Utiliser PasswordIQ

Partager

Cet article est-il utile ?

Dernière mise à jour :

Remédier aux vulnérabilités des mots de passe

PasswordIQ analyse les comptes des utilisateurs de votre application Active Directory à la recherche de 11 types de vulnérabilités de mot de passe. Après avoir reçu les résultats de cette analyse, vous pouvez travailler avec vos utilisateurs pour résoudre les vulnérabilités de leurs mots de passe détectées par PasswordIQ. Pour savoir comment afficher les résultats de votre analyse, consultez notre article Comment utiliser votre tableau de bord PasswordIQ.

Pour savoir comment résoudre les vulnérabilités des mots de passe de vos utilisateurs, consultez les sections ci-dessous. Pour obtenir des informations générales sur PasswordIQ, consultez notre Manuel de produit PasswordIQ.

Important :les besoins en matière de sécurité pouvant être propres à votre organisation, nous ne saurions vous recommander quelles modifications apporter à votre stratégie de groupe ni à vos paramètres Active Directory. Toutefois, les sections ci-dessous fournissent des instructions qui peuvent vous aider à trouver les paramètres liés aux vulnérabilités des mots de passe de vos utilisateurs.

Mots de passe faibles

Lorsque PasswordIQ détecte un mot de passe faible, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est faiblement sécurisé.
  2. Demandez à l’utilisateur de modifier son mot de passe.
  3. Proposez une formation à l’utilisateur qui lui apprendra à créer des mots de passe sécurisés. KnowBe4 propose des modules de formation, disponibles dans le ModStore, que vous pouvez assigner à vos utilisateurs, notamment Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe sécurisés et questionnaire et Sécurité des mots de passe. Pour en savoir plus sur le contenu de formation du ModStore, consultez notre Guide sur le ModStore et la bibliothèque.

Mots de passe partagés

Si PasswordIQ détecte un mot de passe partagé, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est un mot de passe partagé.
  2. Demandez-lui de changer son mot de passe pour tous les comptes qui utilisent le mot de passe partagé.

Proposez une formation à l’utilisateur qui lui apprendra à créer des mots de passe uniques. KnowBe4 propose des modules de formation, disponibles dans le ModStore, que vous pouvez assigner à vos utilisateurs, notamment Créer des mots de passe sécurisés - Formation sur la sensibilisation à la sécurité, Comment créer des mots de passe sécurisés et questionnaire et Sécurité des mots de passe. Pour en savoir plus sur le contenu de formation du ModStore, consultez notre Guide sur le ModStore et la bibliothèque.

Mots de passe écrits en clair

Si PasswordIQ détecte un mot de passe écrit en clair pour un utilisateur ou un groupe d’utilisateurs, le paramètre de chiffrement réversible est peut-être activé pour leurs comptes. Lorsque PasswordIQ détecte cette vulnérabilité, les politiques de mot de passe fines (FGPP) sont également évaluées. Vous pouvez aussi vérifier si une politique de mot de passe fine relative au chiffrement réversible est appliquée pour certains utilisateurs.

Le tableau ci-dessous indique comment la vulnérabilité de texte écrit en clair est déterminée en fonction d’une combinaison de paramètres individuels de l’utilisateur, de la politique FGPP et d’objets de stratégie de groupe (GPO). La politique en vigueur est évaluée dans l’ordre suivant :

