SommaireI. PrésentationII. La notion de stratégie de mot de passe affinéeIII. Créer une politique de mot de passe affinéeIV. Quelle politique de mot de passe affinée s'applique sur mon utilisateur ?V. Créer une politique de mot de passe affinée avec PowerShellVI. Pour aller plus loin I. Présentation Dans ce tutoriel, nous allons voir comment configurer une stratégie de mots de passe affinée PSO sous Windows Server 2022, dans le but d'avoir plusieurs stratégies de mots de passe applicables sur des groupes de sécurité Active Directory. Par défaut, l’objet de stratégie de groupe GPO Default Domain Policy » contient les paramètres permettant de définir une politique de complexité des mots de passe et des verrouillages de compte sur le domaine Active Directory. Le mauvais exemple typique la politique de mots de passe par défaut désactivée. Toutefois, depuis Windows Server 2008, puis Windows Server 2008 R2 et encore aujourd'hui Windows Server 2022, il est possible de créer ce qu’on appelle une Stratégie de mot de passe affinée ». L'intérêt de ce système c'est qu'il permet de créer plusieurs politiques de complexité des mots de passe et de verrouillages de compte, puis ensuite de les appliquer uniquement sur certains stratégies de mot de passe affinées permettent une plus grande flexibilité dans la gestion des mots de passe et du verrouillage de compte puisqu'elles peuvent s'appliquer sur des groupes de sécurité. Ainsi, on peut obliger les comptables de l'entreprise à mettre un mot de passe de 16 caractères minimum et les secrétaires un mot de passe de 10 caractères minimum, par exemple. C'est également une manière de protéger les comptes membres du groupe "Admins du domaine" avec une politique de mots de passe très stricte, dans la limite des possibilités offertes par les stratégies de mots de passe affinées. Dans cet exemple, nous allons créer une stratégie de mot de passe affinée qui va s'appliquer aux membres du groupe "Comptabilité", mais le processus s'applique à ce que vous voulez ! 😉 Les stratégies de mots de passe affinées correspondent à des objets Paramètres de mots de passe » et sont également appelées PSO » pour Password Settings Object ». • PSO Password Settings Object Objet de Paramètres de mot de passe • PSC Password Settings Container Conteneur de paramètres de mot de passe Un PSO peut être appliqué directement sur un utilisateur, mais également sur un groupe, ce qui sera plus intéressant en termes de souplesse d’administration. Un utilisateur/groupe peut être lié à plusieurs PSO, mais en cas de conflit de PSO, un attribut de priorité nommé valeur de précédence » permet de définir une priorité quant à l’application de la stratégie. En l’absence d’une politique PSO, la stratégie de mots de passe du domaine s’applique. Pour utiliser cette fonctionnalité, le niveau fonctionnel de votre domaine et de la forêt doit être au minimum Windows Server 2008 ». La bonne nouvelle c'est que depuis Windows Server 2012, Microsoft a simplifié la gestion des stratégies de mots de passe affinées. III. Créer une politique de mot de passe affinée Sur votre contrôleur de domaine, ouvrez le Centre d’administration Active Directory » qui est accessible dans les Outils d’administration ou via ». Choisissez la vue arborescence sur la gauche, déroulez l’arborescence au niveau de votre nom de domaine, puis System » et Password Settings Container ». Accéder aux politiques de mot de passe affinées Dans le volet de droite, cliquez sur Nouveau » puis Paramètres de mot de passe » comme ceci Créer une nouvelle politique de mot de passe affinée Un formulaire complet s’affiche à l’écran attelez-vous il va falloir le compléter. Comme je fais les choses bien, voici quelques indications pour vous aider - Nom Nom de la politique, pour ma part "PSO_Comptabilite"- Priorité Valeur supérieure à 0 qui servira à faire l’arbitrage en cas de conflit entre deux PSO qui s’appliquent sur un même objet. Pensez à espacer les valeurs de vos différents PSO afin de pouvoir jouer sur les priorités facilement. Pour cela deux règles sont à connaître La valeur la plus faible sera prioritaire sur la valeur la plus haute. En cas de priorité identique, c'est la politique avec le GUID le plus faible qui sera appliqué Un PSO appliqué au niveau d’un utilisateur sera prioritaire appliqué au niveau du groupe. Passons à la suite. - Appliquer la longueur minimale du mot de passe chiffre entier pour définir la longueur minimale que doit faire le mot de passe. Partons sur 16 caractères pour cet exemple. - Appliquer l’historique des mots de passe permet de définir le nombre d’anciens mots de passe qu’un utilisateur ne peut pas réutiliser, cela le force à inventer » un nouveau mot de passe un certain nombre de fois. Par défaut, la valeur est de 24 ce qui me semble très correct. - Le mot de passe doit respecter des exigences de complexité indiquez si oui ou non le mot de passe doit respecter ces exigences conseillé par sécurité. - Stocker le mot de passe en utilisant un chiffrement réversible il est préférable de ne pas activer cette option, là aussi par sécurité. Si vous activez cette option, cela signifie que le mot de passe stocké dans l'AD peut être récupéré en clair, ce qui n'est pas souhaitable. - Protéger contre la suppression accidentelle permets de se protéger contre une éventuelle suppression involontaire de cet objet PSO. - Appliquer l’âge minimal de mot de passe durée de vie minimale d’un mot de passe, ce qui permet d’empêcher un utilisateur de changer successivement plusieurs fois son mot de passe. Cela pourrait lui permettre de dépasser la limite de l’historique des mots de passe et de redéfinir son mot de passe initial… Cette valeur doit correspondre à un nombre de jours. - Appliquer l’âge maximal de mot de passe même principe que le paramètre précédent, mais là pour la durée de vie maximale. Si l'on se réfère aux recommandations de l'ANSSI, il ne faut pas imposer de délai d'expiration sur les mots de passe des comptes non sensibles sans privilèges élevés, si la politique d'ensemble est assez robuste. Je décoche cette option. - Nombre de tentatives échouées autorisé une fois que le nombre de tentatives autorisées sera dépassé, le compte sera verrouillé automatiquement. Cela permet d’éviter les attaques par brute force où de nombreuses tentatives seraient tentées… - Réinitialiser le nombre de tentatives de connexion échouées après mins une fois ce délai écoulé, le nombre de tentatives échouées est remis zéro. Prenons un exemple vous définissez "3" comme valeur pour le paramètre "Nombre de tentatives échouées autorisé" et un délai de 60 minutes sur le paramètre "Réinitialiser le nombre de tentatives de connexion échouées après mins". A partir du moment où l'utilisateur va se tromper de mot de passe une fois, un compte à rebours de 60 minutes va s'enclencher, et si dans ce laps de temps de 60 minutes il effectue 2 nouvelles tentatives en échecs portant le total à 3 alors le compte sera verrouillé. Par contre, si au bout de 60 minutes il n'y a pas eu d'autres tentatives en échec ou une seule, soit 2, le compteur est remis à zéro. Ce paramètre est indispensable, car sans lui le nombre de tentatives en échec ne serait jamais remis à zéro et donc le compte utilisateur finirait par être bloqué si le compteur s'incrémente tout le temps. - Le compte va être verrouillé Lors du verrouillage d’un compte, ce dernier peut être verrouillé Pendant une durée de mins définissez une valeur de verrouillage du compte qui sera automatiquement déverrouillé une fois le délai terminé. Jusqu’à ce qu’un administrateur