Créer une stratégie de mot de passe via GPO et PSO : le tuto complet !

On connaît désormais les enjeux associés aux mots de passe des collaborateurs, tant ils constituent un des principaux remparts contre les intrusions malveillantes dans les systèmes d’information des organisations.

C’est pourquoi les DSI optent souvent pour l’application de stratégies, permettant de contrôler au mieux les comportements des salariés par l’instauration de règles (longueur minimale du mot de passe, expiration, etc.).

Et ce travail est facilité pour les structures qui opèrent par le biais d’un environnement Active Directory.

Vous souhaitez appliquer votre politique par défaut pour tous les utilisateurs d’un même domaine ? Cet article vous expliquera tout ce qu’il y a à savoir sur les GPO pour les mots de passe dans Active Directory.

Vous préférez affiner l’attribution de vos règles en fonction des profils des collaborateurs ? Nous ferons également un focus sur les PSO.

Le tout saupoudré de précieux conseils pour mieux vous outiller

Tout d’abord, que signifient les GPO dans la stratégie de mot de passe avec Active Directory ?

Les GPO (pour Group Policy Objects) correspondent aux objets de stratégie de groupe.

Plus précisément, il s’agit des paramètres permettant de configurer les machines et l’environnement de travail des utilisateurs.

💡 Nous avons affaire ici à un paramétrage homogène : la politique de mot de passe établie dans la GPO Default Domain Policy s’applique à l’ensemble des utilisateurs d’un domaine Active Directory.

Voyons en détail comment procéder pour créer une stratégie de mots de passe via GPO.

👉 Sur votre contrôleur de domaine, accédez à votre outil de gestion des stratégies de groupes, Group Policy Management, et rendez-vous sur les onglets Domains > Default Domain Policy puis éditez.

👉 Allez ensuite sur Computer Configuration > Policies > Windows Settings > Security Settings > Password Policy.

👉 Là, configurez les différents éléments :

• Enforce password history, pour renseigner le nombre d’anciens mots de passe stockés dans l’historique de l’AD qui ne peuvent être utilisés à nouveau.
  
  
• Maximum password age, pour définir à quel moment expirera le mot de passe en nombre de jours, et ainsi forcer le renouvellement. Grâce à ce paramètre, vous gérez l’antériorité maximale du mot de passe.
  
  
• Minimum password age, pour établir le nombre de jours à partir duquel un utilisateur pourra changer le mot de passe, et éviter les modifications trop régulières. Si vous souhaitez autoriser un renouvellement immédiat, inscrivez 0.
  
  
• Minimum password lengh, pour configurer la longueur minimale du mot de passe. Il est recommandé d’opter pour au moins 8 caractères. L’ANSSI va même jusqu’à 12.
  
  
• Password must meet complexity requirements, pour signifier si le mot de passe doit répondre à des exigences de complexité. Grâce à ce paramètre, les collaborateurs ne peuvent utiliser le nom du compte utilisateur. Il impose également l’usage de 3 types de caractères différents appartenant aux 5 catégories suivantes :
  • lettres majuscules,
  • lettres minuscules,
  • chiffres,
  • caractères spéciaux,
  • caractères Unicode.
    
    
• Store passwords using reversible encryption. Pour des raisons de sécurité, mieux vaut ne pas activer ce critère. En effet, les mots de passe stockés se retrouveraient moins protégés, car il sera possible de les récupérer en clair.

👉 Configurer ensuite les autres paramètres de stratégie relatifs au verrouillage du compte dans la section Account Lockout Password :

• Account lockout threshold, pour définir le nombre de tentatives de connexion échouées avant verrouillage du compte.
  
  
• Account lockout duration, qui détermine combien de temps le compte restera verrouillé suite aux tentatives infructueuses.
  
  
• Reset account lockout counter after, pour choisir le total de minutes après lequel le nombre de tentatives échouées est réinitialisé.

Avec les GPO, il est possible de forcer le changement des mots de passe avant l’expiration prédéfinie.

Pour ce faire, il vous faut créer une nouvelle stratégie de groupe et la nommer.

Puis, depuis l’interface de gestion des stratégies de groupe, faites un clic droit sur le nom de votre nouvelle stratégie pour l’éditer, puis rendez-vous sur le dossier Security Options.

👉 De là, cliquez sur l’option Interactive Logon et indiquez le nombre de jours souhaités afin de demander le renouvellement des mots de passe avant leur expiration.

Pour vérifier quelle stratégie de mot de passe via GPO est appliquée dans votre domaine AD, accédez à l’onglet Settings de l’interface Default Domain Policy.

