Stratégies des comptes

Les stratégies de comptes déterminent les règles pour les utilisateurs à l’égard des mots de passe et de Kerberos.

4.3.1 Stratégie des mots de passe

4.3.1.1 Conserver l’historique des mots de passe PasswordHistorySize = 24

Le paramètre « PasswordHistorySize » détermine le nombre de mots de passe conservés par le système. Cette valeur est comparée avec les entrées utilisateur pendant les changements de mots de passe. La valeur « 24 » signifie que l’utilisateur doit choisir 24 mots de passe différents avant de pouvoir réutiliser le premier mot de passe. Avec une valeur de 2 pour le paramètre

« MinimumPasswordAge », l’utilisateur devrait changer son mot de passe tous les deux jours 24 fois de suite avant pouvoir de revenir à son mot de passe original.

4.3.1.2 Durée de vie maximale du mot de passe MaximumPasswordAge = 42

Le paramètre « MaximumPasswordAge » détermine le nombre maximal de jours pendant lesquels l’utilisateur peut conserver le même mot de passe. Avec une valeur de 42, l’utilisateur doit modifier son mot de passe tous les 42 jours. Conjointement avec les paramètres

« PasswordComplexity » et « PasswordLength », ce paramètre assure un mot de passe robuste et résistant aux attaques.

4.3.1.3 Durée de vie minimale du mot de passe MinimumPasswordAge = 2

Le paramètre « MinimumPasswordAge » détermine combien de jours l’utilisateur doit attendre avant de changer un mot de passe. Avec la valeur « 2 », l’utilisateur doit attendre deux jours avant de changer son mot de passe.

4.3.1.4 Longueur minimale du mot de passe MinimumPasswordLength = 8

Le paramètre « MinimumPasswordLength » détermine le nombre minimal de caractères acceptable dans un mot de passe. Avec la valeur « 8 », l’utilisateur doit entrer un mot de passe d’au moins 8 caractères. Conjointement avec les paramètres « PasswordComplexity » et « MaximumPasswordAge », ce paramètre assure un mot de passe robuste et résistant aux attaques.

4.3.1.5 Le mot de passe doit respecter les exigences de complexité PasswordComplexity = 1

Le paramètre « PasswordComplexity » détermine les exigences de complexité du mot de passe. Avec la valeur « 1 », l’utilisateur doit entrer un mot de passe qui répond aux critères ci-dessous. Le mot de passe doit contenir des caractères dans trois des quatre catégories suivantes :

• Lettres en majuscule (A-Z)

• Lettres en minuscule (a-z)

• Chiffres en base 10 (0-9)

• Caractères non alphanumériques (! @ # $ % ^ &) Ce paramètre permet de contrer les attaques par la force brute.

4.3.1.6 Enregistrer les mots de passe en utilisant un cryptage réversible ClearTextPassword = 0

Le mot clé « ClearTextPassword » détermine si le système enregistre le mot de passe avec une technique cryptographique réversible. Avec la valeur « 0 », la cryptographie réversible est désactivée.

REMARQUE : On ne doit jamais activer cette option, à moins que les considérations

opérationnelles ne l’emportent sur la nécessité de protéger l’information sur le mot de passe.

4.3.2 Stratégie de verrouillage des comptes 4.3.2.1 Durée de verrouillage des comptes LockoutDuration = 15

Le paramètre « LockoutDuration » détermine la durée (en minutes) pendant laquelle un compte est désactivé après le verrouillage. Avec la valeur « 15 », le compte de l’utilisateur est désactivé pendant 15 minutes. Cette valeur doit être synchronisée avec le paramètre

« ResetLockoutCounter », de sorte que l’utilisateur puisse ouvrir une session quand la durée indiquée pour le paramètre « LockoutDuration » a expiré.

4.3.2.2 Seuil de verrouillage du compte LockoutBadCount = 10

Le paramètre « LockoutBadCount » détermine le nombre de tentatives infructueuses d’ouverture de session, avant que le compte ne soit verrouillé. Avec la valeur « 10 », le compte de

l’utilisateur sera verrouillé après 10 tentatives infructueuses consécutives d’ouverture de session. Ce paramètre permet de contrer les tentatives prolongées de craquage de mots de passe.

4.3.2.3 Réinitialiser le compteur de verrouillages du compte après ResetLockoutCount = 15

Le paramètre « ResetLockoutCount » détermine la durée (en minutes) avant la réinitialisation du compte. Avec la valeur « 15 », le compteur du verrouillage est ramené à zéro après 15 minutes. Cette valeur doit être synchronisée avec le paramètre « LockoutDuration », afin que l’utilisateur puisse ouvrir une session quand la durée indiquée par le paramètre « LockoutDuration » a expiré.

4.3.3 Stratégie Kerberos

Il n’y a pas de paramètres Kerberos dans la configuration de base pour groupe de travail.

4.3.3.1 Appliquer les restrictions pour l’ouverture de session TicketValidateClient = 1

Le paramètre « TicketValidateClient » détermine si l’authentification par le Centre de distribution des clés V5 Kerberos est requise. Avec la valeur « 1 », l’utilisation de l’authentification Kerberos est requise.

4.3.3.2 Durée de vie maximale pour le ticket de service MaxServiceAge = 600

Le paramètre « MaxServiceAge » détermine le nombre de minutes pendant lequel un ticket de service est valide. Avec la valeur « 600 », le ticket peut être utilisé pendant 10 heures.

4.3.3.3 Durée de vie maximale du ticket utilisateur MaxTicketAge = 10

Le paramètre « MaxTicketAge » détermine le nombre maximal d’heures pendant lequel un ticket utilisateur (TGT pour Ticket Granting Ticket) peut être renouvelé. Avec la valeur « 10 », le ticket utilisateur doit être remplacé ou renouvelé après 10 heures.

4.3.3.4 Durée de vie maximale pour le renouvellement du ticket utilisateur MaxRenewAge = 7

Le paramètre « MaxRenewAge » détermine le nombre maximal de jours pendant lequel le ticket utilisateur peut être renouvelé. Avec la valeur « 7 », le ticket utilisateur peut être renouvelé pour sept jours.

4.3.3.5 Tolérance maximale pour la synchronisation de l’horloge de l’ordinateur MaxClockSkew = 5

Le paramètre « MaxClockSkew » détermine la différence de temps maximale que Kerberos tolérera entre l’horloge du système et l’horloge du contrôleur de domaine. Avec la valeur « 5 », les systèmes qui présentent un décalage d’horloge de plus de cinq minutes par rapport à l’horloge du contrôleur de domaine se verront refuser l’accès.