5. SECURISER WINDOWS NT
5.7. P ROTECTION DES MOTS DE PASSE
5.7.1. Mettre en place une stratégie de compte
Par défaut Windows NT ne met pas en oeuvre une politique de mot de passe très résistante. Il est donc nécessaire de commencer par appliquer une stratégie de compte. Cette stratégie permet de régler la durée de validité des mots de passe, leur longueur minimale, et les mécanismes de verrouillge de compte.
Exécuter le Gestionnaire des Utilisateurs puis sélectionner le menu Stratégies, Stratégie de compte. Régler les paramètres suivants :
Restrictions sur les mots de passe :
Durée maximale d’un mot de passe : 40 jours pour des réseaux sensibles, 2 à 3 mois pour des réseaux moyennement sensibles, plus d’un an si le réseau bénéficie d’une sécurité réseau maximale (VLAN, reconnaissance d’adresse MAC, etc.)
Durée minimale du mot de passe : autoriser les modifications immédiatement,
Longueur minimale du mot de passe : au moins 7 caractères (avec sensibilisation des gens sur le choix d’un bon mot de passe, i.e. composé de lettres, chiffres et symboles de ponctuation),
Unicité du mot de passe : se souvenir des 5 derniers mots de passe.
(Nota : Pour les comptes utilisateurs avec les privilèges d’Administrateur, le mot de passe devrait être d’au moins 10 caractères, l’idéal étant un mot de passe de 14 caractères)
Verrouillage de compte :
Verrouillage : après 3 ou 4 tentatives d’accès infructueuses1, Réinitialisation : réinitialiser le compte après 60 mn,
Durée de verrouillage : permanente (jusqu’à ce qu’un Administrateur la déverrouille).
Changement de mot de passe :
Les utilisateurs doivent ouvrir une session pour changer leur mot de passe : décocher la boite (en cas d’expiration du mot de passe, un utilisateur ne pourrait plus se connecter).
1 Activer le verrouillage de compte apporte à la fois de la sécurité et de la non-sécurité. Sécurité parce qu’on se prémunit contre une attaque exhaustive sur les mots de passe des comptes, et non-sécurité parce qu’un attaquant peut alors verrouiller tous les comptes utilisateurs facilement. Le bon choix revient à l’administrateur du système en fonction de l’utilisation qui est faite du système d’information.
80
5.7.2. Obliger les utilisateurs à choisir des mots de passe complexes
Passfilt
Le Service Pack 2 a apporté un outil capable d'améliorer la résistance des mots de passe. Passfilt est une DLL installée dans le répertoire %SYSTEMROOT\system32. Passfilt met en oeuvre une politique qui exige que les mots de passe comprennent au moins six caractères, ne contiennent pas le nom de login ou tout ou partie du nom de l'utilisateur et comprennent obligatoirement des caractères parmi au moins trois des catégories suivantes :
Lettres majuscules (A, B, C, ... Z) Lettres minuscules (a, b, c, ... z) Chiffres arabes (0,1, 2, ... 9) Symboles ( @, #, !, &, etc.)
Ajouter l'entrée suivante dans la base de registre et vérifier que le fichier PASSFILT.DLL et la clef ci contre sont en "lecture seule" pour les utilisateurs .
Ruche HKEY_LOCAL_MACHINE\SYSTEM Clé System\CurrentControlSet\Control\LSA Nom Notification Packages
Type REG_MULTI_SZ
Valeur Ajouter Passfilt dans la liste
Passfilt présente deux limitations. La première est que la longueur minimale du mot de passe est codée en dur. La seconde tient au fait que Passfilt ne répond qu'aux requêtes de changement de mot de passe des utilisateurs. Un administrateur peut toujours définir des mots de passe triviaux à partir du Gestionnaire des Utilisateurs.
Passprob
Le logiciel Passprob est un outil fourni dans le kit de ressources NT qui permet d'activer une politique telle que les mots de passe doivent présenter une combinaison de majuscules et de minuscules ou contenir des chiffres ou des symboles.
PASSPROB /COMPLEX
81 Passprob complète la stratégie de compte, en particulier en ce qui concerne la longueur minimale
des mots de passe. Il est en ce point plus intéressant que Passfilt.
5.7.3. Alerter l'utilisateur du prochain changement de mot de passe
La clef ci-contre permet de contrôler le nombre de jours avant l'expiration du mot de passe d'un utilisateur durant lesquels une boite d'avertissement est affichée. Si la clef n'existe pas, la valeur utilisée par défaut est 14.
Vous pouvez modifier ce nombre de jours "n" :
Ruche HKEY_LOCAL_MACHINE\SYSTEM
Clé Software\Microsoft\WindowsNT\CurrentVersion\Winlogon Nom PasswordExpiryWarning
Type REG_DWORD Valeur n (par défaut, n= 14)
5.7.4. Désactiver l'authentification Lan Manager
Pour ces raisons de compabilité, Windows NT accepte les authentifications Lan Manager, seules connues des systèmes Microsoft précédent. Malheureusement le mécanisme de hachage de Lan Manager est moins efficace que le mécanisme natif de Windows NT (NTML). Il est possible d'interdire l'utilisation du mécanisme d'authentification Lan Manager à partir du Service Pack 3 et uniquement si le hot-fix LM (pour le SP3) a été appliqué.
