Stratégie de mot de passe meilleures pratiques pour une sécurité renforcée dans AD
comment définir une stratégie de mot de passe dans Active Directory
Une stratégie de mot de passe fort est la première ligne de défense de toute organisation contre les intrus. Dans Microsoft Active Directory, vous pouvez utiliser la stratégie de groupe pour appliquer et contrôler de nombreuses exigences de mot de passe différentes, telles quecomplexité, longueur et durée de vie.,
la stratégie de mot de passe de domaine par défaut se trouve dans l’objet de stratégie de groupe (GPO) suivant: Configuration de L’ordinateur -> stratégies -> Paramètres Windows ->paramètres de sécurité -> stratégies de Compte -> stratégie de mot de passe
à partir du niveau fonctionnel du domaine Windows Server 2008, vous pouvez définir des stratégies à grain fin pour différentes unités organisationnelles à l’aide du centre d’administration Active Directory (DSAC) ou PowerShell.,
lignes directrices du NIST sur les mots de passe
Le National Institute of Standards and Technology (NIST) propose des lignes directrices sur l’identité numérique pour une politique de mots de passe sains, y compris les recommandations suivantes:
complexité et longueur des mots de passe
de nombreuses organisations exigent que les mots de passe comprennent une variété de symboles, tels qu’au moins un nombre, des lettres majuscules et minuscules, et un ou plusieurs caractères spéciaux. Cependant, l’avantage de ces règles n’est pas aussi important que prévu, et elles rendent les mots de passe beaucoup plus difficiles à mémoriser et à taper pour les utilisateurs.,
La longueur du mot de passe, en revanche, s’est avérée être un facteur principal de la force du mot de passe. En conséquence, le NIST recommande d’encourager les utilisateurs à choisir des mots de passe longs ou des phrases de passe allant jusqu’à 64 caractères (espaces compris).
âge du mot de passe
les directives précédentes du NIST recommandaient de forcer les utilisateurs à changer de mot de passe tous les 90 jours (180 jours pour les mots de passe). Cependant, changer de mot de passe irrite trop souvent les utilisateurs et les oblige généralement à réutiliser d’anciens mots de passe ou à utiliser des modèles simples, ce qui nuit à votre posture de sécurité de l’information., Bien que des stratégies pour empêcher la réutilisation des mots de passe puissent être mises en œuvre, les utilisateurs trouveront toujours des moyens créatifs de les contourner.
Par conséquent, la recommandation actuelle du NIST sur l’âge maximal du mot de passe consiste à demander aux employés de créer un nouveau mot de passe uniquement en cas de menace potentielle ou de suspicion d’accès non autorisé.,
mots de passe particulièrement sensibles aux attaques par force brute
Il est sage d’utiliser décourager ou interdire les mots de passe suivants:
- mots de passe faciles à deviner, en particulier l’expression « mot de passe »
- une chaîne de chiffres ou de lettres comme « 1234” ou « abcd”
- une chaîne de> »
- Le prénom d’un utilisateur, le nom D’un conjoint ou d’un partenaire, ou d’autres noms
- le numéro de téléphone ou de plaque d’immatriculation de l’utilisateur, la date de naissance de n’importe qui, ou d’autres informations facilement obtenues sur un utilisateur (par exemple,
- Le même caractère tapé plusieurs fois comme « zzzzzz”
- mots qui peuvent être trouvés dans un dictionnaire
- mots de passe par défaut ou suggérés, même s’ils semblent forts
- noms d’utilisateur ou noms d’hôte utilisés comme mots de passe
- tout ce qui précède suivi ou précédé d’un seul chiffre
- mots de passe qui forment H2> meilleures pratiques pour la stratégie de mot de passe
Les administrateurs doivent être sûrs de:
- configurer une longueur de mot de passe minimale.,
- appliquer la stratégie d’historique des mots de passe avec au moins 10 mots de passe précédents mémorisés.
- définissez un âge de mot de passe minimum de 3 jours.
- activez le paramètre qui nécessite des mots de passe pour répondre aux exigences de complexité. Ce paramètre peut être désactivé pour les mots de passe, mais il n’est pas recommandé.
- réinitialisez les mots de passe de l’administrateur local tous les 180 jours. Cela peut être fait avec L’outil gratuit Netwrix Bulk Password Reset.
- réinitialisez les mots de passe du compte de service une fois par an pendant la maintenance.
- Pour les comptes administrateur de domaine, utilisez des mots de passe forts avec un minimum de 15 caractères.,
- suivez toutes les modifications de mot de passe à l’aide d’une solution telle que Netwrix Auditor pour Active Directory.
- créer des notifications par e-mail pour l’expiration du mot de passe. Cela peut être fait avec L’outil gratuit Netwrix Password Expiration Notifier.
- au lieu de modifier les paramètres par défaut dans la stratégie de domaine, il est recommandé de créer des stratégies d’audit granulaires et de les lier à des unités organisationnelles spécifiques.
mot de passe supplémentaire et meilleures pratiques d’authentification
- Les applications D’entreprise doivent prendre en charge l’authentification de comptes d’utilisateurs individuels et non de groupes.,
- Les applications D’entreprise doivent protéger les mots de passe stockés et transférés avec un cryptage pour s’assurer que les pirates ne les craquent pas.
- Les utilisateurs (et les applications) ne doivent pas stocker de mots de passe en texte clair ou sous une forme facilement réversible et ne doivent pas transmettre de mots de passe en texte clair sur le réseau.
- utilisez l’authentification multifacteur (MFA) dans la mesure du possible pour atténuer les risques de sécurité liés aux mots de passe volés et mal gérés.
- lorsque les employés quittent l’organisation, modifiez les mots de passe de leurs comptes.,
éducation des utilisateurs
En outre, assurez-vous d’éduquer vos utilisateurs sur ce qui suit:
- Il est essentiel de se souvenir de votre mot de passe sans l’écrire quelque part, alors choisissez un mot de passe fort ou une phrase de passe que vous vous souviendrez facilement. Si vous avez beaucoup de mots de passe différents, vous pouvez utiliser des outils de gestion de mots de passe, mais vous devez choisir une clé principale forte et vous en souvenir.
- soyez conscient de la façon dont les mots de passe sont envoyés sur Internet. Les URL (adresses web) qui commencent par « https://” plutôt que « http://” sont plus susceptibles d’être sécurisées pour l’utilisation de votre mot de passe.,
- Si vous pensez que quelqu’un d’autre peut connaître votre mot de passe actuel, changez-le immédiatement.
- ne tapez pas votre mot de passe pendant que quelqu’un regarde.
- Évitez d’utiliser le même mot de passe pour plusieurs sites web contenant des informations sensibles.