Qu'est-ce que la FGPP, ou comment appliquer une politique de mot de passe affinée ?

La FGPP, ou stratégie de mot de passe affinée, s’intègre aux politiques de mot de passe appliquées dans le cadre de l’Active Directory.

Sa particularité ? Autoriser différents protocoles au sein d’un même domaine.

Cette caractéristique constitue un atout de taille au regard d’un contexte professionnel dans lequel les organisations se complexifient, et où les différents services accèdent à toujours plus de données et d’applications… avec des niveaux de sensibilité et de criticité différents. En outre, la sécurité informatique devient un enjeu de plus en plus important pour les entreprises.

Alors qu’est-ce que la FGPP au juste et quels sont ses avantages ? Existe-t-il des différences avec une stratégie de mots de passe déployée via les GPO ? Comment mettre en place une Fine Grained Password Policy au sein de votre système d’information et quels outils vous soutiennent dans cette tâche ?

Faisons le point.

FGPP, acronyme de Fine Grained Password Policy, se traduit par stratégie de mot de passe affinée. Elle s’exécute dans le cadre d’une politique de mot de passe déployée via l’Active Directory.

💡 Pour rappel l’Active Directory, ou AD, se définit comme un annuaire de services LDAP (Lightweight Directory Access Protocol) mis en place par Microsoft. Son objectif ? Centraliser les éléments d’identification et d’authentification au sein d’un même système d’information sous environnement Windows.

Pour ce faire, l’Active Directory se structure en divers objets de types différents (ressources, utilisateurs et services).

Pendant longtemps, l’AD n’autorisait pas l’application de plusieurs stratégies de mots de passe pour un même domaine. C’est pourquoi Microsoft a développé la FGPP, avec l’arrivée de Windows Server 2008. Ainsi, les entreprises sont désormais en mesure d’instaurer différentes politiques, sans avoir à créer de nouveaux domaines.

☝️ À noter : une Fine Grained Password Policy peut se rapporter à un utilisateur ou à un groupe, mais pas à une unité d’organisation (conteneur administratif créé dans un domaine).

Les GPO (Group Policy Objects ou objets de stratégie de groupe) correspondent à un ensemble de paramètres de stratégie de groupe, définissant un système ainsi que son comportement pour les utilisateurs associés.

Déterminer une politique de mot de passe via les GPO reste la méthode la plus répandue, car permise dès l’introduction de l’Active Directory en 1999.

Sa particularité ?

Elle est configurée par défaut dans la stratégie du domaine. Par conséquent, les paramètres de la politique de mot de passe appliqués pour les utilisateurs d’un domaine sont ceux caractérisés par ses GPO.

En d’autres termes, une seule et même politique de mot de passe est effective pour les utilisateurs d’un même domaine.

FGPP et GPO possèdent la même liste de contraintes (longueur minimale requise par exemple). Mais comme nous venons de le voir, leur mise en application diffère.

GPO et mot de passe complexe peuvent donc aller de pair… mais une seule stratégie par domaine est autorisée. Cette contrainte oblige les entreprises à multiplier les domaines dès lors qu’elles souhaitent appliquer une politique différente en fonction des utilisateurs ou groupes d’utilisateurs.

A contrario, avec une Fine Grained Password Policy, les organisations bénéficient davantage de flexibilité. Elles peuvent, par exemple, exiger des longueurs de mots de passe différentes en fonction des services ou de la sensibilité des données auxquelles a accès tel ou tel groupe de collaborateurs.

Voyons maintenant plus en détail comment déployer une FGPP.

Plusieurs prérequis sont nécessaires au déploiement d’une FGPP.

Premièrement, il convient de disposer d’un niveau fonctionnel de Windows Server 2008 minimum, car, rappelons-le, la Fine Grained Password Policy a été introduite avec cette version.

Ensuite, la personne effectuant la configuration doit obligatoirement être administratrice du domaine concerné. Pour s’en assurer, la mention suivante est apposée sous le nom de domaine, dans le centre d’administration de l’Active Directory (Active Directory Administrative Center, ou ADAC) : « system\Password Settings Container ».

L’Active Directory implique une hiérarchie dans l’annuaire, représentée sous la forme d’une arborescence, afin d’organiser les ordinateurs et les utilisateurs en groupes et en sous-groupes.

De ce fait, il vous faut comprendre comment agissent les ordres d’application d’une FGPP.

1. Pour rappel, la stratégie de mot de passe définie s’applique à un utilisateur ou à un groupe. Nous vous recommandons cependant la première option. De cette manière, la politique choisie sera automatiquement effective pour tout groupe comprenant l’utilisateur en question.
   
   
2. Si plusieurs stratégies se rapportent à un même utilisateur ou à un même groupe, le système priorisera celle contenant la plus petite valeur au niveau de l’attribut « Precedence » ou « Priorité ».
   Si les valeurs renseignées sont identiques, la stratégie possédant le plus petit GUID (Globally Unique IDentifier ou identificateur global unique) l’emportera alors.
   
   
3. Enfin, lorsqu’un groupe contient d’autres groupes (groupes imbriqués), le protocole s’applique à l’ensemble des utilisateurs de ces groupes.

Longueur, complexité, expiration du mot de passe… Active Directory permet de gérer différents paramètres. Plus concrètement, voici comment opérer.

Lancez la console de l’Active Directory (dans les outils d’administration de Windows) puis cliquez sur Password Setting Container > New > Settings.

Une fois l’interface de configuration lancée, indiquez les différentes caractéristiques de votre politique de mot de passe. Pour ce faire, il vous faut renseigner des valeurs dans des champs, ou cocher/décocher des cases selon vos préférences.

Voici les différents paramètres en question :

• « Name » ou « Nom » : il s’agit du nom de la stratégie de mot de passe. Il doit idéalement refléter le groupe ou l’individu concerné.
  
  
• « Precedence » ou « Priorité » : la FGPP Precedence indique la valeur servant à prioriser, notamment dans le cas où plusieurs Fine Grained Password Policies s’appliquent à un utilisateur ou à un groupe. Dans ce cas, les nombres plus petits priment.
  
  
• « Enforce minimum password length » ou « Longueur minimale minimale du mot de passe », en nombre de caractères.
  
  
• « Enforce password history » ou « Nombre de mots de passe mémorisés », pour éviter le recyclage des mots de passe.
  
  
• « Password must meet complexity requirements » ou « Le mot de passe doit respecter les exigences de sécurité » : cet attribut permet de choisir de respecter (ou non) le niveau de complexité requis. Les exigences de sécurité appliquées par défaut opèrent à deux niveaux :
  • le mot de passe ne doit pas contenir le nom de l’utilisateur (la valeur amAccountName) ou la totalité de la valeur Nom complet (displayName) ;
  • il est tenu de comporter des caractères d’au moins 3 des 5 catégories suivantes :
    • lettres majuscules,
    • lettres minuscules,
    • chiffres,
    • caractères spéciaux et caractères Unicode classés en tant que caractères alphabétiques (caractères en provenance de langues asiatiques par exemple).
      
      
• « Store password using reversible encryption » ou « Stocker le mot de passe en utilisant le chiffrement réversible » : pour des raisons de sécurité, mieux vaut ne pas favoriser cette option.
  
  
• « Protect from accidental deletion » ou « Protéger contre la suppression accidentelle ».
  
  
• « Enforce minimum password age » ou « Appliquer l’âge minimal de mot de passe » : ce paramètre gère la durée minimale de la validité du mot de passe, afin d’éviter des modifications trop fréquentes. Vous pouvez définir une valeur entre 1 et 998 jours, ou autoriser les changements immédiatement en indiquant 0.
  
  
• « Enforce maximum password age » ou « Appliquer l’âge maximal de mot de passe » : cette caractéristique détermine quand le password doit être renouvelé, un renouvellement suffisamment fréquent constituant une des conditions de la sécurité optimale d’une politique de mot de passe. Définissez une valeur entre 1 et 999 jours, ou inscrivez 0 si vous ne souhaitez pas que vos mots de passe expirent.
  
  
• « Enforce account lockout policy » ou « Appliquer la stratégie de verrouillage de compte » : ce réglage comprend :
  • « Number of failed logon attempts allowed » ou « Nombre de tentatives de connexion échouées autorisées »,
  • « Reset failed logon attempts count after » ou « Réinitialiser le nombre de tentatives de connexion échouées après »,
  • « Account will be locked out » ou « Le compte va être verrouillé » : le compte sera bloqué pour une durée de tant (en minutes), où jusqu’à ce qu’un administrateur le débloque manuellement.
    
    
• « Description » : il est possible de rajouter une description au besoin. Précisez, par exemple, à quelle personne s’adressent les contraintes renseignées, quelles sont ses fonctions et ses responsabilités dans la société, etc.
  
  
• « Directly Applies to » ou « S’applique directement à » : renseignez auprès de qui cette politique s’applique (groupe ou utilisateur).

Une fois l’ensemble de ces paramètres validés, la stratégie apparaît dans l’interface Password Settings Container (dans un dossier reprenant le nom inscrit dans « Name » ou « Nom) ».

Nous venons de voir comment développer une politique de mot de passe (voire plusieurs politiques de mots de passe) au moyen d’une stratégie affinée.

Toutefois, le niveau de granularité autorisé peut se révéler insuffisant. En effet, rappelons que pour l’attribut « Le mot de passe doit respecter les exigences de sécurité », soit on coche, soit on 

Pour aller plus loin que les règles par défaut comprises dans l’Active Directory, mais aussi pour faciliter le déploiement de votre politique de mot de passe, nous vous recommandons d’utiliser un logiciel dédié, à l’exemple de Specops Password Policy.

Grâce à cet outil, vous :

• sécurisez vos politiques de mots de passe en vous conformant à certaines normes (NCSC, NIST, ANSSI) : type de caractères, longueur des mots de passe, blocage de certaines expressions grâce à un dictionnaire personnalisé, etc. ;
• bénéficiez de fonctionnalités supplémentaires : calcul de la durée de validité du mot de passe en fonction de sa longueur par exemple ;
• filtrez, grâce à une base de données, les mots de passe compromis ou figurant sur des listes de passwords qui ont fuité.
  
  

Si votre entreprise évolue dans un environnement Active Directory, les FGPP se révèlent donc indispensables pour assurer une certaine granularité en fonction des groupes ou des utilisateurs.

Cependant, le recours à une solution spécifique additionnelle reste chaudement recommandé pour disposer davantage d’options dans la définition de votre politique de mot de passe, en simplifier la gestion, et surtout vous aligner avec les dernières normes… garantie d’un niveau de sécurité optimal face à un nombre de cyberattaques en croissance constante !