Paramètres de sécurité des stratégies de compte

Lorsque vous attribuez des mots de passe, le niveau de contrôle doit correspondre au niveau de protection requis. Affectez autant que possible des mots de passe forts. L'illustration 1 présente des recommandations pour la création de mots de passe forts.

Utilisez Stratégie de mot de passe dans Stratégies de comptes pour appliquer les exigences relatives aux mots de passe. Les configurations de l'illustration 2 respectent les exigences suivantes :

  • Appliquer l'historique des mots de passe : l'utilisateur peut réutiliser un mot de passe après avoir utilisé 24 mots de passe uniques.

  • Antériorité maximale du mot de passe : l'utilisateur doit changer de mot de passe après 90 jours.

  • Antériorité minimale du mot de passe : l'utilisateur doit attendre un jour avant de changer de mot de passe. Ceci empêche les utilisateurs d'entrer un mot de passe différent 24 fois pour utiliser à nouveau le mot de passe précédent.

  • Longueur minimale du mot de passe : le mot de passe doit contenir au moins 8 caractères.

  • Le mot de passe doit respecter des exigences de complexité : le mot de passe ne doit pas contenir le nom du compte de l'utilisateur ni deux caractères consécutifs de son nom complet. Le mot de passe doit contenir trois des quatre catégories suivantes : lettres majuscules, lettres minuscules, chiffres et symboles.

  • Enregistrer les mots de passe en utilisant un chiffrement réversible : le fait d'enregistrer les mots de passe en utilisant un chiffrement réversible est pratiquement identique à l'enregistrement des mots de passe en clair. Pour cette raison, cette stratégie ne doit jamais être activée à moins que les besoins des applications soient plus importants que la nécessité de protéger les informations.

Utilisez Stratégie de verrouillage de compte dans Stratégies de compte pour empêcher toute tentative de connexion par force brute. Par exemple, la configuration de l'illustration 3 permet à l'utilisateur d'entrer cinq fois un mauvais nom d'utilisateur ou mot de passe. Après cinq tentatives, le compte est verrouillé pendant 30 minutes. Au bout de ces 30 minutes, le nombre de tentatives est remis à zéro et l'utilisateur peut à nouveau essayer d'ouvrir une session. Cette règle peut aussi protéger contre les attaques par dictionnaire, où chaque mot du dictionnaire est testé pour tenter d'accéder à l'ordinateur.