  • Si l’option Enregistrer le mot de passe en utilisant un chiffrement réversible est activée au niveau de l’utilisateur, les autres politiques seront ignorées. PasswordIQ détectera la vulnérabilité de texte écrit en clair.
  • Si des stratégies FGPP sont appliquées et que l'option Enregistrer le mot de passe en utilisant un chiffrement réversible est activée, ce paramètre prévaudra sur les GPO du domaine. PasswordIQ détectera la vulnérabilité de texte écrit en clair, indépendamment des paramètres du domaine de stratégies de groupe.
  • S’il n’y a aucune FGPP, seuls les paramètres des GPO du domaine s’appliquent. Si la politique Enregistrer le mot de passe en utilisant un chiffrement réversible est activée, PasswordIQ détectera la vulnérabilité de texte écrit en clair.
  Paramètres utilisateur Politique de mot de passe fine (FGPP) Politique de domaine par défaut (GPO) Politique en vigueur Détection de vulnérabilité de texte écrit en clair
L’option Enregistrer le mot de passe en utilisant un chiffrement réversible est activée pour l’utilisateur Activé Toute FGPP activée Tout GPO activé Les paramètres de l’utilisateur s’appliquent Détectée
Le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible n’est pas activé pour l’utilisateur, mais la FGPP s’applique Désactivé Le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible est activé Tout GPO activé La FGPP s’applique Détectée
Le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible n’est pas sélectionné pour l’utilisateur, et seul le GPO de domaine existe Désactivé Aucune FGPP Le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible est activé Le GPO de domaine s’applique Détectée

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez le paramètre Enregistrer le mot de passe en utilisant un chiffrement réversible. Assurez-vous que cette option n’est pas sélectionnée.
  5. Avertissez vos utilisateurs qu’ils doivent changer leurs mots de passe.

Si PasswordIQ détecte un mot de passe écrit en clair pour l’ensemble de vos utilisateurs, il se peut que le paramètre de chiffrement réversible soit activé dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à ce dossier : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe.
  3. Ouvrez la stratégie Enregistrer le mot de passe en utilisant un chiffrement réversible. Vérifiez que cette stratégie est désactivée.
  4. Forcez l’actualisation des stratégies de groupe appliquées par votre organisation.
  5. Avertissez vos utilisateurs qu’ils doivent changer leurs mots de passe.
Important :lorsque des paramètres d’une stratégie de groupe sont désactivés, les nouveaux mots de passe sont enregistrés par défaut à l’aide d’un chiffrement unidirectionnel. Les mots de passe existants sont enregistrés à l’aide d’un chiffrement réversible jusqu’à ce qu’ils soient modifiés par les utilisateurs.

Si PasswordIQ détecte un mot de passe écrit en clair, l’indicateur STORE_CLEARTEXT peut être activé pour l’ensemble de votre organisation.

Pour savoir si cet indicateur est activé, procédez comme suit :

  1. Dans votre contrôleur de domaine, ouvrez Active Directory Users and Computers (ADUC).
  2. Faites un clic droit sur le nom de domaine et sélectionnez Propriétés.
  3. Sélectionnez l’onglet Éditeur d’attribut et recherchez l’attribut pwdProperties. Si cet attribut contient l’indicateur STORE_CLEARTEXT, le domaine est configuré pour autoriser les mots de passe écrits en clair. Vous pouvez désactiver ce paramètre via la politique par défaut du domaine ou via une autre politique appliquée au domaine.

Mots de passe vides

Si PasswordIQ détecte un mot de passe vide, le paramètre Longueur minimale du mot de passe est peut-être défini sur 0 dans votre stratégie de groupe. Ce paramètre permet aux mots de passe de ne contenir aucun caractère.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à ce dossier : Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies de comptes\Stratégie de mot de passe.
  3. Ouvrez la stratégie Longueur minimale du mot de passe.

Chiffrement DES uniquement

Si PasswordIQ détecte un chiffrement DES uniquement, le paramètre Chiffrement DES est peut-être activé pour le compte.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez le paramètre Utiliser les types de chiffrement DES via Kerberos pour ce compte.
Conseil :vous pouvez activer le chiffrement Advanced Encryption Standard (AES) comme alternative sécurisée au chiffrement DES. Pour en savoir plus, consultez la section Chiffrement AES non activé ci-dessous.

