menaces et contre-mesures

Chapitre 2 : Stratégies de niveau du domaine

Dernière mise à jour le 27 décembre 2005

Ce chapitre aborde les paramètres de stratégie de groupe qui sont appliqués au niveau du domaine. Par défaut, un contrôleur de domaine inclut des valeurs pré-définies pour les paramètres de ces stratégies, appelées « stratégies de compte ».

Sur cette page

Stratégies de compte
Informations complémentaires

Stratégies de compte

Il existe trois types de stratégies de compte : les stratégies de mot de passe, les stratégies de verrouillage de compte et les stratégies d'authentification Kerberos. Un seul domaine Microsoft Windows Server™ 2003 peut avoir chacune de ces stratégies. Si ces stratégies sont définies à n'importe quel autre niveau dans Active Directory, elles ne s'appliqueront qu'aux comptes locaux des serveurs membres.

Remarque : Pour les comptes de domaine, il ne peut y avoir qu'une seule stratégie de compte par domaine. Cette stratégie de compte doit être définie dans la stratégie de domaine par défaut ou dans une nouvelle stratégie liée à la racine du domaine et ayant la priorité sur la stratégie de domaine par défaut. La stratégie de domaine par défaut est appliquée par les contrôleurs de domaine qui constituent le domaine. Un contrôleur de domaine extrait toujours la stratégie de compte auprès de la racine du domaine, même si une autre stratégie de compte est appliquée à l'unité d'organisation dont il fait partie. La racine du domaine est le conteneur de niveau supérieur du domaine et ne doit pas être confondu avec le domaine racine d'une forêt. Dans une forêt, le domaine racine est le domaine de niveau supérieur au sein de la forêt en question.

Dans la stratégie de groupe, les paramètres de la stratégie de compte sont tous appliqués au niveau du domaine. La stratégie par défaut des contrôleurs de domaine définit les valeurs par défaut des stratégies de mot de passe, de verrouillage de compte et Kerberos. Lorsque vous configurez ces stratégies dans Active Directory®, gardez à l'esprit que Microsoft® Windows® n'autorise qu'une seule stratégie de compte de domaine : la stratégie de compte qui est appliquée au domaine racine de l'arborescence. La stratégie de compte de domaine devient la stratégie de compte par défaut de tout ordinateur Windows membre du domaine.

Il existe une seule exception à cette règle lorsqu'une autre stratégie de compte est définie pour une unité d'organisation (UO). Dans ce cas, les paramètres de la stratégie de compte de l'UO affecteront la stratégie locale de tous les ordinateurs qu'elle contient. Par exemple, si une stratégie d'UO établit une durée de vie maximale du mot de passe qui diffère de la stratégie de compte du domaine, la stratégie d'UO s'appliquera uniquement lorsque les utilisateurs se connecteront en local à un ordinateur membre de l'UO. Seules les stratégies locales par défaut s'appliqueront aux ordinateurs qui sont dans un groupe de travail ou dans un domaine où ni une stratégie de compte d'UO ni une stratégie de domaine ne s'applique.

Les paramètres de chaque type de stratégie sont décrits dans ce chapitre.

Stratégie de mot de passe

Sur Windows et de nombreux systèmes d'exploitation, la méthode la plus courante pour authentifier une identité consiste à utiliser une phrase ou un mot de passe. Un réseau sécurisé nécessite que tous les utilisateurs utilisent des mots de passe fiables (dix caractères minimum et combinaison de lettres, chiffres et symboles). De tels mots de passe évitent la compromission des comptes utilisateur et d'administration par des personnes non autorisées qui essaient de deviner les mots de passe grâce à des outils automatisés ou bien manuellement. L'utilisation de mots de passe fiables et régulièrement modifiés réduit les chances de réussite d'attaques sur les mots de passe. (Des informations plus précises sur les mots de passe fiables sont disponibles dans la section « Mots de passe et exigences de complexité » de ce chapitre.)

Vous pouvez renforcer l'utilisation de mots de passe fiables au moyen d'une stratégie de mot de passe appropriée. Les paramètres de stratégie de mot de passe contrôlent la complexité et la durée de vie des mots de passe. Cette section aborde chaque paramètre de stratégie de mot de passe. Ce guide inclut également un classeur Microsoft Excel®, « Windows Default Security and Services Configuration » (version française non disponible), qui décrit les paramètres par défaut.

Vous pouvez configurer les paramètres de la stratégie de mot de passe dans l’éditeur d'objets de stratégie de groupe à l’emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de mot de passe

Si certains groupes requièrent d'autres stratégies de mot de passe, vous devez les segmenter dans un domaine ou une forêt à part, en fonction de leurs besoins.

Conserver l’historique des mots de passe

Ce paramètre détermine le nombre de nouveaux mots de passe uniques devant être associés à un compte utilisateur avant qu'un ancien mot de passe puisse être réutilisé.

