Menu Français (France) Čeština Dansk Deutsch English (US) Español (Latinoamérica) Español (España) Suomi Français (Canada) हिंदी Magyar Bahasa Indonesia Italiano 日本語 한국어 Bahasa Melayu Nederlands Norsk Polski Português do Brasil Português (Portugal) Română Русский svenska ไทย Türkçe Українська Tiếng Việt 简体中文 繁體中文

Comment résoudre les vulnérabilités de vos mots de passe

Mise à jour:

Création:

Résolution des vulnérabilités de vos mots de passe

PasswordIQ analyse les utilisateurs de votre application Active Directory à la recherche de 11 types de vulnérabilités de mot de passe. Après avoir reçu les résultats de cette analyse, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités de leurs mots de passe détectées par PasswordIQ. Pour savoir comment afficher les résultats de votre analyse, consultez notre article Comment utiliser votre tableau de bord PasswordIQ

Pour savoir comment résoudre les vulnérabilités des mots de passe de vos utilisateurs, consultez les sections ci-dessous. Pour obtenir des informations générales sur PasswordIQ, consultez notre Manuel de produit PasswordIQ.

Remarque : les besoins en matière de sécurité pouvant être propres à votre organisation, nous ne saurions vous recommander quelles modifications apporter à votre stratégie de groupe ni à vos paramètres Active Directory. Toutefois, les sections ci-dessous fournissent des instructions qui peuvent vous aider à trouver les paramètres liés aux vulnérabilités des mots de passe de vos utilisateurs.

Accéder à :

Mots de passe faibles

Mots de passe partagés

Mots de passe en clair

Mots de passe vides

Chiffrement DES uniquement

Mots de passe corrompus

Mots de passe non requis

Mots de passe sans date d’expiration

Mots de passe LM Hash

Clés AES manquantes

Pré-authentifications manquantes

 

Mots de passe faibles

Lorsque PasswordIQ détecte un mot de passe faible, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est faiblement sécurisé.
  2. Demandez à l’utilisateur de modifier son mot de passe.
  3. Proposez une formation à l’utilisateur qui lui apprendra à créer des mots de passe sécurisés. KnowBe4 propose des modules de formation, disponibles dans le ModStore, que vous pouvez assigner à vos utilisateurs, notamment Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe sécurisés et questionnaire et Sécurité des mots de passe. Pour en savoir plus sur le contenu de formation du ModStore, consultez notre article Guide sur le ModStore et la bibliothèque.

Retour vers le haut

 

Mots de passe partagés

Si PasswordIQ détecte un mot de passe partagé, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est un mot de passe partagé.
  2. Demandez à l’utilisateur de modifier son mot de passe pour tous les comptes pour lesquels il l’utilise.
  3. Proposez une formation à l’utilisateur qui lui apprendra à créer des mots de passe uniques. KnowBe4 propose des modules de formation, disponibles dans le ModStore, que vous pouvez assigner à vos utilisateurs, notamment Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe sécurisés et questionnaire et Sécurité des mots de passe. Pour en savoir plus sur le contenu de formation du ModStore, consultez notre article Guide sur le ModStore et la bibliothèque

Retour vers le haut

 

Mots de passe en clair

Si PasswordIQ détecte un mot de passe en clair pour un utilisateur ou un groupe d’utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour leurs comptes.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible.

Si PasswordIQ détecte un mot de passe en clair pour l’ensemble de vos utilisateurs, le paramètre de chiffrement réversible est peut-être activé dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à ce dossier : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe.
  3. Ouvrez la stratégie Enregistrer le mot de passe en utilisant un chiffrement réversible

Retour vers le haut

 

Mots de passe vides

Si PasswordIQ détecte un mot de passe vide, le paramètre Longueur minimale du mot de passe est peut-être défini sur 0 dans votre stratégie de groupe. Ce paramètre permet aux mots de passe de ne contenir aucun caractère.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à ce dossier : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe.
  3. Ouvrez la stratégie Longueur minimale du mot de passe.

Retour vers le haut

 

Chiffrement DES uniquement

Si PasswordIQ détecte un chiffrement DES uniquement, le paramètre Chiffrement DES est peut-être activé pour le compte.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre Utiliser les types de chiffrement DES via Kerberos pour ce compte.
Conseil : Vous pouvez activer les clés de chiffrement Advanced Encryption Standard (AES) comme alternative sécurisée au chiffrement DES. Pour en savoir plus, consultez la section Clés AES manquantes ci-dessous.

Retour vers le haut

 

Mots de passe corrompus

Si PasswordIQ détecte un mot de passe corrompu, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est accessible en raison d’une violation de données.
  2. Demandez à l’utilisateur de modifier son mot de passe pour tous les comptes pour lesquels il l’utilise.
  3. Affectez-lui la dernière version de notre Formation sur la sensibilisation à la sécurité Kevin Mitnick pour le préparer à d’éventuelles attaques par ingénierie sociale. Les cybercriminels peuvent être plus enclins à cibler les utilisateurs impliqués dans des violations de données. 

Retour vers le haut

 

Mots de passe non requis

Si PasswordIQ détecte un mot de passe non requis, l’indicateur PASSWD_NOTREQD est peut-être défini dans l’attribut userAccountControl du compte. Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Activez Fonctionnalités avancées (Affichage > Fonctionnalités avancées).
  3. Accédez aux propriétés de compte de l’utilisateur.
  4. Sélectionnez l’onglet Éditeur d’attribut.
  5. Recherchez l’attribut userAccountControl.  

Retour vers le haut

 

Mots de passe sans date d’expiration

Si PasswordIQ détecte un mot de passe sans date d’expiration pour un utilisateur ou un groupe d’utilisateurs, le paramètre Le mot de passe n’expire jamais est peut-être activé pour leurs comptes.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre Le mot de passe n’expire jamais.

Si PasswordIQ détecte un mot de passe sans date d’expiration pour l’ensemble de vos utilisateurs, le paramètre Antériorité minimale du mot de passe est peut-être défini sur 0 dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Antériorité minimale du mot de passe

Retour vers le haut

 

Mots de passe LM Hash

Si PasswordIQ détecte un mot de passe LM Hash, le paramètre Hachage de niveau LAN Manager est peut-être activé dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Sécurité réseau : ne pas stocker de valeurs de hachage de niveau LAN Manager sur la prochaine modification de mot de passe.

Retour vers le haut

 

Clés AES manquantes

Si PasswordIQ détecte des clés AES manquantes pour un utilisateur ou un groupe d’utilisateurs, vous devrez peut-être activer le paramètre Chiffrement AES pour ces comptes.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre Ce compte prend en charge le chiffrement AES 128/256 bits via Kerberos.

Si PasswordIQ détecte des clés AES manquantes pour l’ensemble de vos utilisateurs, vous devrez peut-être sélectionner les types de chiffrement AES dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Sécurité réseau : Configurer les types de chiffrement autorisés pour Kerberos. Les clés AES sont les suivantes : AES128_HMAC_SHA1 et AES256_HMAC_SHA1

Retour vers le haut

 

Pré-authentifications manquantes

Si PasswordIQ détecte une pré-authentification manquante, le paramètre La pré-authentification Kerberos n’est pas nécessaire est peut-être activé pour le compte.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre La pré-authentification Kerberos n’est pas nécessaire

Retour vers le haut

Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 1 sur 1
Vous avez d’autres questions ? Envoyer une demande

Commentaires

0 commentaire

Cet article n'accepte pas de commentaires.

Articles associés