Stratégie de groupe pour la surveillance des mots de passe

En tant qu'administrateur, vous devez vous assurer que votre réseau est sécurisé. Une grande partie de cela inclut la décision sur une stratégie de mot de passe pour les comptes d'utilisateurs et les comptes d'administrateurs. Vous pouvez éduquer vos utilisateurs sur les meilleures pratiques de création de mot de passe, mais vous pouvez également activer des politiques qui forcent les utilisateurs à adhérer aux meilleures pratiques. De plus, vous pouvez surveiller votre réseau pour les changements de mot de passe et les verrouillages de compte.

Éduquer les utilisateurs

• Exigez l'utilisation de mots de passe forts. Voici la définition d'un mot de passe fort telle que définie par Windows :
  1. Le mot de passe doit comporter au moins huit caractères.
  2. Ne contient pas votre nom d'utilisateur, votre vrai nom ou le nom de votre entreprise.
  3. Ne contient pas un mot complet.
  4. Est nettement différent des mots de passe précédents.
  5. Contient des caractères de chacune des quatre catégories suivantes : Définissez un paramètre de politique de longueur minimale de mot de passe afin que les mots de passe doivent comporter au moins un nombre spécifié de caractères. Les mots de passe longs – sept caractères ou plus – sont généralement plus forts que les courts. Avec ce paramètre de politique, les utilisateurs ne peuvent pas utiliser de mots de passe vides, et ils doivent créer des mots de passe d'une certaine longueur.
• On entend toujours dire que les mots de passe ne doivent jamais être notés. Dans certains cas, un mot de passe peut être trop complexe pour être mémorisé. Si c'est le cas, assurez-vous de ranger le papier dans un endroit sûr et de le détruire lorsqu'il n'est plus nécessaire.
• Ne partagez jamais les mots de passe.
• Un mot de passe différent doit être utilisé pour tous les comptes d'utilisateur.
• Si l'on soupçonne qu'un mot de passe a été compromis, il doit être changé immédiatement.
• Si une application propose de se souvenir du mot de passe, l'utilisateur devrait choisir de ne jamais le faire.
• N'autorisez pas l'utilisation des mots de passe précédents.
• Exigez que les utilisateurs changent leurs mots de passe régulièrement. Selon votre organisation, une bonne pratique est de faire changer les mots de passe des utilisateurs tous les 90 jours et ceux des administrateurs tous les 30 jours.
• Définissez un âge minimum pour les mots de passe afin d'empêcher les utilisateurs de changer constamment de mot de passe pour contourner la politique d'historique des mots de passe obligatoire.

Stratégie de groupe pour surveiller les changements de mot de passe

La Group Policy que vous devez activer pour surveiller les changements de mot de passe est la politique d'audit Audit Policy. Ce paramètre de stratégie vous permet de auditer les modifications apportées aux comptes d'utilisateurs pour inclure lorsqu'un compte d'utilisateur est créé, modifié, supprimé ; renommé, désactivé, activé, verrouillé ou déverrouillé. Il surveille également lorsque le mot de passe d'un compte d'utilisateur est défini ou modifié.

Vous pouvez accéder à ce paramètre en allant dans Configuration de l'ordinateur | Paramètres Windows | Paramètres de sécurité | Configuration de la stratégie d'audit avancée | Gestion des comptes | Gestion des comptes d'utilisateur.

Après avoir activé le Succès et l'Échec de l'Audit User Account Management, vous pouvez rechercher les événements 4273 et 4274 dans le journal de Sécurité de l'Observateur d'événements. L'événement 4273 indique qu'une tentative a été faite pour changer le mot de passe d'un compte et l'événement 4274 indique qu'une tentative a été faite pour réinitialiser le mot de passe d'un compte.