Le paramètre Conserver l'historique des mots de passe peut prendre les valeurs suivantes :

• Valeur comprise entre 0 et 24, spécifiée par l'utilisateur

• Non défini

Vulnérabilité

Réutilisation des mots de passe : un problème important pour toutes les entreprises. Beaucoup d'utilisateurs voudront garder longtemps le même mot de passe ou le réutiliser constamment. Plus un mot de passe est utilisé longtemps pour le même compte, plus il y a de risque qu'un pirate informatique parvienne à le deviner grâce à des attaques en force. De plus, tout compte compromis reste exploitable tant que le mot de passe n'est pas modifié. Si des changements de mot de passe sont demandés mais qu'il est possible de réutiliser l'ancien mot de passe ou si les utilisateurs peuvent recycler un petit nombre de mots de passe, l'efficacité de la stratégie de mot de passe est considérablement réduite.

Si vous indiquez un chiffre peu élevé pour ce paramètre de stratégie, les utilisateurs pourront toujours recycler un petit nombre de mots de passe. De même, si vous ne configurez pas le paramètre Durée de vie minimale du mot de passe, les utilisateurs pourront alors modifier leurs mots de passe régulièrement jusqu'à ce qu'ils puissent réutiliser leur mot de passe initial.

Contre-mesures

Configurez le paramètre Conserver l'historique des mots de passe sur 24 (maximum) pour minimiser la vulnérabilité liée à la réutilisation du mot de passe.

Pour garantir l'efficacité de ce paramètre dans l'entreprise, configurez le paramètre Durée de vie minimale du mot de passe de sorte que les utilisateurs ne puissent pas modifier immédiatement leur mot de passe. La valeur du paramètre Conserver l'historique des mots de passe doit être définie à un niveau représentant un compromis raisonnable entre la durée de vie maximale et l'intervalle de changement des mots de passe pour tous les utilisateurs de votre organisation.

Impact potentiel

Principal impact de cette configuration : les utilisateurs devront créer un nouveau mot de passe à chaque fois qu'ils seront forcés de changer l'ancien. Si les utilisateurs sont obligés de modifier radicalement leur mot de passe, le risque qu'ils l' écrivent quelque part pour ne pas l'oublier augmente. Autre risque : les utilisateurs peuvent créer des mots de passe qui se modifient par incrément (par exemple, motdepasse01, motdepasse02, etc.) pour faciliter la mémorisation. De plus, une valeur excessivement basse attribuée au paramètre Durée de vie minimale du mot de passe entraînera probablement une augmentation des appels passés au support technique pour faire réinitialiser les mots de passe oubliés.

Durée de vie maximale du mot de passe

Ce paramètre de stratégie détermine le nombre de jours pendant lesquels un mot de passe peut être utilisé avant que l'utilisateur ne doive le modifier.

Le paramètre Durée de vie maximale du mot de passe peut prendre les valeurs suivantes :

• Nombre de jours compris entre 0 et 999, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Un pirate informatique peut décoder (ou « craquer ») n'importe quel mot de passe, même le plus complexe, s'il dispose de suffisamment de temps et d'un ordinateur à forte puissance de traitement. Certains des paramètres de stratégie suivants peuvent rendre la tâche de deviner les mots de passe dans un délai raisonnable plus difficile. Le risque qu'un mot de passe valide soit décodé peut être limité si les utilisateurs sont fréquemment obligés de modifier leur mot de passe. Cela peut également réduire les risques d'ouverture de session non autorisée au cas où quelqu'un obtiendrait un mot de passe de manière frauduleuse. Vous pouvez configurer le paramètre Durée de vie maximale du mot de passe pour que les utilisateurs ne soient jamais obligés de modifier leur mot de passe mais une telle configuration constituerait un risque majeur.

Contre-mesures

Configurez le paramètre Durée de vie maximale du mot de passe sur une valeur adaptée aux exigences commerciales de votre entreprise. Microsoft recommande une valeur de 90 jours pour la plupart des entreprises. Bien qu'une telle configuration ne soit pas conseillée, vous pouvez configurer le paramètre Durée de vie maximale du mot de passe sur 0 afin que les mots de passe n'expirent jamais.

Impact potentiel

Si le paramètre Durée de vie maximale du mot de passe est trop bas, les utilisateurs seront obligés de modifier leur mot de passe très souvent. Une telle configuration peut véritablement réduire la sécurité au sein de l'entreprise, les utilisateurs étant plus susceptibles d'écrire leur mot de passe pour ne pas l'oublier et de le laisser dans un emplacement peu sûr ou de l'égarer. Si la valeur de ce paramètre de stratégie est trop élevée, le niveau de sécurité au sein de l'entreprise sera réduit car les pirates potentiels disposeront de plus de temps pour décoder les mots de passe utilisateur ou utiliser des comptes compromis.

Durée de vie minimale du mot de passe

Ce paramètre de stratégie détermine le nombre de jours minimum avant qu'un utilisateur puisse modifier un mot de passe utilisé. La valeur du paramètre Durée de vie minimale du mot de passe doit être inférieure à la valeur du paramètre Durée de vie maximale du mot de passe.

Configurez ce paramètre de stratégie sur une valeur supérieure à 0 si vous voulez que le paramètre Conserver l'historique des mots de passe soit efficace. Si vous configurez le paramètre Conserver l'historique des mots de passe sur 0, l'utilisateur n'est pas obligé de choisir un nouveau mot de passe unique lors de la modification. Si votre entreprise recourt à l'historique des mots de passe, les utilisateurs doivent entrer un mot de passe totalement nouveau à chaque fois qu'ils changent de mot de passe.

