> Tech > Les stratégies FGPP

Les stratégies FGPP

Tech - Par iTPro - Publié le 27 février 2013
email

La section précédente énonce clairement que le comportement par défaut des stratégies de groupe dans un domaine Windows Server 2008 et Windows Server 2008 R2 est identique à celui dans n’importe quel autre domaine Active Directory d’une version antérieure.

Les stratégies FGPP

La différence survient lorsque le domaine Active Directory contient uniquement des DC Windows Server 2008 ou Windows Server 2008 R2 et qu’il est déplacé vers le niveau fonctionnel de domaine Windows Server 2008. Dans ce cas, cela ouvre la porte aux stratégies FGPP (Fine-Grained Password Policies, ou Stratégies granulaires de mots de passe). Encore une fois, sans les FGPP, n’importe quel domaine Windows (y compris sous Windows Server 2008 R2) conserve le même comportement que par le passé.

Les stratégies FGPP sont configurées afin d’autoriser plusieurs stratégies de mots de passe dans le même domaine Active Directory. Oui, vous avez bien compris ! Le même domaine Active Directory peut avoir plusieurs stratégies de mots de passe, avec le résultat possible suivant :

• Les employées de l’informatique ont une limite de caractères minimum de 20.
• Les employés des départements des ressources humaines et de la finance ont une limite de caractères minimum de 15.
• Les employés lambda ont une limite de caractères minimum de 10.

Vous n’allez pas employer la stratégie de groupe pour configurer les stratégies FGPP, car elles n’y font pas appel. L’implémentation des stratégies FGPP passe par une modification de la base de données Active Directory. Celle-ci est modifiée en ajoutant un ou plusieurs objets Active Directory supplémentaires, appelés objets de paramètres de mot de passe (PSO). Cela peut sembler étrange et je suis d’accord sur ce point. Si vous décidez d’implémenter des stratégies FGPP, votre environnement va avoir un mélange de paramètres de stratégies de comptes, via les GPO, et de stratégies FGPP.

Pour terminer la configuration de vos stratégies FGPP, il faut exécuter la procédure suivante :

1. Lancez ADSIEDIT.MSC sur votre contrôleur de domaine.
2. Sélectionnez l’option de menu de barre d’outils View, puis cliquez sur Connect to option.
3. Dans la boîte de dialogue Connection Settings, cliquez sur le bouton OK.
4. Dans ADSIEDIT, développez la vue de votre domaine jusqu’à CN=System, afin de voir le contenu disponible sous ce nœud.
5. Cliquez avec le bouton droit de la souris sur CN=Password Settings Container.
6. Sélectionnez l’option Create | Object.
7. Renseignez les valeurs pour chaque entrée (aidez-vous du tableau 2).

 

Tableau 2. Valeurs de FGPP/PSO pour créer un nouvel objet.

Attribut

Valeur

Explication

Cn

HRPasswordPolicy

Le nom de l’objet de stratégie de mots de passe dans Active Directory. Le nom doit refléter le groupe d’utilisateurs concerné.

 

msDS-PasswordSettingsPrecedence

10

Nombre de référence, comparé à d’autres paramètres de priorité pour d’autres FGPP, afin de résoudre un conflit si l’utilisateur est membre de deux groupes et si chaque groupe à une FGPP. Les nombres plus petits ont une priorité plus élevée.

 

msDS-PasswordReversibleEncryptionEnabled

False

Valeur booléenne spécifiant si les mots de passe doivent être enregistrés avec le cryptage réversible.

 

msDS-PasswordHistoryLength

24

Nombre de mots de passe uniques qu’un utilisateur doit saisir avant de pouvoir recycler un mot de passe.

msDS-PasswordComplexityEnabled

True

Définit l’activation ou non de la complexité de mots de passe.

msDS-MinimumPasswordLength

15

Nombre minimum de caractères dans chaque mot de passe utilisateur.

msDS-MinimumPasswordAge

-864000000000

Age minimum du mot de passe (un jour).