déverrouille manuellement le compte une action manuelle d’un administrateur est requise pour déverrouiller le compte Quant à la section S’applique directement à » vous devez ajouter les utilisateurs et/ou les groupes sur lesquels vous souhaitez appliquer cette stratégie PSO. Pour cela, cliquez sur le bouton Ajouter » situé en bas à droite. Pour ma part, j'ajoute le groupe nommé "Comptabilité" et je vous recommande d'utiliser une gestion par groupe plutôt que par utilisateurs. Au final, j'obtiens la configuration suivante Exemple d'une politique de mot de passe affinée Pour information, chaque objet PSO contient des attributs spécifiques appartenant à la classe msDS-PasswordSettings et qui contiennent les valeurs définit au moment de la création de la politique. Nous avons par exemple msDS-LockoutDuration, msDS-LockoutThreshold et msDS-MaximumPasswordAge Cliquez sur OK » une fois la configuration terminée. Vous êtes désormais en mesure de mettre en place une stratégie de mot de passe affinée au sein de votre infrastructure Microsoft. Vous pouvez en créer plusieurs et les appliquer sur différents groupes. IV. Quelle politique de mot de passe affinée s'applique sur mon utilisateur ? Si vous désirez voir quelle stratégie s’applique à un utilisateur, toujours dans le Centre d’administration Active Directory » sélectionnez Users » dans l’arborescence. Ensuite, recherchez votre utilisateur dans la liste, sélectionnez-le puis sur la droite cliquez sur Afficher les paramètres de mot de passe ». Une fenêtre va s'ouvrir et vous aurez la réponse à votre question ! Une autre façon de faire consiste à utiliser la console "Utilisateurs et ordinateurs Active Directory". Ensuite, activez l'affichage avancé pour accéder à l'éditeur d'attributs Affichage > Fonctionnalités avancées. Recherchez votre utilisateur, accédez aux propriétés via un clic droit et cliquez sur l'onglet "Éditeur d'attributs". Ensuite, cliquez sur le bouton "Filtrer" et cliquez sur "Construit" afin d'afficher l'attribut msDS-ResultantPSO. Si vous recherchez cet attribut et que vous regardez sa valeur, vous pouvez voir le nom de la politique qui s'applique. Par exemple, j'obtiens CN=PSO_Comptabilite,CN=Password Settings Container,CN=System,DC=it-connect,DC=local Mais finalement, il y a plus simple avec PowerShell et le cmdlet "Get-ADUserResultantPasswordPolicy" puisqu'il suffit de préciser l'identifiant du user Get-ADUserResultantPasswordPolicy -Identity La propriété "Name" nous donne directement le nom de la politique. Continuons sur notre lancée et apprenons à créer une politique de mot de passe affinée avec PowerShell. V. Créer une politique de mot de passe affinée avec PowerShell PowerShell dispose d'un set de cmdlet qui vont permettre de gérer les PSO en ligne de commande. Cela peut s'avérer utile si vous avez de nombreuses politiques à créer ou si vous souhaitez avoir un script prêt à l'emploi à déployer chez vos clients. Il y a plusieurs cmdlets assez cools directement intégrés au module Active Directory de PowerShell New-ADFineGrainedPasswordPolicy créer une nouvelle politique de mot de passe affinée Add-ADFineGrainedPasswordPolicySubject affecter une politique à un groupe ou un utilisateur Set-ADFineGrainedPasswordPolicy modifier une politique existante Get-ADFineGrainedPasswordPolicy lister les politiques de mot de passe affinées de votre domaine Active Directory Pour créer une nouvelle stratégie de mot de passe affinée avec New-ADFineGrainedPasswordPolicy, il va falloir utiliser de nombreux paramètres. Ce n'est pas étonnant, car il y a un paquet de champs lorsqu'on le fait via l'interface graphique. Avant de commencer, sachez que pour les valeurs temporelles, il faut respecter un format spécifique c'est-à-dire d'une seconde facultatif. La commande ci-dessous