Le paramètre Durée de vie minimale du mot de passe peut prendre les valeurs suivantes :

• Nombre de jours compris entre 0 et 998, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Il est inutile d'obliger les utilisateurs à modifier leur mot de passe régulièrement s'ils ont la possibilité de le recycler jusqu'à ce qu'ils puissent réutiliser leur mot de passe préféré. Utilisez ce paramètre de stratégie avec le paramètre Conserver l'historique des mots de passe pour empêcher la réutilisation d'anciens mots de passe. Par exemple, si vous configurez le paramètre Conserver l'historique des mots de passe de façon à ce que les utilisateurs ne puissent pas réutiliser l'un de leurs 12 derniers mots de passe, ils pourraient modifier leur mot de passe 13 fois en quelques minutes et réutiliser le premier mot de passe sauf si vous configurez le paramètre Durée de vie minimale du mot de passe sur une valeur supérieure à 0. Vous devez configurer ce paramètre de stratégie à une valeur supérieure à 0 pour que le paramètre Conserver l'historique des mots de passe soit efficace.

Contre-mesures

Configurez le paramètre Durée de vie minimale du mot de passe sur une valeur correspondant à 2 jours minimum. Si vous configurez le nombre de jours sur 0, les changements de mot de passe immédiats seront autorisés, ce qui n'est pas recommandé.

Impact potentiel

Un problème mineur est associé à la configuration du paramètre Durée de vie minimale du mot de passe sur une valeur supérieure à 0. Si un administrateur configure un mot de passe pour un utilisateur mais souhaite que celui-ci le modifie lors de la première ouverture de session, il doit cocher la case L'utilisateur doit changer de mot de passe à la prochaine ouverture de session. Sinon, l'utilisateur ne pourra pas changer le mot de passe avant le lendemain.

Longueur minimale du mot de passe

Ce paramètre de stratégie détermine le nombre minimal de caractères qu'un mot de passe de compte utilisateur doit contenir. Il existe de nombreuses théories sur la manière de déterminer la longueur de mot de passe optimale pour une entreprise et le terme « phrase de passe » est peut-être plus approprié que « mot de passe ». Dans Microsoft Windows 2000 et versions ultérieures, les phrases de passe peuvent être relativement longues et inclure des espaces, des signes de ponctuation et des caractères Unicode. Une phrase du type « J'aimerais boire une boisson à 5 € ! » est une expression de passe valide. Elle s'avère d'ailleurs beaucoup plus sûre qu'une chaîne de 8 ou 10 caractères et chiffres choisis au hasard, tout en étant plus facile à retenir.

Le paramètre Longueur minimale du mot de passe peut prendre les valeurs suivantes :

• Nombre compris entre 0 et 14, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Plusieurs types d'attaques peuvent être lancés dans le but de décoder le mot de passe d'un compte utilisateur donné. Il s'agit notamment d'attaques par dictionnaire (qui consistent à essayer des mots et des expressions courants) et des attaques en force (qui consistent à essayer toutes les combinaisons possibles de caractères). Les pirates informatiques tentent également parfois d'obtenir la base de données des comptes pour détourner les comptes et les mots de passe grâce à des utilitaires.

Contre-mesures

Configurez le paramètre Longueur minimale du mot de passe sur une valeur au moins égale à 8. Si le nombre de caractères défini est 0, aucun mot de passe ne sera demandé.

Dans la plupart des environnements, il est conseillé d'utiliser des mots de passe à 8 caractères car c'est une longueur suffisante pour garantir une sécurité appropriée, tout en restant facilement mémorisable pour les utilisateurs. Cette configuration assure une protection appropriée contre les attaques en force. La mise en place d'exigences de complexité supplémentaires permet de réduire les risques liés aux attaques par dictionnaire. Les exigences de complexité sont abordées dans la section suivante de ce chapitre. Veuillez noter que certains pays réglementent la longueur du mot de passe.

Impact potentiel

Les exigences relatives à des mots de passe extrêmement longs peuvent véritablement diminuer la sécurité d'une entreprise : en effet, les utilisateurs sont plus susceptibles d'écrire leur mot de passe pour ne pas l'oublier et de le laisser dans un emplacement peu sûr ou de l'égarer. Cependant, si vous expliquez aux utilisateurs qu'ils peuvent utiliser des phrases de passe, comme décrit précédemment, ils devraient s'en souvenir plus facilement.

Si les mots de passe courts sont autorisés, la sécurité s'en trouvera réduite car de tels mots de passe peuvent être facilement décodés à l'aide d'outils capables de lancer des attaques par dictionnaire ou des attaques en force. Si des mots de passe très longs sont exigés, des erreurs de saisie peuvent entraîner des verrouillages de compte et donc augmenter le volume d'appels passés au support technique.

Les versions antérieures de Windows, telles que Windows 98 et Windows NT® 4.0, ne gèrent pas les mots de passe de plus de 14 caractères. Les ordinateurs qui exécutent ces anciens systèmes d'exploitation seront incapables de s'authentifier auprès des ordinateurs ou des domaines qui utilisent des comptes nécessitant des mots de passe longs.

