locked
[GPO-WéK8R2] Mise en place stratégie mot de passe complexe avec 4 règles RRS feed

  • Question

  • Bonjour,

    Je me permets de mettre mon post, car je n'ai pas trouvé réponse à ma question.

    Je résume :

    J'ai appliqué un Gpo dans un OU de test pour que le mot de passe soit complexe :

    L’article qui indique l’implication du mot de passe complexe :

    Le mot de passe doit respecter des exigences de complexité. Le mot de passe doit avoir au moins 6 caractères, ne pas contenir le nom de l’utilisateur et respecter au moins 3 des 4 règles :

    o    Caractères majuscules de l'alphabet anglais (A à Z)<o:p></o:p>

    o    Caractères minuscules de l'alphabet anglais (a à z)<o:p></o:p>

    o    Chiffres de la base 10 (0 à 9)<o:p></o:p>

    o    Caractères non alphabétiques (par exemple, !, $, #, %)<o:p></o:p>

    Mon problème c'est que mon client me demande un mot de passe d'exigence incluant les 4 règles (Majuscule, Minuscule, Chiffre et caractères). Je ne parviens pas à trouver dans la configuration comment faire appliquer les 4 règles en même temps. J’ai vue sur des sites qu’il y a des solutions de mot de passe affiné en passant par du pso. Cela ne semble pas répondre à ma demande.

    C’est ainsi que je me remets à vous, si vous avez une solution ? ou des recommandations  ?

    Merci d'avance de votre aide

    samedi 14 octobre 2017 06:36

Réponses

Toutes les réponses

  • Bonjour

    A ma connaissance, cela n'est pas possible.

    Et l'article Technet dont vous parlez (https://technet.microsoft.com/fr-fr/library/hh994562(v=ws.11).aspx) mentionne en effet que la complexité correspond à 3 règles sur les 4

    samedi 14 octobre 2017 11:56
  • Vous parlez de la stratégie de mot de passe pour les comptes d'un domaine AD ou pour les comptes locaux ?

    A noter que dans un domaine AD si vous créer une stratégie de mot de passe sur une OU spécifique contenant des ordinateurs elle ne s'applique pas au compte du domaine. La stratégie de mot de passe pour les comptes du domaine doit être définit sur le domaine et en général dans Default Domain Policy :

    http://pbarth.fr/node/146

    Au niveau des exigences de complexité vous ne pouvez les modifier directement. 

    dimanche 15 octobre 2017 08:14
  • Merci à tous pour vos réponses.
    Effectivement, après consultation sur plusieurs sites je me suis résigné.
    Car pour des comptes domaines du policy ADDS, nous ne pouvons allé au-delà de trois règles cité dans mon premier post.
    La seule manière est de passé sur des logiciels tiers appelés password filtrer.
    Si l'un d'entre vous à déjà utilisé ce genre d'applications, je suis preneur de vos conseils.

    Voici les titres que J'ai pu trouvé.

    https://nfrontsecurity.com/products/nfront-password-filter/
    https://www.esecurityplanet.com/network-security/3-tools-for-enforcing-password-policies.html

    Merci encore de vos aides.
    dimanche 15 octobre 2017 18:04
  • Bonjour Lolochan,

    J'imagine que ton client souhaite ceci pour accroitre la sécurité de son SI. Alors, c'est vrai que c'est difficile d'expliquer ça à des clients mais à mon avis, il faudrait davantage lui expliquer qu'il augmentera bien plus sa sécurité en augmentant le nombre de caractère du mot de passe, plutôt que d'appliquer les 4 règles simultanément. Car 6 caractères, c'est quand même pas beaucoup.

    Bon courage :-)

    Cordialement,


    lundi 16 octobre 2017 05:07
  • Bonjour Christohe,

    Merci pour ta réponse.
    Effectivement le client désire renforcer leur politique de mot passe.
    J'ai essayé de les convaincres que de compléxifier le mot de passe, ils vont se noyé d'appel support etc...
    L'utilisateur va tout bêtement noté son mot de passe ....
    Nous sommes que la cinquième roue de la carrosse.

    Ils sont opté pour:

    - 8 characters at least
    - min. 1 number
    - min. 1 UPPERCASE letter
    - min. 1 special character

    Merci encore à tous de vos soutiens.

    lundi 16 octobre 2017 06:58
  • Il y a toujours la possibilité de développer une DLL spécifique mais il faut du courage ...

    https://msdn.microsoft.com/en-us/library/ms721766.aspx

    Sinon juste à titre d'info je mets des liens qui peuvent intéresser :

    https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_ActiveDirectory_NoteTech.pdf

    https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_MDP_NoteTech.pdf

    lundi 16 octobre 2017 13:44
  • merci Philippe.

    Je vais proposé ce produit au client Quest Software password manager. Il avait déjà décliné dans le passer car trop cher.

    En plus de cela, Password manager vous permet aussi de :

    -          Donner une entiere autonomie au utilisateurs en matiere de réinitialisation de mots de passe

    -          Réinitialisation des utilisateurs offline

    -          Vérification par téléphone/SMS

    -          Rapport d’usages pour les administrateurs

    -          Intégration avec notre outil d’authentification renforcée -  Starling 2FA

    to be continud ...

    mercredi 18 octobre 2017 12:55