

L’audit de sécurité permet de connaître les failles et dysfonctionnements d’un système informatique. Découvrez comment anticiper les cyber-risques avant qu’il ne soit trop tard !
Le média de ceux qui réinventent l'entreprise
La FGPP, ou stratégie de mot de passe affinée, s’intègre aux politiques de mot de passe appliquées dans le cadre de l’Active Directory.
Sa particularité ? Autoriser différents protocoles au sein d’un même domaine.
Cette caractéristique constitue un atout de taille au regard d’un contexte professionnel dans lequel les organisations se complexifient, et où les différents services accèdent à toujours plus de données et d’applications… avec des niveaux de sensibilité et de criticité différents. En outre, la sécurité informatique devient un enjeu de plus en plus important pour les entreprises.
Alors qu’est-ce que la FGPP au juste et quels sont ses avantages ? Existe-t-il des différences avec une stratégie de mots de passe déployée via les GPO ? Comment mettre en place une Fine Grained Password Policy au sein de votre système d’information et quels outils vous soutiennent dans cette tâche ?
Faisons le point.
FGPP, acronyme de Fine Grained Password Policy, se traduit par stratégie de mot de passe affinée. Elle s’exécute dans le cadre d’une politique de mot de passe déployée via l’Active Directory.
💡 Pour rappel l’Active Directory, ou AD, se définit comme un annuaire de services LDAP (Lightweight Directory Access Protocol) mis en place par Microsoft. Son objectif ? Centraliser les éléments d’identification et d’authentification au sein d’un même système d’information sous environnement Windows.
Pour ce faire, l’Active Directory se structure en divers objets de types différents (ressources, utilisateurs et services).
Pendant longtemps, l’AD n’autorisait pas l’application de plusieurs stratégies de mots de passe pour un même domaine. C’est pourquoi Microsoft a développé la FGPP, avec l’arrivée de Windows Server 2008. Ainsi, les entreprises sont désormais en mesure d’instaurer différentes politiques, sans avoir à créer de nouveaux domaines.
☝️ À noter : une Fine Grained Password Policy peut se rapporter à un utilisateur ou à un groupe, mais pas à une unité d’organisation (conteneur administratif créé dans un domaine).
Les GPO (Group Policy Objects ou objets de stratégie de groupe) correspondent à un ensemble de paramètres de stratégie de groupe, définissant un système ainsi que son comportement pour les utilisateurs associés.
Déterminer une politique de mot de passe via les GPO reste la méthode la plus répandue, car permise dès l’introduction de l’Active Directory en 1999.
Sa particularité ?
Elle est configurée par défaut dans la stratégie du domaine. Par conséquent, les paramètres de la politique de mot de passe appliqués pour les utilisateurs d’un domaine sont ceux caractérisés par ses GPO.
En d’autres termes, une seule et même politique de mot de passe est effective pour les utilisateurs d’un même domaine.
FGPP et GPO possèdent la même liste de contraintes (longueur minimale requise par exemple). Mais comme nous venons de le voir, leur mise en application diffère.
GPO et mot de passe complexe peuvent donc aller de pair… mais une seule stratégie par domaine est autorisée. Cette contrainte oblige les entreprises à multiplier les domaines dès lors qu’elles souhaitent appliquer une politique différente en fonction des utilisateurs ou groupes d’utilisateurs.
A contrario, avec une Fine Grained Password Policy, les organisations bénéficient davantage de flexibilité. Elles peuvent, par exemple, exiger des longueurs de mots de passe différentes en fonction des services ou de la sensibilité des données auxquelles a accès tel ou tel groupe de collaborateurs.
Voyons maintenant plus en détail comment déployer une FGPP.
Plusieurs prérequis sont nécessaires au déploiement d’une FGPP.
Premièrement, il convient de disposer d’un niveau fonctionnel de Windows Server 2008 minimum, car, rappelons-le, la Fine Grained Password Policy a été introduite avec cette version.
Ensuite, la personne effectuant la configuration doit obligatoirement être administratrice du domaine concerné. Pour s’en assurer, la mention suivante est apposée sous le nom de domaine, dans le centre d’administration de l’Active Directory (Active Directory Administrative Center, ou ADAC) : « system\Password Settings Container ».
L’Active Directory implique une hiérarchie dans l’annuaire, représentée sous la forme d’une arborescence, afin d’organiser les ordinateurs et les utilisateurs en groupes et en sous-groupes.
De ce fait, il vous faut comprendre comment agissent les ordres d’application d’une FGPP.
Longueur, complexité, expiration du mot de passe… Active Directory permet de gérer différents paramètres. Plus concrètement, voici comment opérer.
Lancez la console de l’Active Directory (dans les outils d’administration de Windows) puis cliquez sur Password Setting Container > New > Settings.
Une fois l’interface de configuration lancée, indiquez les différentes caractéristiques de votre politique de mot de passe. Pour ce faire, il vous faut renseigner des valeurs dans des champs, ou cocher/décocher des cases selon vos préférences.
Voici les différents paramètres en question :
Une fois l’ensemble de ces paramètres validés, la stratégie apparaît dans l’interface Password Settings Container (dans un dossier reprenant le nom inscrit dans « Name » ou « Nom) ».
Nous venons de voir comment développer une politique de mot de passe (voire plusieurs politiques de mots de passe) au moyen d’une stratégie affinée.
Toutefois, le niveau de granularité autorisé peut se révéler insuffisant. En effet, rappelons que pour l’attribut « Le mot de passe doit respecter les exigences de sécurité », soit on coche, soit on
Pour aller plus loin que les règles par défaut comprises dans l’Active Directory, mais aussi pour faciliter le déploiement de votre politique de mot de passe, nous vous recommandons d’utiliser un logiciel dédié, à l’exemple de Specops Password Policy.
Grâce à cet outil, vous :
Si votre entreprise évolue dans un environnement Active Directory, les FGPP se révèlent donc indispensables pour assurer une certaine granularité en fonction des groupes ou des utilisateurs.
Cependant, le recours à une solution spécifique additionnelle reste chaudement recommandé pour disposer davantage d’options dans la définition de votre politique de mot de passe, en simplifier la gestion, et surtout vous aligner avec les dernières normes… garantie d’un niveau de sécurité optimal face à un nombre de cyberattaques en croissance constante !