Mots de passe et exigences de complexité

Ce paramètre de stratégie détermine si les mots de passe doivent répondre à un ensemble de critères jugés importants pour la fiabilité des mots de passe.

Si ce paramètre est activé, les mots de passe utilisateur doivent obéir aux exigences suivantes :

• Le mot de passe doit contenir au moins six caractères.

• Le mot de passe contient des caractères provenant d'au moins trois des quatre catégories suivantes :

  • Majuscules (A, B, C, ...)

  • Minuscules (a, b, c, ...)

  • Chiffres (0, 1, 2, 3, 4, 5, 6, 7, 8, 9)

  • Caractères non-alphanumériques et Unicode (( ) ` ~ ! @ # $ % ^ & * - + = | \ { } [ ] : ; " ' < > , . ? / € Γ ƒ λ et espace)

• Le mot de passe ne contient pas plus de trois caractères consécutifs du nom de compte de l'utilisateur ou de son nom complet. Si le nom de compte fait moins de trois caractères, cette vérification n’est pas effectuée car le taux de rejet des mots de passe serait trop élevé. Quand une vérification du nom complet de l'utilisateur est effectuée, plusieurs caractères sont traités comme des séparateurs qui divisent le nom en unités individuelles : virgules, points, tirets/traits d'union, caractères de soulignement, espaces, symboles de livre sterling et tabulations. Chaque unité composée d’au moins trois caractères est recherchée dans le mot de passe. Si elle y est présente, la modification du mot de passe est rejetée.

  Par exemple, le nom Erin M. Hagens sera fractionné en trois unités : Erin, M et Hagens. La deuxième unité qui ne contient qu’un seul caractère ne sera pas prise en compte. Par conséquent, cet utilisateur ne pourra pas créer un mot de passe contenant la chaîne « erin » ou « hagens ». Toutes ces vérifications sont indépendantes de la casse.

Ces exigences de complexité sont appliquées lors de la modification ou de la création de mots de passe.

Les règles incluses dans la stratégie de Windows Server 2003 ne peuvent être modifiées directement. Toutefois, il est possible de créer une nouvelle version du fichier Passfilt.dll pour appliquer un ensemble de règles différent. Pour plus d'informations sur la manière de créer votre propre filtre de mots de passe, reportez-vous à la documentation Password Filters du kit de développement logiciel de la plate-forme Windows (SDK) sur MSDN® à l'adresse https://msdn2.microsoft.com/fr-fr/library/ms721882.aspx.

Le paramètre Le mot de passe doit respecter des exigences de complexité peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Les mots de passe qui ne contiennent que des caractères alphanumériques sont extrêmement faciles à décoder grâce à divers utilitaires disponibles au public. Pour empêcher les mots de passe d'être décodés, ceux-ci doivent comporter une grande variété de caractères.

Contre-mesures

Configurez le paramètre Le mot de passe doit respecter des exigences de complexité sur Activé.

Lorsqu'il est associé au paramètre Longueur minimale du mot de passe défini sur 8, ce paramètre de stratégie permet de générer un nombre si élevé de combinaisons par mot de passe qu'il s'avère difficile (mais pas impossible) de mener à bien une attaque en force. Un pirate disposant d'un matériel capable de tester 1 million de mots de passe par seconde pourrait retrouver le mot de passe en sept jours et demi environ tout au plus. (Si la valeur du paramètre Longueur minimale du mot de passe augmente, le temps moyen nécessaire pour réussir une attaque augmente également.)

Impact potentiel

Si la configuration par défaut de complexité des mots de passe est retenue, le nombre d'appels passés au support technique en raison de comptes bloqués pourrait augmenter. Les utilisateurs peuvent en effet ne pas être habitués à utiliser des mots de passe qui contiennent des caractères autres que les lettres de l'alphabet. Cependant, tous les utilisateurs devraient pouvoir se conformer sans grande difficulté à cette exigence de complexité.

Si votre entreprise impose des exigences de sécurité plus rigoureuses, vous pouvez créer une version personnalisée du fichier* Passfilt.dll * permettant l'usage de règles de fiabilité des mots de passe dont la complexité sera arbitraire. Par exemple, un filtre de mots de passe personnalisé pourrait nécessiter l'utilisation de caractères non spéciaux. (Les caractères dits spéciaux sont ceux qui figurent sur les mêmes touches que les chiffres, hors pavé numérique). Un filtre personnalisé de mots de passe pourrait également exécuter une vérification de dictionnaire pour s'assurer que le mot de passe proposé ne contient pas de mots courants.

L'utilisation de combinaisons effectuées grâce à la touche Alt Gr peut également améliorer considérablement la complexité d'un mot de passe. Cependant, des exigences de mot de passe aussi contraignantes peuvent entraîner des mécontentements de la part des utilisateurs et alourdir la charge de travail du support technique. Votre entreprise pourrait encore exiger que tous les mots de passe des administrateurs incluent des caractères Alt compris dans la plage 0128 – 0159. (En dehors de cette plage, les caractères Alt peuvent correspondre à des caractères alphanumériques courants qui n'ajouteraient aucune complexité au mot de passe.)

Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine

Ce paramètre de stratégie détermine si Microsoft Windows Server 2003, Windows 2000 Server, Windows 2000 Professionnel et Windows XP Professionnel utilisent le cryptage réversible lorsqu'ils stockent des mots de passe.

Le paramètre Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine permet de prendre en charge les protocoles applicatifs qui nécessitent de connaître le mot de passe de l'utilisateur pour réaliser une authentification. Cependant, les mots de passe stockés en utilisant le cryptage réversible peuvent être déchiffrés. Un pirate informé, capable de casser ce chiffrement, pourrait ensuite se connecter aux ressources réseau grâce au compte compromis.

Attention : Ce paramètre de stratégie ne doit jamais être activé, sauf si les exigences de l'entreprise l'emportent sur la nécessité de protéger les mots de passe.

Ce paramètre de stratégie doit être activé pour pouvoir utiliser le protocole d'authentification CHAP (Challenge Handshake Authentication Protocol) via des services d'accès distant ou d'authentification Internet (IAS). CHAP est un protocole d'authentification qui peut être utilisé par l'accès à distance et les connexions réseau Microsoft.

Le paramètre Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Ce paramètre de stratégie détermine si Windows Server 2003 stocke les mots de passe dans un format moins fiable et beaucoup plus vulnérable aux compromissions.

Contre-mesures

Configurez le paramètre Stocker le mot de passe en utilisant le cryptage réversible pour tous les utilisateurs du domaine sur Désactivé.

Impact potentiel

Si votre entreprise utilise le protocole d'authentification CHAP via l'accès distant, les services IAS ou l'authentification avancée dans IIS, vous devez configurer ce paramètre de stratégie sur Activé. Ce paramètre est extrêmement dangereux à appliquer utilisateur par utilisateur via une stratégie de groupe car il implique l'ouverture de l'objet de compte utilisateur approprié dans le module enfichable Utilisateurs et ordinateurs Active Directory de la console MMC (Microsoft Management Console).

Stratégie de verrouillage du compte

Plusieurs saisies infructueuses de mot de passe au cours d'une tentative d'ouverture de session peut révéler qu'un pirate essaie de trouver par tâtonnement le mot de passe d'un compte. Windows Server 2003 SP1 repère les tentatives de connexion. Vous pouvez le configurer pour désactiver un compte pendant une période prédéfinie après un certain nombre d'échecs de connexion. Les paramètres de verrouillage du compte contrôlent le seuil de cette réponse et l'action à entreprendre lorsque ce seuil est atteint. Ce guide inclut un classeur Microsoft Excel (en anglais) , « Windows Default Security and Services Configuration », qui décrit les paramètres par défaut.

Vous pouvez configurer les paramètres de verrouillage du compte dans l’éditeur d'objets de stratégie de groupe à l’emplacement suivant :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Stratégie de verrouillage du compte

Durée de verrouillage du compte

Ce paramètre de stratégie détermine la durée en minutes pendant laquelle un compte reste verrouillé, avant de se déverrouiller automatiquement. Ce nombre peut être compris entre 1 et 99 999 minutes. Pour indiquer que le compte restera verrouillé jusqu'à ce qu'un administrateur le déverrouille manuellement, entrez la valeur 0. Si un seuil de verrouillage du compte est défini, le paramètre Durée de verrouillage du compte doit être supérieur ou égal à la durée de réinitialisation.

Le paramètre Durée de verrouillage du compte peut prendre les valeurs suivantes :

• Nombre de minutes compris entre 0 et 99 999, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Si un pirate tente de se connecter à plusieurs reprises à un compte spécifique et atteint le Seuil de verrouillage du compte, cela peut provoquer un déni de service (DoS, Denial of Service). Si vous configurez le paramètre Seuil de verrouillage du compte, le compte se verrouillera après le nombre de tentatives ratées que vous aurez spécifiées. Si la valeur du paramètre Durée de verrouillage du compte est réglée sur 0, le compte reste verrouillé tant qu'un administrateur ne le déverrouille pas manuellement.

Contre-mesures

Configurez le paramètre Durée de verrouillage du compte sur une valeur appropriée à votre environnement. Pour indiquer que le compte restera verrouillé jusqu'à ce qu'un administrateur le déverrouille manuellement, entrez la valeur 0. Quand le paramètre Durée de verrouillage du compte est configuré sur une valeur différente de zéro, les tentatives automatiques pour décoder le mot de passe d'un compte sont inefficaces pendant cet intervalle de temps. Si vous associez ce paramètre au paramètre Seuil de verrouillage du compte, ces tentatives automatiques se révèleront plus difficiles, voire inutiles.

Impact potentiel

Même si le fait de configurer ce paramètre de stratégie pour qu'il ne déverrouille jamais automatiquement un compte peut sembler une bonne idée, une telle configuration risque d'accroître le nombre de requêtes auxquelles le support technique de votre entreprise devra faire face pour déverrouiller des comptes verrouillés par erreur.

