Share via


Membre de domaine : Âge maximal du mot de passe du compte d’ordinateur

Décrit les considérations relatives aux meilleures pratiques, à l’emplacement, aux valeurs et à la sécurité pour le paramètre de stratégie de sécurité Membre de domaine : âge maximal du mot de passe du compte d’ordinateur.

Référence

Le paramètre de stratégie Membre de domaine : âge maximal du mot de passe du compte d’ordinateur détermine l’âge maximal autorisé pour un mot de passe de compte d’ordinateur.

Dans les domaines Active Directory, chaque appareil dispose d’un compte et d’un mot de passe, comme tous les utilisateurs. Par défaut, les membres de domaine modifient automatiquement leur mot de passe de domaine tous les 30 jours. Le fait d’augmenter considérablement cet intervalle ou de le définir sur 0 pour que l’appareil ne modifie plus son mot de passe, laisse plus de temps à un utilisateur malveillant pour entreprendre une attaque par force brute visant à deviner les mots de passe de comptes d’ordinateurs.

Valeurs possibles

  • Nombre de jours défini par l’utilisateur compris entre 0 et 999

  • Non défini.

Meilleures pratiques

  1. Il est souvent conseillé de définir le paramètre Membre de domaine : âge maximal du mot de passe du compte d’ordinateur sur 30 jours environ.

  2. Certaines organisations prégénèrent des appareils et les stockent pour un usage ultérieur ou les envoient sur des sites distants. Si le compte d’ordinateur est arrivé à expiration, il n’est plus en mesure de s’authentifier auprès du domaine. Les appareils qui ne peuvent pas s’authentifier auprès du domaine doivent être supprimés de celui-ci et joints de nouveau à celui-ci. Pour cette raison, certaines organisations voudront peut-être créer une unité d’organisation spéciale (UO) pour les ordinateurs prégénérés et configurer la valeur de ce paramètre de stratégie sur un plus grand nombre de jours.

Emplacement

Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité

Valeurs par défaut

Le tableau ci-après répertorie les valeurs par défaut réelles et actuelles pour cette stratégie. Les valeurs par défaut sont également répertoriées sur la page des propriétés de la stratégie.

Type de serveur ou objet de stratégie de groupe Valeur par défaut

Stratégie de domaine par défaut

Non défini

Stratégie de contrôleur de domaine par défaut

Non défini

Paramètres par défaut du serveur autonome

30 jours

Paramètres par défaut actuels du contrôleur de domaine

30 jours

Paramètres par défaut actuels du serveur membre

30 jours

Paramètres par défaut actuels de l’ordinateur client

30 jours

 

Gestion de la stratégie

Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.

Exigence de redémarrage

Aucune. Les modifications apportées à cette stratégie sont prises en compte sans redémarrage de l’ordinateur lorsqu’elles sont enregistrées localement ou distribuées par le biais d’une stratégie de groupe.

Considérations relatives à la sécurité

Cette section décrit comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de sa mise en œuvre.

Vulnérabilité

Dans les domaines Active Directory, chaque appareil dispose d’un compte et d’un mot de passe, comme tous les utilisateurs. Par défaut, les membres de domaine modifient automatiquement leur mot de passe de domaine tous les 30 jours. Le fait d’augmenter considérablement cet intervalle, ou de le définir sur 0 pour que les ordinateurs ne modifient plus leur mot de passe, laisse plus de temps à un utilisateur malveillant pour entreprendre une attaque en force brute visant à deviner le mot de passe d’un ou de plusieurs comptes d’ordinateur.

contre-mesure

Configurez le paramètre Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur sur 30 jours.

Impact potentiel

Aucune. Il s’agit de la configuration par défaut.

Rubriques associées

Options de sécurité