Configuration AD-DS
Sécurisation des comptes d’utilisateurs
Sécurisation des comptes d’utilisateurs
Si un administrateur réseau ne modifie pas les droits et autorisations des comptes intégrés, un utilisateur (ou service) malveillant peut les utiliser pour ouvrir illégalement une session sur un domaine à l’aide des comptes Administrateur ou Invité. Pour assurer la protection de ces comptes, il est recommandé de les renommer ou de les désactiver. Dans la mesure où un compte renommé conserve son identificateur de sécurité (SID, Security Identifier), il conserve également toutes ses autres propriétés, comme la description, le mot de passe, l’appartenance à des groupes, le profil utilisateur, les informations sur le compte ainsi que les autorisations et les droits qui lui ont été accordés.
Si un administrateur réseau ne modifie pas les droits et autorisations des comptes intégrés, un utilisateur (ou service) malveillant peut les utiliser pour ouvrir illégalement une session sur un domaine à l’aide des comptes Administrateur ou Invité. Pour assurer la protection de ces comptes, il est recommandé de les renommer ou de les désactiver. Dans la mesure où un compte renommé conserve son identificateur de sécurité (SID, Security Identifier), il conserve également toutes ses autres propriétés, comme la description, le mot de passe, l’appartenance à des groupes, le profil utilisateur, les informations sur le compte ainsi que les autorisations et les droits qui lui ont été accordés.
Pour bénéficier de la sécurité de l’autorisation et de l’authentification de l’utilisateur, utilisez le Centre d’administration Active Directory pour créer un compte pour chaque utilisateur qui participe à votre réseau. Vous pouvez ensuite ajouter chaque compte d’utilisateur (y compris le compte Administrateur et le compte Invité) à un groupe pour contrôler les droits et les autorisations qui sont affectés au compte. Lorsque vous disposez des comptes et des groupes appropriés pour votre réseau, vous pouvez identifier les utilisateurs qui se connectent à votre réseau et leur donner accès uniquement aux ressources autorisées.
Pour bénéficier de la sécurité de l’autorisation et de l’authentification de l’utilisateur, utilisez le Centre d’administration Active Directory pour créer un compte pour chaque utilisateur qui participe à votre réseau. Vous pouvez ensuite ajouter chaque compte d’utilisateur (y compris le compte Administrateur et le compte Invité) à un groupe pour contrôler les droits et les autorisations qui sont affectés au compte. Lorsque vous disposez des comptes et des groupes appropriés pour votre réseau, vous pouvez identifier les utilisateurs qui se connectent à votre réseau et leur donner accès uniquement aux ressources autorisées.
Vous pouvez contribuer à protéger votre domaine contre les pirates en exigeant des mots de passe forts et en mettant en oeuvre une stratégie de verrouillage de compte. Les mots de passe forts réduisent le risque de leur décodage intelligent et des attaques par dictionnaire sur les mots de passe. Une stratégie de verrouillage de compte contribue à diminuer les risques d’attaques sous la forme de tentatives répétées d’ouverture de session, pouvant porter atteinte à votre domaine. Une telle stratégie détermine le nombre possible d’échecs de tentatives d’ouverture de session pour un compte d’utilisateur avant sa désactivation.
Vous pouvez contribuer à protéger votre domaine contre les pirates en exigeant des mots de passe forts et en mettant en oeuvre une stratégie de verrouillage de compte. Les mots de passe forts réduisent le risque de leur décodage intelligent et des attaques par dictionnaire sur les mots de passe. Une stratégie de verrouillage de compte contribue à diminuer les risques d’attaques sous la forme de tentatives répétées d’ouverture de session, pouvant porter atteinte à votre domaine. Une telle stratégie détermine le nombre possible d’échecs de tentatives d’ouverture de session pour un compte d’utilisateur avant sa désactivation.
Malgré toutes ces recommandations nous allons désactiver les exigences de complexités de mot de passe afin de rendre la création des comptes utilisateurs plus simple.
Malgré toutes ces recommandations nous allons désactiver les exigences de complexités de mot de passe afin de rendre la création des comptes utilisateurs plus simple.
Désactiver les exigences de complexité du mot de passe
Désactiver les exigences de complexité du mot de passe
À l'installation du service AD DS, les paramètres de sécurité sont réinitialisés (Exigences de complexité du mot de passe, durée de vie minimale, ...). Si vous souhaitez modifier ces paramètres, procédez de la manière suivante :
À l'installation du service AD DS, les paramètres de sécurité sont réinitialisés (Exigences de complexité du mot de passe, durée de vie minimale, ...). Si vous souhaitez modifier ces paramètres, procédez de la manière suivante :