Seuil de verrouillage du compte

Ce paramètre de stratégie détermine le nombre de tentatives de connexion infructueuses à partir duquel le compte utilisateur est verrouillé. Un compte verrouillé ne peut plus être utilisé tant qu'il n'a pas été déverrouillé par un administrateur ou tant que la durée de verrouillage du compte n'a pas expiré. Vous pouvez indiquer jusqu'à 999 tentatives de connexion infructueuses ou définir la valeur sur 0 pour spécifier que le compte ne sera jamais verrouillé. Si un Seuil de verrouillage du compte est défini, le paramètre Durée de verrouillage du compte doit être supérieur ou égal à la durée de réinitialisation.

Les saisies incorrectes de mots de passe sur les postes de travail ou les serveurs membres ayant été verrouillés par les touches Ctrl+Alt+Suppr ou des écrans de veille protégés par mot de passe ne sont pas considérées comme des tentatives de connexion infructueuses, sauf si le paramètre de stratégie Ouverture de session interactive : Exiger l'authentification par le contrôleur de domaine pour le déverrouillage de la station de travail est activé. Dans ce cas, les tentatives répétées pour déverrouiller le poste de travail sont comptabilisées pour l'évaluation du seuil de verrouillage du compte.

Le paramètre Seuil de verrouillage du compte peut prendre les valeurs suivantes :

• Valeur comprise entre 0 et 999, spécifiée par l'utilisateur

• Non défini

Vulnérabilité

Les attaques sur les mots de passe peuvent utiliser des outils capables de tester automatiquement des milliers, voire des millions, de combinaisons de mot de passe pour l'un ou pour l'ensemble des comptes utilisateur. L'efficacité de ces attaques peut être quasiment réduite à néant si vous limitez le nombre de tentatives de connexion infructueuses.

Il est néanmoins important de noter qu'un domaine pour lequel un seuil de verrouillage de compte a été configuré pourrait faire l'objet d'une attaque par déni de service. Un utilisateur malveillant pourrait lancer, par programme, une série d'attaques de mot de passe visant l'ensemble des utilisateurs d'une organisation. Si le nombre de tentatives est supérieur au seuil de verrouillage du compte, l'attaquant peut être en mesure de verrouiller tout compte.

Contre-mesures

Comme il existe des vulnérabilités lorsque ce paramètre est configuré et lorsqu'il ne l'est pas, deux contre-mesures distinctes sont définies. Chaque entreprise doit peser le pour et le contre des deux possibilités en fonction des menaces identifiées et des risques qu'elle souhaite parer. Les deux options de contre-mesure sont :

• La configuration du Seuil de verrouillage du compte sur 0. Cette configuration assure que les comptes ne seront pas verrouillés et prévient une attaque de déni de service qui tenterait de verrouiller intentionnellement tous ou certains comptes précis. Les appels passés au support technique s'en verront également réduits car les utilisateurs ne pourront pas verrouiller accidentellement leurs comptes.

  Comme cela n’empêche pas une attaque par force brute, choisissez cette configuration uniquement si les deux critères suivants sont remplis :

  • La stratégie de mot de passe oblige tous les utilisateurs à avoir des mots de passe complexes de 8 caractères ou plus.

  • Il existe un solide mécanisme d'audit permettant d'alerter les administrateurs lorsqu'une série d'échecs de connexion se produit dans l'environnement.

• Si votre entreprise ne peut pas remplir les critères précédents, configurez le paramètre Seuil de verrouillage du compte sur une valeur suffisamment élevée qui laissera la possibilité aux utilisateurs de faire des erreurs de saisie de leur mot de passe à plusieurs reprises avant que le compte ne soit verrouillé  ; cependant, assurez-vous qu'une attaque de mot de passe en force verrouille toujours le compte. Une configuration correcte correspond à 50 tentatives d'ouverture de session incorrectes  ; elle empêche les verrouillages de compte accidentels et réduit le nombre d'appels passés au support technique, cependant elle n'empêche pas une attaque par déni de service (comme abordé précédemment).

Impact potentiel

Si ce paramètre de stratégie est activé, un compte verrouillé ne pourra pas être utilisé tant qu'un administrateur ne l'aura pas réinitialisé ou que la durée de verrouillage du compte ne se sera pas écoulée. Il entraînera probablement une augmentation des appels passés au support technique. En fait, dans la plupart des entreprises, les comptes verrouillés sont à l'origine du plus grand nombre d'appels au support technique.

Si vous configurez le Seuil de verrouillage du compte sur 0, il existe une éventualité pour qu'une tentative d'attaque sur les mots de passe par force brute passe inaperçue si un solide mécanisme d'audit n'est pas mis en œuvre.

Réinitialiser le compteur de verrouillages du compte après

Ce paramètre de stratégie détermine le nombre de minutes avant que le compteur qui suit les tentatives de connexion infructueuses et déclenche les verrouillages de compte ne se remette à l'état 0. Si un Seuil de verrouillage du compte est défini, cette durée de réinitialisation doit être inférieure ou égale à la configuration du paramètre Durée de verrouillage du compte.

