Stratégies de mots de passe sous Windows 2008 (PSO)

Publié le par Teruin

Sur Windows 2008 serveur les utilisateurs du domaine ont l'obligation de changer leurs mots de passe tout les 42 Jours. Chaque mot de passe doit contenir au moins 7 caractéres et repondre à des exigences de complexitée.

Dans 2008 il est possible de renforcer la sécurité de certain comptes comme les comptes d'administration. Dans Windows 2003 cela n'etait pas possible et ce en raison d'une stratégie de mot de passe unique. les exigences de complexité des mots de passe sont assez classiques. Chaque mot de passe doit compter au moins 3 de ces 4 classes

Majuscule
Minuscule
Nombre
et un caractére non alphanuméric.

Lorsque l'utilisateur génére son mot de passe Active Directory ne le stocke pas de facon native et utilise un algorithme qui produit un code hashé. Ce code est unique pour un mot de passe et ne peut pas être utilisé pour reformer le mot de passe.

Si certaines de vos applications métiers ont la nécéssité de lire le mots de passe dans l'Active Directory alors cela est impossible, sauf si vous avez positionnez l'encryption reversible au sein de la stratégie de mots de passe.

Une des nouveautée intérréssante sur la gestion de mots de passe en environnement Windows 2008 est la possibilité de pouvoir mettre en place des stratégies de groupes de mot de passe. Appellé en anglais 'Fine Grained Password Policy'.Cette fonctionnalité n'est possilble que si le niveau fonctionnel de votre domaine est positionné sur "Windows 2008 Functionnal Level". Le grand intérét de cette fonctionnalitée pour les entreprises est de pouvoir renforcer la sécurité de certain compte utilisateur comme par exemple les nomades qui sont suceptibles d'utiliser des bornes publiques pour les Accès Exchange OWA ou d'autre type d'application. Ce qu'il est également important de savoir c'est que ces stratégies de mots de passe ne sont pas appliquées comme les stratégies de Groupes. Dans l'Active Directory elles sont représentées comme des objets à par entiére. On parle alors de Password Setting Object (PSO) par contre si les GPO peuvent être gérée par une interface graphiques, les PSO ne le sont pas. Il vous faudra utiliser l'outils ADSIEDIT ou User et Computers.

Pour information toutes les PSO du domaine seront positionnées à l'emplacement suivant de l'AD. : DC=nomdevotredomaine, DC=Extensiondevotredomaine,CN=System,CN=Password Settings Container

Le nombre de PSO n'est pas limité. L'affectation se fait par la création d'une stratégie et par un lien avec un utilisateur ou un groupe d'utilisateur.Une des problématiques que l'on va retrouver dans cet environnement est l'utilisation combinée de plusieurs PSO sur un même groupe d'utilisateur.

A l'image des GPO qui peuvent s'appliquer sur des Unitées Organisationnelle, les PSO peuvent être combinées sur un même groupe d'utilisateur. On parle alors de Résultante PSO. La question est donc de savoir quelle est finalement la PSO qui sera appliquée. A contrario des stratégies de groupe ou l'addition des certains paramétres est possible afin déterminer quels seront les paramétres définitivement utilisés (RSOP) , Les PSO ne fusionnent pas. la derniére appliquée, celle qui a préséence sur les autres, est appliquée. Autre différence majeure les PSO ne peuvent pas être utilisées sur des unitées Organisationnelles mais uniquement sur des groupes de sécurité ou des utilisateurs.

Chaque PSO posséde un attribut qui détermine la préscéence. La préséence 1 est la plus élevée. Un peu comme les GPO les PSO utilisateurs ont préséence vis a vis des PSO positionnéees sur un groupe dont l'utilisateur serait membre. Ce systéme fonctionne bien sauf si plusieurs PSO ont la même valeur de préséence. La effectivement ca se complique un peu. Dans ce cas, Active Directory va être obligé de n'en retenir qu'une. Pour cela un systéme relativement basique à été pris mise en place . L'AD choissira la PSO possédant la valeur la plus faible de GUID. La vous allez me dire que cela ne va pas être forcement très simple de voir quelle PSO est finalement affectée à l'utilisateur. Pas de Panique ! .La PSO affectée à l'utilisateur est renseignée dans un attribut de ce dernier nous allons voir comment la retrouver.

