locked
Changement de mot de passe Administrateur RRS feed

  • Question

  • Bonjour à tous,

    Juste un petit mail pour avoir de l'info

    Nous souhaiterions changer le mot de passe administrateur de notre domaine/foret

    L'Anssi recommande de le changer régulièrement.

    Avez-vous des préconisation ou conseil à donner en la matière ? Que faut-il vérifier avant ce changement

    Merci d'avance pour votre retour;

    lundi 28 septembre 2015 11:38

Réponses

  • Bonjour Yannix63,

    D'abord, il faut savoir que les Bonnes Pratiques consistent à renommer ou désactiver le compte Administrateur (par défaut).

    Certains programmes malveillants cible le compte DOMAINE\Administrateur ou DOMAIN\Administrator

    Tu peux soit le renommer en mettant un nom par exemple (InitialePrénomItinialeNomAdmin > e.i : HKAdmin pour Administrateur Hicham KADIRI) voir le désactiver et en créer d'autre compte standard que tu ajoutes aux groupes de sécurité : Admins du Domaine | Administrateurs de l'Entreprise | Administrateurs du Schéma ...

    En ce qui concerne la durée de vie du mot de passe, perso je préconise à mes clients une expiration de mot de passe entre (min) 60 jours et (max) 120 jours.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy
    eBook RDS 2012 R2 désormais disponible !

    • Marqué comme réponse Yannix63 mardi 29 septembre 2015 06:39
    lundi 28 septembre 2015 11:49

Toutes les réponses

  • Bonjour Yannix63,

    D'abord, il faut savoir que les Bonnes Pratiques consistent à renommer ou désactiver le compte Administrateur (par défaut).

    Certains programmes malveillants cible le compte DOMAINE\Administrateur ou DOMAIN\Administrator

    Tu peux soit le renommer en mettant un nom par exemple (InitialePrénomItinialeNomAdmin > e.i : HKAdmin pour Administrateur Hicham KADIRI) voir le désactiver et en créer d'autre compte standard que tu ajoutes aux groupes de sécurité : Admins du Domaine | Administrateurs de l'Entreprise | Administrateurs du Schéma ...

    En ce qui concerne la durée de vie du mot de passe, perso je préconise à mes clients une expiration de mot de passe entre (min) 60 jours et (max) 120 jours.

    A+

    HK.


    Hicham KADIRI | Just Another IT Guy
    eBook RDS 2012 R2 désormais disponible !

    • Marqué comme réponse Yannix63 mardi 29 septembre 2015 06:39
    lundi 28 septembre 2015 11:49
  • Bonjour,

    dans tous les cas, il faut vérifier que ce compte ne soit utilisé dans aucun service, aucune tâche planifiée, ni script!

    Ensuite, soit le compte n'est PAS utilisé ou très rarement, ce qui est l'idéal. Dans ce cas, un mot de passe complexe, mis dans un coffre peut suffire.

    Soit le compte est utilisé souvent, et le changement de mot de passe régulier est plus que nécessaire!

    A bientôt,


    Thierry DEMAN. Exchange MVP. MCSE:Messaging 2013,MCSE:Server Infrastructure 2012(82 MCPs). MCSA Office 365 https://mvp.microsoft.com/en-us/mvp/Thierry%20Deman-7660 http://base.faqexchange.info

    lundi 28 septembre 2015 12:30
  • Bonjour et merci à tous pour vos réponses.

    Toujours dans le cadres de l’évolution de la pssi de notre structure, nous souhaiterions suivre au maximum les recommandations de Microsoft et je souhaiterai à terme désactiver le comte Administrateur (je suis en train d'analyser les incidences et dépendances).

    J'ai donc créer des comptes  "administrateur" nominatifs pour l'ensemble des agents qui doivent avoir ces droits.

    - Ces administrateurs (groupe admins du domaine) peuvent-ils activer et désactiver à souhait l'administrateur (compte par défaut - administrateur du schéma et de l'entreprise) ?

    - Autrement dit faut-il s'assurer d'avoir un compte administrateur de schéma actif dans mon AD ? car si j'ai bien compris les préconisations de MS il faut tous les désactiver !

    - Un utilisateur admins du domaine a-t-il le droit de se rajouter dans le groupe admins du schéma ? si oui j'ai un peu de mal a comprendre pourquoi désactiver l'administrateur.

    - Et pour finir, est-ce que cela ne multiplie pas les risques d'avoir plusieurs comptes admin (plus grande surface d'attaque) plutôt que 2 comme précédemment (qui étaient aussi administrateur du schéma)

    Merci à tous pour vos retours et désolé de vous relancer si tard sur une question déjà marquée comme résolue.

    mercredi 7 octobre 2015 09:18