Le paramètre Réinitialiser le compteur de verrouillages du compte après peut prendre les valeurs suivantes :

• Nombre de minutes compris entre 1 et 99 999, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Les utilisateurs peuvent verrouiller accidentellement leurs comptes s'ils entrent un mot de passe erroné plusieurs fois de suite. Pour limiter ce risque, le paramètre Réinitialiser le compteur de verrouillage du compte après détermine le nombre de minutes avant que le compteur qui suit les tentatives de connexion infructueuses et déclenche les verrouillages de compte ne se remette à l'état 0.

Contre-mesures

Configurez le paramètre Réinitialiser le compteur de verrouillages du compte après sur 30 minutes.

Impact potentiel

Si vous ne configurez pas ce paramètre de stratégie ou si la valeur est configurée à un intervalle trop important, une attaque par déni de service pourrait survenir. Un attaquant malveillant pourrait tenter de se connecter plusieurs fois à chaque compte utilisateur et les verrouiller comme décrit dans les paragraphes précédents. Si vous ne configurez pas le paramètre Réinitialiser le compteur de verrouillages du compte après, les administrateurs devront déverrouiller manuellement tous les comptes. Si vous configurez ce paramètre de stratégie à une valeur raisonnable, les comptes utilisateurs seront verrouillés pendant quelques temps, après quoi ils se déverrouilleront automatiquement. Pensez à avertir les utilisateurs des valeurs utilisées pour ce paramètre de stratégie afin qu'ils attendent l'expiration de la temporisation de verrouillage avant d'appeler le support technique.

Stratégie Kerberos

Dans Windows Server 2003 SP1, le protocole d'authentification Kerberos fournit le mécanisme par défaut utilisé par les services d'authentification de domaine et les données d'autorisation requises pour permettre à un utilisateur d'accéder à une ressource et de l'utiliser. En diminuant la durée de vie des tickets Kerberos, vous diminuez le risque que les informations d'identification légitimes d'un utilisateur soient détournées par un pirate. Cependant, vous augmentez la charge liée à l'autorisation.

Dans la plupart des environnements, les paramètres de stratégie Kerberos n'ont pas besoin d'être modifiés. Ces paramètres sont appliqués au niveau du domaine et les valeurs par défaut sont configurées dans l'objet Stratégie de groupe du domaine de l'installation par défaut d'un domaine Active Directory Windows 2000 ou Windows Server 2003. Ce guide inclut un classeur Microsoft Excel, « Windows Default Security and Services Configuration » (Configuration des services et de la sécurité par défaut Windows), qui décrit les paramètres par défaut.

Vous pouvez configurer les paramètres de la stratégie Kerberos à l’emplacement suivant de l’éditeur Objet de stratégie de groupe :

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie Kerberos

Appliquer les restrictions pour l'ouverture de session

Ce paramètre de stratégie détermine si le Centre de distribution de clés (Key Distribution Center - KDC) valide chaque demande de ticket de session en vérifiant la stratégie des droits utilisateur du compte utilisateur. La validation de chaque demande de ticket de session est une étape facultative, car elle prend du temps et peut ralentir l'accès aux services via le réseau.

Le paramètre Appliquer les restrictions pour l'ouverture de session peut prendre les valeurs suivantes :

• Activé

• Désactivé

• Non défini

Vulnérabilité

Si vous désactivez ce paramètre de stratégie, les utilisateurs peuvent recevoir des tickets de session pour des services qu'ils n'ont plus le droit d'utiliser, car ce droit a été supprimé après l'ouverture de session.

Contre-mesures

Configurez le paramètre Appliquer les restrictions pour l'ouverture de session sur Activé.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Durée de vie maximale du ticket de service

Ce paramètre de stratégie détermine la durée maximale (en minutes) pendant laquelle un ticket de session accordé peut être utilisé pour accéder à un service donné. La valeur du paramètre doit être supérieure ou égale à 10 minutes, et inférieure ou égale à la configuration du paramètre Durée de vie maximale du ticket utilisateur.

Si un client présente un ticket de session expiré lors d'une demande de connexion à un serveur, le serveur renvoie un message d'erreur et le client doit demander un nouveau ticket de session auprès du Centre de distribution de clés (Key Distribution Center - KDC). Une fois la connexion authentifiée, peu importe si le ticket de session reste valide. Les tickets de session servent uniquement à authentifier les nouvelles connexions aux serveurs. Les opérations ne sont pas interrompues si le ticket de session ayant servi à authentifier la connexion expire au cours de celle-ci.

Le paramètre Durée de vie maximale du ticket de service peut prendre les valeurs suivantes :

• Nombre de minutes compris entre 10 et 99 999, spécifié par l'utilisateur. Si vous configurez ce paramètre de stratégie sur 0, les tickets de service n'expirent pas.

• Non défini.

Vulnérabilité

Si vous configurez le paramètre Durée de vie maximale du ticket de service à une valeur trop élevée, les utilisateurs pourrait alors accéder aux ressources réseau en dehors de leurs horaires de connexion. De même, les utilisateurs dont les comptes ont été désactivés devraient pouvoir continuer à accéder aux ressources réseau avec les tickets de service valides qui ont été émis avant la désactivation des comptes.

