Membre de domaine : Âge maximal du mot de passe du compte d’ordinateur
Décrit les considérations relatives aux meilleures pratiques, à l’emplacement, aux valeurs et à la sécurité pour le paramètre de stratégie de sécurité Membre de domaine : âge maximal du mot de passe du compte d’ordinateur.
Référence
Le paramètre de stratégie Membre de domaine : âge maximal du mot de passe du compte d’ordinateur détermine l’âge maximal autorisé pour un mot de passe de compte d’ordinateur.
Dans les domaines Active Directory, chaque appareil dispose d’un compte et d’un mot de passe, comme tous les utilisateurs. Par défaut, les membres de domaine modifient automatiquement leur mot de passe de domaine tous les 30 jours. Le fait d’augmenter considérablement cet intervalle ou de le définir sur 0 pour que l’appareil ne modifie plus son mot de passe, laisse plus de temps à un utilisateur malveillant pour entreprendre une attaque par force brute visant à deviner les mots de passe de comptes d’ordinateurs.
Valeurs possibles
Nombre de jours défini par l’utilisateur compris entre 0 et 999
Non défini.
Meilleures pratiques
Il est souvent conseillé de définir le paramètre Membre de domaine : âge maximal du mot de passe du compte d’ordinateur sur 30 jours environ.
Certaines organisations prégénèrent des appareils et les stockent pour un usage ultérieur ou les envoient sur des sites distants. Si le compte d’ordinateur est arrivé à expiration, il n’est plus en mesure de s’authentifier auprès du domaine. Les appareils qui ne peuvent pas s’authentifier auprès du domaine doivent être supprimés de celui-ci et joints de nouveau à celui-ci. Pour cette raison, certaines organisations voudront peut-être créer une unité d’organisation spéciale (UO) pour les ordinateurs prégénérés et configurer la valeur de ce paramètre de stratégie sur un plus grand nombre de jours.
Emplacement
Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité
Valeurs par défaut
Le tableau ci-après répertorie les valeurs par défaut réelles et actuelles pour cette stratégie. Les valeurs par défaut sont également répertoriées sur la page des propriétés de la stratégie.
Type de serveur ou objet de stratégie de groupe | Valeur par défaut |
---|---|
Stratégie de domaine par défaut |
Non défini |
Stratégie de contrôleur de domaine par défaut |
Non défini |
Paramètres par défaut du serveur autonome |
30 jours |
Paramètres par défaut actuels du contrôleur de domaine |
30 jours |
Paramètres par défaut actuels du serveur membre |
30 jours |
Paramètres par défaut actuels de l’ordinateur client |
30 jours |
Gestion de la stratégie
Cette section décrit les fonctionnalités et outils disponibles pour vous aider à gérer cette stratégie.
Exigence de redémarrage
Aucune. Les modifications apportées à cette stratégie sont prises en compte sans redémarrage de l’ordinateur lorsqu’elles sont enregistrées localement ou distribuées par le biais d’une stratégie de groupe.
Considérations relatives à la sécurité
Cette section décrit comment une personne malveillante peut exploiter une fonctionnalité ou sa configuration, comment implémenter la contre-mesure et les conséquences négatives possibles de sa mise en œuvre.
Vulnérabilité
Dans les domaines Active Directory, chaque appareil dispose d’un compte et d’un mot de passe, comme tous les utilisateurs. Par défaut, les membres de domaine modifient automatiquement leur mot de passe de domaine tous les 30 jours. Le fait d’augmenter considérablement cet intervalle, ou de le définir sur 0 pour que les ordinateurs ne modifient plus leur mot de passe, laisse plus de temps à un utilisateur malveillant pour entreprendre une attaque en force brute visant à deviner le mot de passe d’un ou de plusieurs comptes d’ordinateur.
contre-mesure
Configurez le paramètre Membre de domaine : ancienneté maximale du mot de passe du compte ordinateur sur 30 jours.
Impact potentiel
Aucune. Il s’agit de la configuration par défaut.