Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
Comment configurer plusieurs politiques de mot de passe et de verrouillage de compte

Comment configurer plusieurs politiques de mot de passe et de verrouillage de compte

Mar 3, 2016

Depuis Windows Server 2008, Microsoft a permis aux administrateurs de créer plusieurs password policies pour les domaines dans Active Directory. Dans un environnement moderne compatible avec le cloud, il est important que les comptes à privilèges élevés soient sécurisés à l'aide de politiques et audités régulièrement.

Voici un guide étape par étape sur la manière d'activer les politiques de mots de passe multiples et de verrouillage de compte dans votre environnement. Cela est également connu sous le nom de politique de mot de passe à granularité fine.

N'oubliez pas que vous pouvez toujours utiliser l'outil gratuit AD account tool de Netwrix pour enquêter plus rapidement sur les verrouillages de comptes d'utilisateurs.

Contenu connexe sélectionné :

Avant de tenter cela, veuillez vous assurer que le niveau fonctionnel de votre domaine et de votre forêt est au moins de 2008 ou supérieur et que vous êtes connecté en tant qu'Administrateur de domaine (ou supérieur).

Active Directory stocke ces nouvelles politiques de mot de passe dans un conteneur de paramètres de mot de passe (PSC) – c'est par là que nous commencerons :

  1. Ouvrez adsiedit.msc depuis le menu Démarrer
  2. Cliquez avec le bouton droit sur ‘ADSI Edit’ dans le volet gauche et sélectionnez ‘Connect To’
  3. Dans la case ‘nom’, saisissez le nom de domaine sur lequel vous souhaitez implémenter ceci et cliquez sur OK
  4. Déployez l'arbre sur la gauche : DC=Your Domain -> CN=Système -> CN=Conteneur des paramètres de mot de passe

Image
  1. Cliquez avec le bouton droit de la souris sur l'espace vide à droite et sélectionnez 'Nouveau' -> 'Objet' -> msDS-PasswordSettings -> Suivant
  2. Donnez un nom à cette politique, ici je l'appelle ‘Chief Executives’ -> Suivant
  3. Pour chaque attribut que l'assistant vous demande, saisissez une valeur appropriée :
    1. Précédence des paramètres de mot de passe – de 0 à la hausse
      • Voici l'ordre dans lequel la politique de mot de passe s'applique à un utilisateur : un numéro PLUS BAS indique une priorité PLUS ÉLEVÉE (prévaudra sur les autres).
    2. Le chiffrement réversible est activé – vrai ou faux
      • Stockez le mot de passe en utilisant un chiffrement réversible – non recommandé !
    3. Longueur de l'historique des mots de passe – de 0 à 1024
      • Combien de mots de passe sont mémorisés après que les utilisateurs les ont changés.
    4. Complexité du mot de passe activée – vrai ou faux
      • Le mot de passe doit répondre aux exigences de complexité (c'est-à-dire qu'il doit contenir des chiffres, des symboles, des majuscules et des minuscules)
    5. Longueur minimale du mot de passe – de 0 à 255
    6. Âge minimum du mot de passe – une durée exprimée en jj:hh:mm:ss ou (aucun)
      • Combien de temps l'utilisateur doit conserver un mot de passe avant d'être autorisé à le modifier (empêche de le changer, puis de revenir en arrière)
    7. Âge maximal du mot de passe – une durée exprimée en jj:hh:mm:ss ou (jamais)
    8. Seuil de verrouillage – de 0 à 65535
      • Combien de mots de passe peuvent être saisis incorrectement avant que le compte ne soit verrouillé
    9. Fenêtre d'observation de verrouillage – une durée exprimée en jj:hh:mm:ss ou (aucune)
      • Le délai pendant lequel examiner les mots de passe incorrects précédents et verrouiller si nécessaire.
    10. Durée de verrouillage – une période écrite en jj:hh:mm:ss ou (jamais)
      • Combien de temps faut-il verrouiller un compte une fois que le nombre de mauvais mots de passe a été atteint
    11. Cliquez sur ‘Terminer’, puis faites un clic droit sur la nouvelle politique de mots de passe et cliquez sur ‘Propriétés’
    12. Trouvez l'attribut ‘msDS-PSOAppliesTo’ et double-cliquez, puis ‘Ajoutez un compte Windows’

Précisez les groupes ou utilisateurs auxquels cette politique de mots de passe doit s'appliquer :

Image
  1. Appuyez sur OK jusqu'à la fin lorsque vous avez terminé !