Modifier la base de registre des contrôleurs de domaine :
Ruche HKEY_LOCAL_MACHINE\SYSTEM Clé System\CurrentControlSet\Control\LSA Nom LMCompatibilityLevel
Type REG_DWORD Valeur 0 (NT et LANMAN)
1 (NTLMv2 si demandé)
2 (Authentification NTLM uniquement) 3 (NTLMv2 uniquement)
4 (le contrôleur de domaine refuse l'authentification LANMAN)
5 (le contrôleur de domaine refuse l'authentification LANMAN et NTLM)
Avec les niveau 4 et 5, les clients Windows for Workgroups, Windows 9x et MS-DOS ne pourront plus se connecter sur le contrôleur de domaine. Cette modification n'est donc valable que sur les entreprises ne possédant que des systèmes Windows NT. Les disquettes d'installation des clients réseaux ne pourront plus se connecter sur le contrôleur (elles utilisent un système MS-DOS).
5.7.5. Interdire le transit de mot de passe en clair
Suite à une requête explicite d'un serveur, un mot de passe peut transiter en clair sur le réseau. On peut interdire cette fonction en supprimant la clef suivante de la base des registres.
Ruche HKEY_LOCAL_MACHINE\SYSTEM
Clé System\CurrentControlSet\Services\RdrParameters Nom EnablePlainTextPassword
Type REG_DWORD Valeur 0
82 Le fichier SAM._ se situe dans le répertoire %SYSTEMROOT%\REPAIR et contient une copie de
sauvegarde de la liste des utilisateurs et des mots de passe. Par défaut, tout le monde a le droit de lire ce fichier.
Modifier les permissions du fichier en retirant le groupe "Tout le monde". Le Service Pack 3 et ultérieur effectue cette correction de façon automatique.
5.7.7. Chiffrement de la SAM avec Syskey
Le fichier SAM contient les hashs NT et Lan Manager des mots de passe. De nombreux outils permettent maintenant de "cracker" ces mots de passe, tel Lophtcrack, John the Ripper...
Pour renforcer la protection du fichier SAM, il est possible de le sur-chiffrer à l'aide de l'outil Syskey disponible à partir du Service Pack 3. Ceci empêche la récupération des cryptogrammes des mots de passe NT depuis un fichier SAM récupéré par ailleurs (import de fichier SAM sous L0phtcrack par exemple)
Syskey propose trois méthodes pour obtenir la clé utilisée pour le chiffrement :
• par mot de passe saisi au démarrage du système
• par une clé stockée sur une disquette. La disquette doit être insérée au démarrage du système.
• par une clé stockée sur le disque de démarrage.
5.7.8. Limiter le cache d'authentification des stations
En cas de panne réseau, l'utilisateur ne peut plus se connecter car l'authentification s'effectue à distance sur les serveurs du domaine. Cependant, Windows NT conserve un cache d'authentification des 10 dernières connexions.
Pour permettre à l’utilisateur de continuer à travailler en local, il faut autoriser le cache d'authentification tout en limitant au maximum la possibilité pour quelqu'un d'utiliser les informations de ce cache. On ne mémorisera que le dernier utilisateur du poste afin de minimiser les informations sensibles présentes dans le cache.
Ruche HKEY_LOCAL_MACHINE
Clé Software\ Microsoft\ Windows NT\ Current Version\ Winlogon Nom CachedLogonsCount
Type REG_SZ Valeur 1
Cependant, suite à cette sécurisation il sera impossible, sauf pour le DERNIER utilisateur, de s'authentifier hors réseau.
La seconde clef ci-dessous permet, si elle est positionnée à 1, d'effacer automatiquement à la déconnexion d'un utilisateur son profil stocké localement sous %systemroot%\Profiles.
Ruche HKEY_LOCAL_MACHINE
Clé Software\ Microsoft\ WindowsNT\ CurrentVersion\ Winlogon Nom DeleteRoamingCache
Type REG_DWORD Valeur 0 (Situation normale)
1 (Effacement du cache des profils)
83
5.7.9. Contrôler les Notification Packages
Certaines DLL peuvent être installées pour gérer les mots de passe, par exemple pour les contrôler par rapport à une liste de mots de passe interdit, ou pour les synchroniser avec d'autres systèmes (Netware, ...).
Ces DLL sont appelées des "Notification Package" et leur liste apparaît dans une clé de la base de registres. Par défaut, cette clé est vide.
Les DLL spécifiées dans cette clé peuvent capturer les mots de passe dans leur version non chiffrée (Password Grabbing).
Ruche HKEY_LOCAL_MACHINE
Clé System\CurrentControlSet\ Control\ Lsa Nom Notification Packages
Type REG_MULTI_SZ Valeur "Vide"
Dans le cas de l'utilisation des services Netware, la clef peut contenir une entrée pour FPNWCLNT.
84