 

msDS-MaximumPasswordAge

-36288000000000

Age maximum du mot de passe (42 jours).

 

msDS-LockoutThreshold

30

Nombre d’échecs de saisie de mot passe avant le verrouillage de l’utilisateur.

msDS-LockoutObservationWindow

-18000000000

Temps écoulé pour réinitialiser le compte de verrouillage de mot de passe au maximum (dans ce cas, 30 minutes).

msDS-LockoutDuration

-18000000000

Si le nombre de mots de passe erronés est atteint dans le temps de la fenêtre d’observation, définit la durée de verrouillage du compte (30 minutes).

 

Notez que les entrées de valeurs pour minute/hour/day dans le tableau 2 semblent très étranges. Cela tient au fait que les valeurs sont entrées dans le type de données « 18 », lequel a un format inhabituel, comme le montre le tableau 3.

 

Tableau 3. Formatage du type de données « 18 » pour les minutes, heures et jours.

Unité de temps

Formule

Exemple de temps

Valeur

m minutes

-60*(10^7) = – 600000000

30 minutes

-18000000000

 

h hours (heures)

-60*60* (10^7) = -36000000000

10 heures

-360000000000

 

d days (jours)

-24*60*60*(10^7) = -864000000000

42 jours

-36288000000000

 

 

Afin de lier l’ensemble FGPP/PSO au groupe ou à l’utilisateur approprié, il faut configurer un attribut d’objet. Pour voir l’attribut d’objet approprié, vérifiez que l’ensemble FGPP/PSO est défini correctement dans ADUC ou ADSIEDIT.

Dans la liste d’attributs pour votre FGPP/PSO, accédez à l’entrée msDS-PSOAppliesTo et double-cliquez sur cet attribut pour afficher la boîte de dialogue Multi-valued Distinguished Name With Security Principal Editor.

Vous pouvez saisir un nom de domaine, un nom d’utilisateur ou un groupe de sécurité dans l’éditeur. Sélectionnez le bouton approprié, puis ajoutez votre objet à l’éditeur. J’ai ajouté le groupe des ressources humaines (HR).

Vérifiez que l’utilisateur en question dans le groupe HR possède la stratégie de mots de passe correcte. Pour cela, affichez les propriétés du compte utilisateur à partir de la console ADUC, puis examinez l’attribut msDS-ResultantPSO.

Une nouvelle voie

Les paramètres de stratégie de mots de passe par défaut pour un domaine Windows Active Directory n’ont pas changé ces 11 dernières années et, sur un domaine Windows Server 2008 R2 par défaut, ils sont, au départ, identiques. La stratégie de domaine par défaut contrôle toutes les stratégies de mots de passe d’utilisateurs par défaut, mais peut être modifiée par un autre GPO lié au domaine avec un niveau de priorité plus élevé.

Une fois le domaine configuré comme niveau fonctionnel de domaine Windows Server 2008, il est possible d’employer les stratégies FGPP. Vous pouvez utiliser ADSIEDIT.MSC afin de créer et de configurer un ou plusieurs objets FGPP ou PSO, lesquels autorisent l’implémentation de plusieurs stratégies de mots de passe dans le même domaine. Les FGPP/PSO seront associés à un nom de domaine, utilisateur ou groupe, et ils n’ont rien à voir avec la stratégie de groupe employée ces 11 dernières années pour les stratégies de mots de passe. Cette ségrégation des longueurs de mots de passe est désormais possible pour les différents utilisateurs dans votre domaine Active Directory unique.

Téléchargez cette ressource

SD-WAN de confiance : guide de mise en œuvre

SD-WAN de confiance : guide de mise en œuvre

Ce livre blanc décrit les différents aspects indispensables pour la mise en place d’une approche SD-WAN sécurisée et de confiance. Ce document s’adresse aux consultants et responsables sécurité des systèmes d’information pour bien comprendre les enjeux du Trusted SD-WAN à l’heure de la transformation numérique des entreprises.

Tech - Par iTPro - Publié le 27 février 2013

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT