Sécurité des Mots de Passe Windows : Guide Complet

La gestion sécurisée des mots de passe est un aspect fondamental de la cybersécurité Windows. Ce guide explore les techniques avancées de protection et de gestion des mots de passe.

1. Politique de Mots de Passe

Configuration de Base

# Configuration de la politique de mots de passe
net accounts /minpwlen:12 /maxpwage:90 /minpwage:1 /uniquepw:24

# Activation de la complexité
secedit /configure /cfg C:\Windows\Security\templates\secsetup.inf /areas SECURITYPOLICY

# Configuration via GPO
gpupdate /force

Paramètres Avancés

# Configuration détaillée
$passwordPolicy = @{
    "MinimumLength" = 12
    "MaximumAge" = 90
    "MinimumAge" = 1
    "ComplexityEnabled" = $true
    "ReversibleEncryptionEnabled" = $false
    "PasswordHistorySize" = 24
}

# Application des paramètres
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" -Name "RequireSignOrSeal" -Value 1

2. Gestion des Comptes

Création de Comptes

# Création d'un compte avec mot de passe complexe
$password = ConvertTo-SecureString "P@ssw0rd123!" -AsPlainText -Force
New-LocalUser -Name "User1" -Password $password -PasswordNeverExpires $false -UserMayNotChangePassword $false

# Configuration des permissions
$acl = Get-Acl "C:\Users\User1"
$acl.SetAccessRuleProtection($true, $false)
Set-Acl "C:\Users\User1" $acl

Gestion des Groupes

# Création d'un groupe de sécurité
New-LocalGroup -Name "SecurityAdmins" -Description "Administrateurs de sécurité"

# Ajout d'utilisateurs au groupe
Add-LocalGroupMember -Group "SecurityAdmins" -Member "User1"

# Configuration des droits
$groupPolicy = @{
    "PasswordComplexity" = 1
    "MinimumLength" = 12
    "MaximumAge" = 90
}

3. Protection des Mots de Passe

Chiffrement

# Chiffrement des mots de passe stockés
$password = Read-Host -AsSecureString "Entrez le mot de passe"
$encrypted = ConvertFrom-SecureString $password

# Stockage sécurisé
$secureString = ConvertTo-SecureString $encrypted

Vérification de Force

# Script de vérification de force des mots de passe
function Test-PasswordStrength {
    param (
        [Parameter(Mandatory=$true)]
        [string]$Password
    )
    
    $score = 0
    if ($Password.Length -ge 12) { $score++ }
    if ($Password -match "[A-Z]") { $score++ }
    if ($Password -match "[a-z]") { $score++ }
    if ($Password -match "[0-9]") { $score++ }
    if ($Password -match "[^A-Za-z0-9]") { $score++ }
    
    return $score
}

4. Audit et Monitoring

Configuration de l’Audit

# Activation de l'audit des mots de passe
auditpol /set /category:"Account Logon" /success:enable /failure:enable
auditpol /set /category:"Account Management" /success:enable /failure:enable

# Configuration des logs
wevtutil sl Security /maxsize:4294967296 /retention:true

Monitoring des Tentatives

# Script de monitoring des tentatives de connexion
function Monitor-LoginAttempts {
    $events = Get-EventLog -LogName Security -InstanceId 4625 -After (Get-Date).AddHours(-1)
    foreach ($event in $events) {
        Write-Host "Tentative échouée: $($event.TimeGenerated) - $($event.Message)"
    }
}

5. Récupération et Réinitialisation

Procédures de Récupération

# Création d'un compte de récupération
$recoveryPassword = ConvertTo-SecureString "Rec0v3ryP@ss" -AsPlainText -Force
New-LocalUser -Name "RecoveryAdmin" -Password $recoveryPassword -Description "Compte de récupération"

# Configuration des droits de récupération
$recoveryGroup = New-LocalGroup -Name "RecoveryOperators"
Add-LocalGroupMember -Group "RecoveryOperators" -Member "RecoveryAdmin"

