- 22/01/2021
- 5 minutes de lecture
-
- D
- g
- R
- j
- d
-
+6
S’applique à
- Windows 10
Décrit les bonnes pratiques, l’emplacement, les valeurs et les considérations de sécurité pour le mot de passe doit répondre aux exigences de complexité du paramètre de stratégie de sécurité.
Référence
Le paramètre de stratégie Les mots de passe doivent répondre aux exigences de complexité détermine si les mots de passe doivent respecter une série de consignes relatives aux mots de passe forts. Lorsqu’il est activé, ce paramètre exige que les mots de passe satisfassent aux exigences suivantes:
-
Les mots de passe ne peuvent pas contenir la valeur samAccountName (nom du compte) de l’utilisateur ou l’intégralité de displayName (valeur du nom complet). Les deux les vérifications ne sont pas sensibles à la casse.
Le samAccountName est vérifié dans son intégralité uniquement pour déterminer s’il fait partie du mot de passe. Si le samAccountName comporte moins de trois caractères, cette vérification est ignorée. analysé pour les délimiteurs: virgules, points, tirets ou tirets, traits de soulignement, espaces, signes dièse et tabulations. Si l’un de ces délimiteurs est trouvé, le nom d’affichage est divisé et toutes les sections analysées (jetons) sont confirmées comme ne pas être incluses dans le mot de passe . Les jetons de moins de trois caractères sont ignorés et les sous-chaînes des jetons ne sont pas vérifiées. Par exemple, le nom «Erin M. Hagens» est divisé en trois jetons: «Erin», «M» et «Havens». Étant donné que le deuxième jeton ne comporte qu’un seul caractère, il est ignoré. Par conséquent, cet utilisateur pourrait n ot avoir un mot de passe contenant « erin » ou « havens » comme sous-chaîne n’importe où dans le mot de passe.
-
Le mot de passe contient des caractères de trois des catégories suivantes:
- Lettres majuscules des langues européennes (de A à Z, avec signes diacritiques, caractères grecs et cyrilliques)
- Lettres minuscules des langues européennes (de a à z, sharp-s, avec signes diacritiques , Caractères grecs et cyrilliques)
- Chiffres de base 10 (0 à 9)
- Caractères non alphanumériques (caractères spéciaux) 🙁 ~! @ # $% ^ & * _- + =` | \ () {} :; « » < >,.? /) Les symboles monétaires tels que l’euro ou la livre sterling ne sont pas comptés comme des caractères spéciaux pour ce paramètre de stratégie.
- Tout caractère Unicode classé dans la catégorie des caractères alphabétiques mais n’est pas en majuscules ou en minuscules. Ce groupe comprend les caractères Unicode des langues asiatiques.
Les exigences de complexité sont appliquées lorsque les mots de passe sont modifiés ou créés.
Les règles applicables inclus dans les exigences de complexité des mots de passe Windows Server font partie de Passfilt.dll et ne peuvent pas être modifiés directement.
Lorsqu’il est activé, le Passfilt.dll par défaut peut provoquer des appels supplémentaires au service d’assistance pour les comptes verrouillés car les utilisateurs ne sont pas habitués à des mots de passe contenant des caractères qui ne sont pas dans l’alphabet. Mais ce paramètre de stratégie est suffisamment libéral pour que tous les utilisateurs puissent s’y habituer.
Les paramètres supplémentaires qui peuvent être inclus dans un Passfilt.dll personnalisé sont l’utilisation de caractères non supérieurs. Pour saisir des caractères de la ligne supérieure, maintenez la touche MAJ enfoncée et appuyez sur l’une des touches de la ligne numérique du clavier (de 1 à 9 et 0).
Valeurs possibles
- Activé
- Désactivé
- Non défini
Bonnes pratiques
Conseil
Pour connaître les dernières bonnes pratiques, consultez la section Conseils sur les mots de passe.
Définissez les mots de passe doivent répondre aux exigences de complexité sur Activé. Ce paramètre de stratégie, combiné à une longueur de mot de passe minimale de 8, garantit qu’il existe au moins 218 340 105 584 896 possibilités différentes pour un seul mot de passe. Ce paramètre rend une attaque par force brute difficile, mais toujours pas impossible.
L’utilisation de combinaisons de caractères de touches ALT peut considérablement augmenter la complexité d’un mot de passe. Cependant, exiger que tous les utilisateurs d’une organisation adhèrent à des exigences de mot de passe aussi strictes peut entraîner des utilisateurs mécontents et un service d’assistance surchargé. Envisagez d’implémenter une exigence dans votre organisation pour utiliser des caractères ALT compris entre 0128 et 0159 dans le cadre de tous les mots de passe administrateur. (Les caractères ALT en dehors de cette plage peuvent représenter des caractères alphanumériques standard qui n’ajoutent pas de complexité supplémentaire au mot de passe.)
Les mots de passe qui ne contiennent que des caractères alphanumériques sont faciles à compromettre en utilisant des outils accessibles au public. Pour éviter cela, les mots de passe doivent contenir des caractères supplémentaires et répondre aux exigences de complexité.
Emplacement
Configuration ordinateur \ Paramètres Windows \ Paramètres de sécurité \ Stratégies de compte \ Stratégie de mot de passe
Valeurs par défaut
Le tableau suivant répertorie les valeurs de stratégie par défaut réelles et effectives. Les valeurs par défaut sont également répertoriées sur la page de propriétés de la stratégie.
Type de serveur ou stratégie de groupe Objet (GPO) | Valeur par défaut |
---|---|
Stratégie de domaine par défaut | Activé |
Stratégie de contrôleur de domaine par défaut | Activé |
Paramètres par défaut du serveur autonome | Désactivé |
Paramètres par défaut effectifs du contrôleur de domaine | Activé |
Paramètres par défaut effectifs du serveur membre | Activé |
Paramètres par défaut des GPO effectifs sur les ordinateurs clients | Désactivé |
Considérations de sécurité
Cette section décrit comment un attaquant pourrait exploiter une fonctionnalité ou sa configuration, comment mettre en œuvre la contre-mesure et les conséquences négatives possibles de la mise en œuvre de la contre-mesure.
Vulnérabilité
Les mots de passe qui ne contiennent que des caractères alphanumériques sont extrêmement faciles à découvrir avec plusieurs outils accessibles au public.
Contre-mesure
Configurer les mots de passe doivent respecter le paramètre de stratégie des exigences de complexité sur Activé et conseille aux utilisateurs d’utiliser une variété de caractères dans leurs mots de passe.
Lorsqu’il est combiné avec une longueur de mot de passe minimale de 8, ce paramètre de stratégie garantit que le nombre de possibilités différentes pour un seul mot de passe est si grand qu’il est difficile (mais pas impossible) pour une attaque par force brute de réussir. (Si le paramètre de stratégie de longueur minimale du mot de passe est augmenté, le temps moyen nécessaire pour une attaque réussie augmente également.)
Impact potentiel
Si la configuration de complexité du mot de passe par défaut est conservée, des appels supplémentaires au service d’assistance pour les comptes verrouillés peuvent se produire car les utilisateurs ne sont peut-être pas habitués aux mots de passe contenant des caractères non alphabétiques ou peuvent avoir des problèmes pour saisir des mots de passe contenant des caractères accentués ou des symboles sur des claviers de dispositions différentes. Cependant, tous les utilisateurs doivent être en mesure de se conformer aux exigences de complexité avec un minimum de difficulté.
Si votre organisation a des exigences de sécurité plus strictes, vous pouvez créer une version personnalisée du fichier Passfilt.dll qui permet l’utilisation de règles de force de mot de passe arbitrairement complexes. Par exemple, un filtre de mot de passe personnalisé peut nécessiter l’utilisation de symboles autres que ceux de la ligne supérieure. (Les symboles de la ligne supérieure sont ceux qui nécessitent que vous mainteniez la touche MAJ enfoncée, puis appuyez sur l’une des touches de la ligne numérique du clavier, de 1 à 9 et 0.) Un filtre de mot de passe personnalisé peut également effectuer une vérification du dictionnaire pour vérifier que le mot de passe proposé ne contient pas de mots ou de fragments de dictionnaire courants.
L’utilisation de combinaisons de caractères de touche ALT peut considérablement augmenter la complexité d’un mot de passe. Cependant, des exigences de mot de passe aussi strictes peuvent entraîner des demandes d’assistance supplémentaires. Sinon, votre organisation peut envisager d’exiger que tous les mots de passe administrateur utilisent les caractères ALT dans la plage 0128–0159. (Les caractères ALT en dehors de cette plage peuvent représenter des caractères alphanumériques standard qui n’ajouteraient pas de complexité supplémentaire au mot de passe.)
- Politique de mot de passe