Mots de passe corrompus

Si PasswordIQ détecte un mot de passe corrompu, reportez-vous à nos recommandations ci-dessous pour résoudre cette vulnérabilité :

  1. Indiquez à l’utilisateur que son mot de passe actuel est accessible en raison d’une violation de données.
  2. Demandez à l’utilisateur de modifier son mot de passe pour tous les comptes pour lesquels il l’utilise.
  3. Affectez-lui la dernière version de notre Formation sur la sensibilisation à la sécurité KnowBe4 pour le préparer à d’éventuelles attaques par ingénierie sociale. Les cybercriminels peuvent être plus enclins à cibler les utilisateurs impliqués dans des violations de données.

Mots de passe non requis

Si PasswordIQ détecte un mot de passe non requis, l’indicateur PASSWD_NOTREQD est peut-être défini dans l’attribut userAccountControl du compte. Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Activez Fonctionnalités avancées (Affichage > Fonctionnalités avancées).
  3. Accédez aux propriétés de compte de l’utilisateur.
  4. Sélectionnez l’onglet Éditeur d’attribut et recherchez l’attribut userAccountControl.
Important :l’attribut userAccountControl comporte une valeur décimale pour tous les signaux d’alarme activés pour les utilisateurs. Pour supprimer l’indicateur PASSWD_NOTREQD, soustrayez sa valeur décimale de 32 à la valeur décimale de l’attribut userAccountControl.

Mots de passe sans date d’expiration

Si PasswordIQ détecte un mot de passe sans date d’expiration pour un utilisateur ou un groupe d’utilisateurs, le paramètre Le mot de passe n’expire jamais est peut-être activé pour leurs comptes.

Le tableau ci-dessous indique comment la vulnérabilité Mot de passe sans date d’expiration est déterminée en fonction d’une combinaison de paramètres individuels de l’utilisateur, de la politique FGPP et d’objets de stratégie de groupe (GPO). La politique en vigueur est évaluée dans l’ordre suivant :

  • Si l’option Mot de passe sans date d’expiration est activée au niveau de l’utilisateur, elle prime sur les autres politiques et le mot de passe n’expire pas. PasswordIQ détectera la vulnérabilité de mot de passe sans date d’expiration.
  • Si la FGPP est appliquée et que l’option Enforce maximum password age (Durée de vie maximale du mot de passe) est désactivée, ce paramètre prévaudra sur les GPO du domaine. PasswordIQ détectera la vulnérabilité de mot de passe sans date d’expiration, indépendamment des paramètres de domaine de stratégie de groupe (GPO).
  • S’il n’y a aucune FGPP, seuls les paramètres des GPO du domaine s’appliquent. Si la politique Ancienneté maximale du mot de passe est définie sur 0, PasswordIQ détectera une vulnérabilité si le mot de passe n’a pas de date d’expiration.
  Paramètre utilisateur Politique de mot de passe fine (PSO) Politique de domaine par défaut (GPO) Politique en vigueur Détection de la vulnérabilité Mot de passe sans date d’expiration
Le paramètre Mot de passe sans date d’expiration n’est pas sélectionné pour l’utilisateur Activé Toute FGPP activée Tout GPO activé Les paramètres de l’utilisateur s’appliquent Détectée
Le paramètre Mot de passe sans date d’expiration n’est pas sélectionné pour l’utilisateur, mais la FGPP s’applique Désactivé Le paramètre Enforce maximum age (Durée de vie maximale du mot de passe) est désactivé Tout GPO activé La FGPP s’applique Détectée
Le paramètre Mot de passe sans date d’expiration n’est pas sélectionné pour l’utilisateur, seul le GPO de domaine existe Désactivé Aucune FGPP Le paramètre Enforce maximum age (Durée de vie maximale du mot de passe) est défini sur 0 Le GPO de domaine s’applique Détectée

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez le paramètre Le mot de passe n’expire jamais.