Contre-mesures

Configurez le paramètre Durée de vie maximale du ticket de service sur 600 minutes.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Durée de vie maximale du ticket utilisateur

Ce paramètre de stratégie détermine la durée maximale (en heures) d'un ticket d'attribution de tickets (ticket-granting ticket - TGT) octroyé à un utilisateur. Lorsque le ticket d'attribution de tickets d'un utilisateur expire, un nouveau ticket doit être demandé ou le ticket existant doit être renouvelé.

Le paramètre Durée de vie maximale du ticket utilisateur peut prendre les valeurs suivantes :

• Nombre d'heures compris entre 0 et 99 999, spécifié par l'utilisateur. La valeur par défaut est 10 heures.

• Non défini.

Vulnérabilité

Si vous configurez le paramètre Durée de vie maximale du ticket utilisateur à une valeur trop élevée, les utilisateurs devraient alors pouvoir accéder aux ressources réseau en dehors de leurs horaires de connexion. De même, les utilisateurs dont les comptes ont été désactivés devraient pouvoir continuer à accéder aux ressources réseau avec les tickets de service valides qui ont été émis avant la désactivation des comptes.

Contre-mesures

Configurez le paramètre Durée de vie maximale du ticket utilisateur sur 10 heures.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Durée de vie maximale pour le renouvellement de ticket utilisateur

Ce paramètre de stratégie détermine la période maximale (en jours) au cours de laquelle le ticket d'attribution de tickets (ticket-granting ticket - TGT) d'un utilisateur peut être renouvelé.

Le paramètre Durée de vie maximale pour le renouvellement du ticket utilisateur peut prendre les valeurs suivantes :

• Nombre de minutes compris entre 0 et 99 999, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Si la valeur du paramètre Durée de vie maximale pour le renouvellement du ticket utilisateur est trop élevée, les utilisateurs pourront alors renouveler des tickets utilisateur très anciens.

Contre-mesures

Configurez le paramètre Durée de vie maximale pour le renouvellement du ticket utilisateur sur 10080 minutes (7 jours).  

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Tolérance maximale pour la synchronisation des horloges des ordinateurs

Ce paramètre de stratégie détermine l'intervalle maximal (en minutes) que le protocole Kerberos tolèrera entre l'heure indiquée sur l'horloge de l'ordinateur du client et l'heure du contrôleur de domaine Windows Server 2003 qui fournit l'authentification Kerberos.

Le paramètre Tolérance maximale pour la synchronisation de l'horloge de l'ordinateur peut prendre les valeurs suivantes :

• Nombre de minutes compris entre 1 et 99 999, spécifié par l'utilisateur

• Non défini

Vulnérabilité

Pour éviter les attaques par rejeu, la définition du protocole Kerberos d'authentification inclut l'horodatage. Pour que l'horodatage fonctionne correctement, les horloges du client et du contrôleur de domaine doivent être aussi synchrones que possible. Parce que les horloges de deux ordinateurs ne sont pas souvent synchronisées, les administrateurs peuvent utiliser cette stratégie pour établir le temps écoulé maximal au cours duquel une négociation Kerberos doit être réalisée  ; le temps écoulé est calculé à partir des horodatages. La valeur de ce paramètre limite l'intervalle de temps maximal admis entre le contrôleur de domaine et l'ordinateur client.

Contre-mesures

Configurez le paramètre Tolérance maximale pour la synchronisation de l'horloge de l'ordinateur sur 5 minutes.

Impact potentiel

Aucune. Il s'agit de la configuration par défaut.

Informations complémentaires

Les liens suivants fournissent des informations supplémentaires sur les rubriques relatives au renforcement des contrôleurs de domaine qui exécutent Windows Server 2003 SP1 :

• Pour obtenir une explication détaillée sur le fonctionnement de la complexité des mots de passe dans Windows, ainsi que des conseils spécifiques sur la création de mots de passe plus fiables faciles à mémoriser, reportez-vous à l'article (en anglais) « Selecting Secure Passwords » à l'adresse www.microsoft.com/smallbusiness/support/articles/select\_sec\_passwords.mspx (version française « Sélection de mots de passe sécurisés » disponible en ligne à l'adresse https://www.microsoft.com/france/technet/securite/select\_sec\_passwords.mspx)

• Pour plus d'informations sur les conseils de sécurité officiels de Microsoft, reportez-vous à l'article sur les meilleures pratiques de sécurité d'entreprise (en anglais) à l'adresse www.microsoft.com/technet/security/secnews/articles/enterprisesecbp.msp .

• Pour obtenir plus d'informations sur les stratégies de groupe, incluant une liste des chemins et valeurs correspondant à tous les paramètres stockés dans le registre, ainsi que sur leur disponibilité pour chaque version de Window, reportez-vous à l'article (en anglais) « Group Policy Settings Reference for Windows Server 2003 with Service Pack 1 » à l'adresse www.microsoft.com/downloads/details.aspx?FamilyId=7821C32F-DA15-438D-8E48-45915CD2BC14.

Téléchargement

Obtenir le Guide des menaces et des contre-mesures

Notifications de mise à jour

Inscrivez-vous pour en savoir plus sur les mises à jour et les nouvelles publications

Commentaires

Envoyez-nous vos commentaires ou vos suggestions