💡 Autre méthode : recourir à des logiciels spécialisés, comme nous le verrons en dernière partie.

PSO, pour Password Settings Object, définit l’objet AD contenant une stratégie de mot de passe effective pour des groupes d’utilisateurs précis.

Autrement dit, il s’agit de déployer une politique spécifique en fonction des profils. Par exemple, il est possible d’exiger un mot de passe plus long pour les services manipulant des données sensibles (service financier notamment).

💡 Cette stratégie s’applique soit à un utilisateur, soit à un groupe d’utilisateurs.

Notez toutefois que cette configuration est disponible depuis Windows Server 2008, et sur Windows Server 2008 R2 ainsi que sur Windows Server 2022. Vous devez donc a minima travailler sur Windows 2008 pour bénéficier de cette option.

👉 Rendez-vous sur le Centre d’administration Active Directory, puis sur System > Password Settings Container > New > Create Password Settings.

Comme vous le constatez, le formulaire à compléter reprend les mêmes caractéristiques que lors de la création d’une stratégie de mot de passe via GPO :

• Enforce minimum password lengh,
• Enforce password history,
• Password must meet complexity requirements,
• Store password using reversible encryption,
• Enforce minimum password age,
• Enforce maximum password age,
• Enforce account lockout policy.

👉 Nous retrouvons également d’autres éléments, comme :

• Protect from accidental delation, pour garantir une protection contre les surpressions accidentelles ;
• Description, utile, par exemple, pour spécifier quels sont les personnes ou groupes à qui cette politique s’adresse.

☝️ Mais surtout, en opérant via PSO, les renseignements suivants s’avèrent indispensables :

• Precedence : ce paramètre implique de renseigner la priorité dans le cas où plusieurs PSO sont destinés à un même objet. Voici les règles à connaître :
  • la plus petite valeur indiquée sera priorisée ;
  • si les valeurs sont identiques, alors la stratégie qui aura le plus petit GUID (Globally Unique IDentifier) l’emportera ;
  • un PSO appliqué au niveau d’un utilisateur est prioritaire sur celui appliqué au niveau du groupe.
    
    
• Directly applies to : là, vous rattachez les groupes ou utilisateurs concernés par la stratégie.

Si vous souhaitez vérifier quelle stratégie concerne un utilisateur ou un groupe, cliquez sur Personnel dans le Centre d’administration AD.

S’affiche alors une liste avec tous les utilisateurs. Sélectionnez celui qui vous intéresse, puis allez sur Afficher les paramètres de mot de passe. Toutes les caractéristiques associées apparaîtront alors.

💡 Vous pouvez également procéder via la console Utilisateurs et ordinateurs Active Directory.

Pour simplifier l’administration des mots de passe, on vous recommande de recourir à des logiciels spécialisés.

PowerShell, la plateforme d’automatisation des tâches éditée par Microsoft, revient souvent en tête de liste. Grâce à elle, vous gérez plus facilement vos politiques de mots de passe, les associez à un utilisateur ou à un groupe et affichez toutes les informations relatives aux stratégies effectives.

💡 Mention spéciale aussi pour Specops Password Policy, un logiciel spécialement conçu pour renforcer les politiques de mots de passe dans l’AD. Avec cet outil, allez plus loin que ce que propose Microsoft dans l’administration des stratégies de groupes, et optimisez la gestion des stratégies de mot de passe à granularité fine. Par exemple, vous pouvez interdire un mot de passe dans l’Active Directory à partir d’une liste ou d’un dictionnaire, ou encore paramétrer plus précisément les critères d’expiration (en fonction de la longueur).

Si vous travaillez dans l’Active Directory, que vous opériez via GPO ou PSO, il est important d’appliquer des paramètres de politique de mot de passe stricts et adaptés aux usages de votre entreprise ainsi qu’au niveau de criticité de ses données. C’est d’ailleurs pourquoi beaucoup d’experts favorisent la Fine Grained Password Policy, puisqu’elle autorise une administration et une granularité plus fine, en accord avec la complexité des organisations.

Toutefois, ces opérations de gestion se révèlent parfois complexes et chronophages au quotidien. Sans compter qu’Active Directory semble quelque peu limité en matière de fonctionnalités face à des cybermenaces sans cesse plus nombreuses et élaborées.

Par conséquent, beaucoup de DSI font le choix de s’équiper en plus d’un logiciel spécialisé pour renforcer leur politique de mot de passe, et assurer au maximum la protection du système d’information de l’entreprise.