Une fois que votre nouvelle politique de mots de passe est répliquée sur les autres contrôleurs de domaine, elle devrait être appliquée presque instantanément.

Si vous avez la chance de disposer d'un domaine Windows Server 2012, ou d'un ordinateur Windows 8 ou supérieur avec les outils d'administration de serveur distant installés, ce processus est quelque peu plus facile :

  1. Ouvrez le Centre administratif Active Directory et connectez-vous à votre domaine
  2. Naviguez jusqu'au même emplacement que dans ADSI : Domaine -> Système -> Conteneur des paramètres de mot de passe
  3. Cliquez droit et choisissez 'Nouveau' -> 'Paramètres de mot de passe'

Une boîte de dialogue apparaîtra avec presque les mêmes options que celles décrites ci-dessus, mais avec moins de contrôle sur certaines durées (par exemple, vous ne pouvez pas définir une durée en heures ou en minutes pour l'âge minimum/maximum du mot de passe.

Image
  1. Définissez vos options puis ajoutez les utilisateurs / groupes auxquels cette politique de mots de passe doit s'appliquer, puis appuyez sur OK.

Alternativement, vous pouvez tout faire en deux commandes PowerShell comme suit…

Créez la politique de mot de passe :

Nouveau – ADFineGrainedPasswordPolicy – ComplexityEnabled: $true -LockoutDuration: “00:30:00” – LockoutObservationWindow: “00:30:00” – LockoutThreshold: “5” – MaxPasswordAge: “42.00:00:00” -MinPasswordAge: “1.00:00:00” – MinPasswordLength: “7” -Name: “FriendlyNameHere” – PasswordHistoryCount: “24” – Precedence: “5” -ReversibleEncryptionEnabled: $false – Server: “domaincontroller.domain.local”

Et appliquez-le à un groupe ou un utilisateur :

Ajoutez – ADFineGrainedPasswordPolicySubject – Identité : « CN=FriendlyNameHere, CN=Password Settings Container, CN=System, DC=domain, DC=local » – Serveur : « domaincontroller.domain.local » – Sujets : « DNPathToUserOrGroup »

Encore une fois, les descriptions des attributs sont ci-dessus.

Je recommanderais vivement de mettre en place des Fine-Grained Password Policies – voici les 4 niveaux que nous avons configurés :

  • Comptes invités et ‘jetables’
    – Mots de passe simples autorisés, plus de 5 caractères, sans expiration
  • Personnel régulier
    – Mots de passe simples autorisés, plus de 12 caractères, expiration de 30 jours
  • Personnel des Finances et des Matériaux Confidentiels
    – Mots de passe complexes, plus de 12 caractères, expiration tous les 30 jours, 12 mots de passe mémorisés
  • Personnel TIC et Administrateurs
    – Mots de passe complexes, plus de 12 caractères, expiration tous les 14 jours, 12 mots de passe mémorisés

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Matt Hopton

Consultant

Responsable Réseau TIC, consultant en informatique et entrepreneur. En plus de travailler comme Responsable Réseau à Sir Thomas Rich's School, Matt développe et héberge des sites web pour des entreprises locales, développe des logiciels et fournit des recommandations matérielles.

En savoir plus sur ce sujet

Créez des utilisateurs AD en masse et envoyez leurs identifiants par e-mail à l'aide de PowerShell

Comment créer, modifier et tester des mots de passe en utilisant PowerShell

Comment ajouter et supprimer des groupes AD et des objets dans des groupes avec PowerShell

Attributs Active Directory : Dernière connexion

Confiances dans Active Directory

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité