nouveaux mots de passe. Pour définir différentes conditions requises pour un groupe d'utilisateurs spécifique, vous devez créer un nouveau domaine pour leurs comptes.

Les domaines Active Directory utilisent des objets GPO pour stocker des informations de configuration très variées, notamment les paramètres de stratégie de mot de passe. Même si Active Directory est un service d'annuaire hiérarchique qui prend en charge différents niveaux d'unités d'organisation et plusieurs objets GPO, les paramètres de stratégie de mot de passe pour le domaine doivent être définis dans le conteneur racine du domaine. Lorsque vous créez le premier contrôleur de domaine pour un nouveau domaine Active Directory, deux objets GPO sont automatiquement créés : Stratégie de domaine par défaut et Stratégie par défaut des contrôleurs de domaine. La stratégie de domaine par défaut est liée au conteneur racine. Elle contient quelques paramètres de domaine critiques, notamment les paramètres de stratégie de mot de passe par défaut. La stratégie par défaut des contrôleurs de domaine est liée à l'unité d'organisation Contrôleurs de domaine et contient les premiers paramètres de sécurité pour les contrôleurs de domaine.

Il est conseillé de ne pas modifier ces objets GPO intégrés. Si vous devez appliquer des paramètres de stratégie de mot de passe différents des paramètres par défaut, vous devez plutôt créer un nouvel objet GPO et le lier au conteneur racine du domaine ou à l'unité d'organisation Contrôleurs de domaine et lui attribuer un niveau de priorité supérieur à celui de l'objet GPO intégré. Si deux objets GPO présentant un conflit de paramètres sont liés au même conteneur, celui dont la priorité est plus élevée l'emporte.

Implémentation de paramètres de stratégie de mot de passe

Cette section fournit des instructions pas à pas destinées à améliorer la sécurité en appliquant des paramètres de stratégie de mot de passe aux ordinateurs de votre organisation.

Pour créer un objet Stratégie de groupe de domaine racine

1. Cliquez sur le bouton Démarrer, sélectionnez Tous les programmes, Outils d'administration, puis cliquez sur EtapesSG.

   Remarque :  La console MMC (Microsoft Management Console) EtapesSG a été créée dans le Guide pas à pas de l'ensemble des fonctionnalités de stratégie de groupe. Si vous n'avez pas lu ni appliqué les procédures de ce guide, vous devez modifier les étapes suivantes en conséquence.

2. Dans la console MMC EtapesSG, développez Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur contoso.com, cliquez sur Propriétés, puis sur l'onglet Stratégie de groupe.

   Remarque :  Microsoft vous conseille de créer un nouvel objet GPO plutôt que de modifier l'objet GPO intégré nommé Stratégie de domaine par défaut. En effet, cela permet de procéder plus facilement à une restauration en cas de problème avec vos paramètres de sécurité. Si les nouveaux paramètres de sécurité posent problème, vous pouvez désactiver momentanément le nouvel objet GPO pour vous permettre d'isoler les paramètres qui ont provoqué l'incident.

3. Cliquez sur Nouveau et tapez Stratégie de mot de passe de domaine comme nom de l'objet GPO, comme indiqué dans la figure 1.

   

   Figure 1.  Création d'un objet GPO de domaine racine

4. Appuyez sur Entrée.

Pour appliquer l'objet GPO Stratégie de mot de passe de domaine

Remarque :  Pour une présentation complète des règles d'héritage d'une stratégie de groupe et des informations complémentaires sur la procédure suivante, consultez le Guide pas à pas de l'ensemble des fonctionnalités de stratégie de groupe.

1. Sur la page Propriétés de contoso.com, sélectionnez Stratégie de mot de passe de domaine, puis cliquez sur le bouton Monter.

2. Sur la page Propriétés de contoso.com, cliquez avec le bouton droit sur la Stratégie de mot de passe de domaine, puis cliquez sur Ne pas passer outre. La page Propriétés de contoso.com doit s'afficher comme indiqué dans la figure 2.

   

   Figure 2.  Définition de la priorité d'un objet GPO

Pour définir des stratégies de mots de passe

1. Sur la page Propriétés de contoso.com, double-cliquez sur la Stratégie de mot de passe de domaine.

2. Dans l'Éditeur d'objets de stratégie de groupe, sous Configuration ordinateur, développez Paramètres Windows, Paramètres de sécurité, Stratégies de compte, puis cliquez sur Stratégies de mot de passe.

3. Dans le volet d'informations, double-cliquez sur Conserver l'historique des mots de passe, activez la case à cocher Définir ce paramètre de stratégie, entrez 24 dans Conserver l'historique du mot de passe pendant :, puis cliquez sur OK.

4. Dans le volet d'informations, double-cliquez sur Durée maximale du mot de passe, activez la case à cocher Définir ce paramètre de stratégie, entrez 42 dans Le mot de passe expirera dans, cliquez sur OK, puis sur OK pour accepter la nouvelle valeur proposée pour Durée de vie minimale du mot de passe.

5. Dans le volet d'informations, double-cliquez sur Durée de vie minimale du mot de passe, entrez 2 dans Le mot de passe peut être modifié après, puis cliquez sur OK.

6. Dans le volet d'informations, double-cliquez sur Longueur minimale du mot de passe, activez la case à cocher Définir ce paramètre de stratégie, entrez 8 dans Le mot de passe doit faire au minimum, puis cliquez sur OK.

7. Dans le volet d'informations, double-cliquez sur Le mot de passe doit respecter des exigences de complexité, activez la case à cocher Définir ce paramètre de stratégie dans le modèle, sélectionnez Activé, puis cliquez sur OK.

8. Dans le volet d'informations, double-cliquez sur Enregistrer les mots de passe en utilisant un cryptage réversible, activez la case à cocher Définir ce paramètre de stratégie dans le modèle, sélectionnez Désactivé (paramètre par défaut), puis cliquez sur OK. Les paramètres doivent s'afficher comme indiqué dans la figure 3.

   

   Figure 3.  Confirmation des stratégies de mot de passe de domaine

Pour appliquer des écrans de veille sécurisés par mot de passe

1. Dans l'Éditeur d'objets de stratégie de groupe, réduisez Configuration ordinateur, sous Configuration utilisateur, développez Modèles d'administration, Panneau de configuration, puis cliquez sur Afficher.

2. Configuration facultative : Dans le volet d'informations, double-cliquez sur Nom du fichier exécutable de l'écran de veille, sélectionnez Activé, tapez scrnsave.scr dans Nom du fichier exécutable de l'écran de veille, puis cliquez sur OK.

   Remarque :  La définition d'un nom de fichier exécutable d'écran de veille est un paramétrage facultatif appliqué ici pour des raisons de performance. Dans Windows Server 2003, qui fournit des services informatiques fondamentaux, les écrans de veille peuvent nécessiter une trop grande puissance de traitement lorsqu'ils sont activés, limitant ainsi les ressources disponibles pour les besoins informatiques de l'organisation. Si vous devez déployer des écrans de veille sur des serveurs, il est fortement conseillé d'utiliser l'écran de veille vide (scrnsave.scr). Vous pouvez envisager la création d'un autre objet GPO, sous le conteneur Contrôleurs de domaine, définissant le paramètre Nom du fichier exécutable de l'écran de veille.

3. Dans le volet d'informations, double-cliquez sur Un mot de passe protège l'écran de veille, sélectionnez Activé, tapez scrnsave.scr dans Nom du fichier exécutable de l'écran de veille, puis cliquez sur OK. Les paramètres doivent s'afficher comme indiqué dans la figure 4.

   

   Figure 4.  Confirmation de l'utilisation d'un écran de veille de domaine

4. Dans l'Éditeur d'objets de stratégie de groupe, cliquez sur Fichier, puis sur Quitter. Sur la page Propriétés de contoso.com, cliquez sur Fermer. Cliquez sur Fichier, puis sur Quitter pour fermer Utilisateurs et ordinateurs Active Directory. Si vous y êtes invité, cliquez sur Oui pour enregistrer la console MMC EtapesSG.

Pour vérifier les écrans de veille sécurisés par mot de passe

1. Cliquez sur le bouton Démarrer, puis sur Exécuter. Tapez gpupdate /force, puis cliquez sur OK.

   Remarque :  Gpupdate actualise les paramètres de stratégie de groupe locaux et ceux d'Active Directory, y compris les paramètres de sécurité. L'option de forçage ignore toutes les optimisations de traitement et applique à nouveau tous les paramètres.

2. Cliquez avec le bouton droit sur Bureau, cliquez sur Propriétés, puis sur l'onglet Écran de veille. Le nom de l'écran de veille doit être Vide et la case à cocher À la reprise, protéger par mot de passe doit être activée. Ces deux éléments doivent être grisés, comme indiqué dans la figure 5.

   

   Figure 5.  Vérification d'un écran de veille sécurisé par mot de passe

3. Cliquez sur Annuler.

Autres ressources

Pour plus d'informations, consultez les ressources suivantes :

• Selecting Secure Passwords, dans le Kit conseils Sécurité 

• Mots de passe et stratégies de compte dans Windows Server 2003 

• Pour obtenir les dernières informations concernant Windows Server 2003, consultez ce site Web