Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Pourquoi effectuer ces actions
La stratégie de verrouillage de compte ne paramètre pas actuellement le seuil de verrouillage de compte à la valeur recommandée. Le seuil de verrouillage de compte doit être paramétré à 0, de sorte que les comptes ne soient pas verrouillés (et que les attaques par déni de service (DoS) soient empêchées), ou à une valeur suffisamment élevée pour que les utilisateurs puissent saisir leur mot de passe de façon erronée à plusieurs reprises avant que leur compte ne soit verrouillé, mais qui garantisse tout de même qu’une attaque par force brute du mot de passe verrouillera le compte.
Regardez un ingénieur client expliquer le problème
Contexte et meilleures pratiques
Les attaques automatisées par mot de passe peuvent essayer des millions de combinaisons pour chaque compte d’utilisateur. La limitation du nombre de tentatives de connexion infructueuses peut réduire considérablement le risque de réussite de ces attaques. Toutefois, il est important de noter que si un domaine a un seuil de verrouillage de compte défini, une série de tentatives de connexion automatisées sur tous les comptes d’utilisateur peut potentiellement déclencher ce seuil, ce qui entraîne le verrouillage de chaque compte.
Des vulnérabilités pouvant exister aussi bien quand le seuil de verrouillage de compte est configuré que quand il ne l’est pas, deux contre-mesures sont établies. Chaque organisation devrait peser le pour et le contre entre ces deux contre-mesures en se basant sur les menaces identifiées et les risques qu’elles doivent réduire. Les options des deux contre-mesures sont :
- Configurez le paramètre de Seuil de verrouillage du compte sur 0. Cette configuration garantit que les comptes ne seront pas verrouillés et empêchera une attaque par déni de service essayant de verrouiller des comptes intentionnellement. Cette configuration permet également de réduire le nombre d'appels au support technique, car les utilisateurs ne peuvent pas se verrouiller accidentellement hors de leur compte. Étant donné que cela n’empêchera pas une attaque par force brute, cette configuration devrait être utilisée uniquement si les deux critères suivants sont remplis :
-
- La stratégie de mot de passe exige que tous les utilisateurs aient des mots de passe complexes de 8 caractères ou plus.
- Un mécanisme d’audit robuste est mis en place pour alerter les administrateurs quand une série d’échecs d’ouverture de session se produit. Par exemple, la solution d’audit doit surveiller l’événement de sécurité 539, qui est un échec d’ouverture de session. Cet événement indique que le compte était verrouillé au moment de la tentative d’ouverture de session.
- Définissez le Seuil de verrouillage du compte sur un niveau qui permet aux utilisateurs de saisir leur mot de passe de façon erronée à plusieurs reprises avant que leur compte ne soit verrouillé, tout en garantissant qu’il empêche les attaques par mot de passe par force brute. Cette configuration empêchera les verrouillages accidentels de compte et réduira les appels au support technique, mais n’empêchera pas les attaques par déni de service.
Si ce paramètre de stratégie est activé, un compte verrouillé restera inaccessible tant qu’il n’aura pas été réinitialisé par un administrateur ou jusqu’à ce que la durée de verrouillage expire. Cette configuration peut entraîner une augmentation des appels au support technique, car les comptes verrouillés sont une source courante de demande d’assistance dans de nombreuses organisations. En outre, un acteur malveillant peut déclencher intentionnellement plusieurs échecs de connexion pour verrouiller les utilisateurs et perturber le service. Pour réduire l’impact potentiel, il est conseillé de définir la durée de verrouillage du compte sur un intervalle plus court, par exemple 15 minutes.
Actions suggérées
Utilisez l’éditeur de gestion des stratégies de groupe (GPME) pour ouvrir l’objet de stratégie de groupe (GPO) contenant la stratégie de mot de passe effective pour le domaine. Cet objet de stratégie de groupe peut être la stratégie de domaine par défaut ou un objet de stratégie de groupe personnalisé lié, c’est-à-dire dont la précédence est supérieure à celle de la stratégie de domaine par défaut.
Dans le GPME, accédez à Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies de comptes > Stratégie de verrouillage de compte.
Configurez le paramètre Seuil de verrouillage du compte sur 0 pour que les comptes ne soient jamais verrouillés ou sur n, où n est une valeur suffisamment élevée pour permettre aux utilisateurs de saisir leur mot de passe de façon erronée à plusieurs reprises avant que leur compte ne soit verrouillé, mais qui garantisse tout de même qu’une attaque par mot de passe par force brute verrouillera le compte. La valeur de base de référence actuellement recommandée par Microsoft Security Compliance Toolkit (SCT) pour n est de 10.
Notez que si des stratégies de mot de passe affinées sont utilisées, la stratégie de domaine par défaut risque de ne pas affecter tous les comptes. Dans ce cas, vous devez également vérifier le paramètre de cryptage réversible dans ces stratégies de mot de passe affinées.
En savoir plus
Pour plus d’informations sur les paramètres de verrouillage de compte, consultez Configuration du verrouillage de compte.