Active Directory - Comment interdire certains mots de passe

I. Présentation

Dans cet article, nous allons voir pourquoi et comment interdire l’utilisation de certains mots de passe pour les comptes utilisateurs de l’Active Directory.

Dans un environnement Active Directory, la sécurité des mots de passe est un élément central pour protéger les comptes utilisateurs contre les cyberattaques. Cependant, même avec une politique de mot de passe stricte, certains utilisateurs ou administrateurs choisissent des mots de passe faibles ou pouvant être facilement devinés. Afin de renforcer la sécurité de votre domaine, il est possible d'interdire l’utilisation de certains mots de passe.

II. Pourquoi interdire certains mots de passe ?

Il existe plusieurs cas de figure pour lesquels il est souhaitable d’interdire le paramétrage de certains mots de passe spécifiques par les utilisateurs ou les administrateurs.

Plus un Active Directory est volumineux et ancien, plus les risques de mauvaises pratiques et faiblesses notables sont présents. Durant mon parcours en tant que pentester, j’ai eu l’occasion de réaliser de nombreux tests d’intrusion internes au sein d’entreprises de tailles, maturités et natures différentes. Dans de nombreux cas, la réutilisation entre plusieurs comptes utilisateur d’un même mot de passe m’a permis de compromettre plusieurs comptes utilisateurs, parfois même privilégiés, m'amenant alors vers la compromission complète du domaine.

Pour améliorer son niveau de sécurité et sa robustesse face à une cyberattaque, il peut être envisagé d’interdire certains mots de passe spécifiques, notamment lorsqu’ils découlent des situations suivantes.

A. Premier mot de passe commun à tous les comptes

Une pratique courante au sein des équipes d’administration consiste à assigner le même premier mot de passe (que l’on nommera  « par défaut ») à tout nouvel utilisateur, avec la consigne de le changer rapidement bien entendu. Un exemple classique d’un tel mot de passe pe...
[Courte citation de 8% de l'article original]