Si PasswordIQ détecte un mot de passe sans date d’expiration pour l’ensemble de vos utilisateurs, il se peut que le paramètre Antériorité maximale du mot de passe soit défini sur 0 dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Politiques\Paramètres Windows\Paramètres de sécurité\Stratégies de compte\Options de sécurité.
  3. Ouvrez la stratégie Antériorité maximale du mot de passe.
  4. Forcez l’actualisation des stratégies de groupe appliquées par votre organisation.

Vous pouvez également vérifier si une stratégie de mot de passe fine relative à l’antériorité maximale du mot de passe est appliquée pour un groupe d’utilisateurs.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez le centre d’administration d’Active Directory.
  2. Accédez à « Domaine » \Système\Conteneur des paramètres de mot de passe.
  3. Vérifiez que l’option Antériorité maximale du mot de passe est désactivée pour les stratégies de mot de passe répertoriées.
Important : PIQ ne vérifie que les politiques de mots de passe Windows. Si vos politiques sont définies et gérées par des applications tierces, vous pouvez désactiver ce contrôle de vulnérabilité dans la section Vulnérabilités optionnelles des paramètres Avancés.

Mots de passe LM Hash

Si PasswordIQ détecte un mot de passe LAN Manager (LM) Hash, il se peut que le paramètre LM Hash soit activé dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Sécurité réseau : N’enregistrez pas de valeur LAN Manager Hash dans votre prochaine stratégie de modification de mot de passe.
  4. Forcez l’actualisation des stratégies de groupe appliquées par votre organisation.
  5. Avertissez vos utilisateurs qu’ils doivent changer leurs mots de passe.

Chiffrement AES non activé

Si PasswordIQ détecte que le chiffrement Advanced Encryption Standard (AES) n’a pas été défini pour un utilisateur ou un groupe d’utilisateurs, il se peut que le paramètre Chiffrement AES ait besoin d’être activé pour ces comptes.

Remarque : la détection précise de cette vulnérabilité dépend du compte de service Windows configuré pour les analyses PasswordIQ. Si l’utilisateur n’est pas un administrateur de domaine, la vérification des politiques de groupe est limitée. Si les politiques de groupe ne peuvent pas être vérifiées, la vulnérabilité ne sera pas détectée.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options du compte, recherchez les paramètres Ce compte prend en charge le chiffrement AES-128 bits via Kerberos ou Ce compte prend en charge le chiffrement AES-256 bits via Kerberos. Sélectionnez l’option disponible.

Si PasswordIQ détecte que le chiffrement AES n’a été défini pour aucun de vos utilisateurs, il se peut que les types de chiffrement AES doivent être sélectionnés dans votre stratégie de groupe.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez l’Éditeur de gestion des stratégies de groupe.
  2. Accédez à Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité.
  3. Ouvrez la stratégie Sécurité réseau : stratégie Configurer les types autorisés pour Kerberos. Les clés AES sont les suivantes : AES128_HMAC_SHA1 et AES256_HMAC_SHA1.
Important : si le chiffrement AES n’est pas autorisé dans votre environnement, vous pouvez désactiver ce contrôle de vulnérabilité dans la section Vulnérabilités optionnelles des paramètres Avancés.

Pré-authentifications manquantes

Si PasswordIQ détecte une pré-authentification manquante, le paramètre La pré-authentification Kerberos n’est pas nécessaire est peut-être activé pour le compte.

Pour rechercher ce paramètre, procédez comme suit :

  1. Ouvrez Active Directory.
  2. Accédez aux propriétés de compte de l’utilisateur.
  3. Sélectionnez l’onglet Compte.
  4. Dans la section Options de compte, recherchez le paramètre La pré-authentification Kerberos n’est pas nécessaire.

Avez-vous trouvé cet article utile ?

Utilisateurs qui ont trouvé cela utile : 8 sur 10

Vous ne trouvez pas ce que vous cherchez ?

Contacter l’assistance