permet de créer une politique nommée "PSO_ComptabiliteBis" avec les options suivantes Une priorité de 10 -Precedence Une longueur minimale de 7 caractères pour le mot de passe -MinPasswordLength Un historique sur les 24 derniers mots de passe -PasswordHistoryCount Le chiffrement réversible désactivé -ReversibleEncryptionEnabled La complexité du mot de passe requise -ComplexityEnabled Seuil de verrouillage fixé à 3 échecs -LockoutThreshold Réinitialiser le nombre de tentatives de connexion échouées au bout de 60 minutes -LockoutObservationWindow Verrouiller le compte pour une durée de 60 minutes -LockoutDuration Le mot de passe doit être conservé au minimum 1 jour -MinPasswordAge Le mot de passe n'expire jamais -MaxPasswordAge L'objet PSO est protégé contre les suppressions accidentelles -ProtectedFromAccidentalDeletion Ce qui donne la commande suivante New-ADFineGrainedPasswordPolicy -Name "PSO_ComptabiliteBis" -DisplayName "PSO_ComptabiliteBis" ` -Precedence 10 -MinPasswordLength 7 -PasswordHistoryCount 24 ` -ReversibleEncryptionEnabled $false -ComplexityEnabled $true ` -LockoutThreshold 3 -LockoutObservationWindow " ` -LockoutDuration " -MinPasswordAge " ` -MaxPasswordAge " -ProtectedFromAccidentalDeletion $true Si vous souhaitez activer l'option "Le compte va être verrouillé jusqu'à ce qu'un administrateur déverrouille manuellement le compte" via PowerShell, c'est un peu compliqué pour ne pas dire impossible. Pour faire ça, il faut positionner "-LockoutDuration" à " sauf que paramètre ne peut pas avoir une valeur inférieure à "-LockoutObservationWindow" donc forcément cela pose problème ! Le problème est le même si l'on crée la politique et que l'on essaie de la modifier ensuite, on obtient l'erreur "New-ADFineGrainedPasswordPolicy La modification n’a pas été autorisée pour des raisons de sécurité". Note pour modifier une politique existe, on utilisera la commande "Set-ADFineGrainedPasswordPolicy -Identity " suivie du ou des paramètres à modifier. Pour obtenir des informations précises sur chaque paramètre de la commande New-ADFineGrainedPasswordPolicy, rendez-vous sur cette page Microsoft Docs - New-ADFineGrainedPasswordPolicy Ensuite, pour attribuer la nouvelle politique "PSO_ComptabiliteBis" à notre groupe "Comptabilité", on effectuera la commande suivante Add-ADFineGrainedPasswordPolicySubject "PSO_ComptabiliteBis" -Subjects "Comptabilité" Enfin, à tout moment vous pouvez lister vos PSO grâce à cette commande Get-ADFineGrainedPasswordPolicy -Filter * Par exemple Exemple - Get-ADFineGrainedPasswordPolicy Avec ces quelques commandes, vous êtes en mesure de gérer vos politiques de mot de passe affinées avec PowerShell ! VI. Pour aller plus loin Pour aller plus loin que ce que propose Microsoft nativement avec l'Active Directory, il existe des outils tiers, notamment chez Specops. J'ai eu l'occasion d'utiliser de logiciels de chez Specops Specops Password Auditor Un outil gratuit qui permet d'analyser les mots de passe de votre Active Directory via le hash afin de détecter les mots de passe vulnérables et de vérifier le niveau de conformité de vos politiques de mots de passe vis-à-vis des bonnes pratiques. Plus d'infos en regardant la vidéo ci-dessous ou en lisant mon tutoriel dédié à ce logiciel.  Specops Password Policy Specops propose également un outil payant qui va permettre de mettre en place des politiques de mots de passe très affinées, en allant beaucoup plus loin que ce que propose Microsoft nativement. À découvrir au sein de la vidéo ci-dessous ou par l'intermédiaire de mon tutoriel sur ce logiciel.  Sachez également que l'ANSSI a publié récemment un guide sur les bonnes pratiques pour la gestion des mots de passe et l'authentification multifacteurs. Plus d'informations ici Guide ANSSI sur les mots de passe.