Pour créer une PSO depuis Adsiedit.msc

Ouvrez ADSIEDIT et connectez vous sur le domaine en question
Ouvrez le domaine et selectionner, ici dans notre exemple itpro.local
Ouvrez le container DC=Itpro,Dc=local et sélectionner CN=System.
Ouvrez CN=System et sélectionner CN=Password Settings Container
Cliquez droit sur le container et sélectionner l'option Nouveau
Sélectionner ensuite l'objet msDS-PasswordSettings.
cliquez ensuite sur suivant L'ADSIEDIT va ensuite vous demander de remplir un certain nombre de valeurs dont voici les significations

msDS-PasswordSettingsPrecedence : Ici vous indiquer la fameuse valeur de précéence de la PSO. Le mieux effectivement est de gérer correctement ces derniéres pour éviter que deux PSO sur le même object (Groupe ou utilisateurs) ne soient appliquées avec la même valeur de préscéence.

  • msDS-PasswordReversibleEncryptionEnabled. Ca c'est si vos avez besoins que l'AD stocke non pas en clair mais avec une encryption reversible les données de mots de passe. Normalement cette valeur devrait être positionner à "false".
  • msDS-PasswordHistoryLenght : Nombre de mots de passe que l'AD va mémoriser de facon à ce que l'utilisateur ne puisse pas "tourner" sur une liste de mots de passe connue.
  • msDS-PasswordComplexityEnable: Active la necessité pour l'utilisateur de taper dans son mots de passe au moins un caractére nonalphabetique, une minuscule, soit une majuscule et un chiffre.
  • msDSMinimumPasswordAge : ici vous allez indiquer en jours, heures, minutes, secondes (2:00:00:00) la durée minimale du mot de passe.
  • MaximumPasswordAge: Pareil mais ici c'est comme son nom l'indique la durée maximale du mot de passe.
  • msDS-LockoutThreshold. Nombre d'essai avant vérrouillage du compte. vous avez une carte bleue.. alors vous voyez ce que je veux dire. par défaut ce n'est pas trois comme dans les banques mais 5.
  • msDs-LockooutObservationWindows : La ce complique en peux. Vous vous trompez de mots de passe deux fois de suite, au bout de combien de temps windows va t'il remettre les compteurs à zero ?. C'est ici que vous fixer la valeur. toujours pareil en Jour:heures:minutes:seconde (Exemple 0:01:00:00)
  • msDs-LockoutDuration: vous vous êtes trompé 5 fois de mots de passe, votre compte est bloqué. combien temps ? c'est à vous de le définir ici. Encore et toujours pareil en Jour:heures:minutes:seconde

Bon la nous avons juste parlé des paramétres de base et requis pour la PSO mais comme vous pourrez le voir d'autre paramétres sont présents qui eux sont facultatifs.

 Cliquer sur OK et ... c'est fini.... ou presque. reste a affecter la PSO a l'utilisateur ou au groupe.

Pour cela lancer Active Directory User et Computers en prennant soin afficher les options avancées. Localiser l'attribut msDS-PSOAppliesTo et editer les propriétés de cette derniere.
L'interface graphique va vous permettre d'ajouter des groupes ou des utilisateurs.

 

Maintenant alons regarder quelle PSO notre utilisateur a recupérer du fait de son appartenance au groupe password-secure.

La c'est un peu plus simple, il suffit d'aller dans le module utilisateurs et ordinateurs du domaine (dsa.msc) et sélectionner dans le menu affichage les options avancées.

Positionnez vous sur l'utilisateur en question et cliquer dans l'onglet Editeur d'attribut sur le bouton filter. Selection l'option Constructed.localiser ensuite la valeur msDS-PSOapplied

D'après ce que j'ai constaté la valeur de la PSO n'y est pas. Elle est uniquement positionné sur l'objet Groupe et non sur les membres sauf si vous la declarer explicitement sur l'objet utilisateurs.

j'ai par contre testé cela fonctionne.
Laurent Teruin

 

 

 

 

 

 

Publié dans Active Directory

Commenter cet article