Réinitialisation Sécurisée

# Script de réinitialisation de mot de passe
function Reset-PasswordSecurely {
    param (
        [Parameter(Mandatory=$true)]
        [string]$Username
    )
    
    $newPassword = [System.Web.Security.Membership]::GeneratePassword(12, 3)
    $securePassword = ConvertTo-SecureString $newPassword -AsPlainText -Force
    Set-LocalUser -Name $Username -Password $securePassword
    
    # Notification à l'utilisateur
    Send-MailMessage -To "user@example.com" -Subject "Réinitialisation de mot de passe" -Body "Votre nouveau mot de passe est: $newPassword"
}

6. Bonnes Pratiques

Politiques de Rotation

# Configuration de la rotation des mots de passe
$rotationPolicy = @{
    "RotationInterval" = 90
    "NotificationDays" = 7
    "GracePeriod" = 3
}

# Script de notification
function Send-PasswordExpirationNotice {
    $users = Get-LocalUser | Where-Object {$_.Enabled -eq $true}
    foreach ($user in $users) {
        $passwordAge = (Get-Date) - $user.PasswordLastSet
        if ($passwordAge.Days -ge ($rotationPolicy.RotationInterval - $rotationPolicy.NotificationDays)) {
            Send-MailMessage -To "$($user.Name)@example.com" -Subject "Expiration de mot de passe" -Body "Votre mot de passe expire dans $($rotationPolicy.RotationInterval - $passwordAge.Days) jours"
        }
    }
}

Gestion des Exceptions

# Gestion des comptes de service
function Set-ServiceAccountPassword {
    param (
        [Parameter(Mandatory=$true)]
        [string]$ServiceName
    )
    
    $service = Get-Service $ServiceName
    if ($service) {
        $newPassword = [System.Web.Security.Membership]::GeneratePassword(32, 5)
        $securePassword = ConvertTo-SecureString $newPassword -AsPlainText -Force
        
        # Mise à jour du mot de passe du compte de service
        Set-LocalUser -Name $service.UserName -Password $securePassword
        
        # Redémarrage du service
        Restart-Service $ServiceName
    }
}

7. Outils et Scripts

Vérification de Sécurité

# Script de vérification de sécurité des mots de passe
function Test-PasswordSecurity {
    $issues = @()
    
    # Vérification de la politique
    $policy = Get-ItemProperty "HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters"
    if ($policy.MinimumPasswordLength -lt 12) {
        $issues += "Longueur minimale insuffisante"
    }
    
    # Vérification des comptes
    $accounts = Get-LocalUser | Where-Object {$_.Enabled -eq $true}
    foreach ($account in $accounts) {
        if ($account.PasswordRequired -eq $false) {
            $issues += "Compte $($account.Name) sans mot de passe requis"
        }
    }
    
    return $issues
}

Maintenance Automatique

# Script de maintenance des mots de passe
function Update-PasswordSecurity {
    # Mise à jour de la politique
    net accounts /minpwlen:12 /maxpwage:90 /minpwage:1 /uniquepw:24
    
    # Vérification des comptes
    $accounts = Get-LocalUser | Where-Object {$_.Enabled -eq $true}
    foreach ($account in $accounts) {
        if ($account.PasswordRequired -eq $false) {
            Set-LocalUser -Name $account.Name -PasswordRequired $true
        }
    }
    
    # Nettoyage des mots de passe expirés
    $expiredAccounts = Get-LocalUser | Where-Object {$_.PasswordExpires -and $_.PasswordLastSet -lt (Get-Date).AddDays(-90)}
    foreach ($account in $expiredAccounts) {
        Disable-LocalUser -Name $account.Name
    }
}

Conclusion

La sécurité des mots de passe Windows nécessite :

Une politique de mots de passe robuste
Une gestion stricte des comptes
Un monitoring constant
Des procédures de récupération
Une documentation précise

Points clés à retenir :

Utiliser des mots de passe complexes
Mettre en place une rotation régulière
Surveiller les tentatives de connexion
Maintenir des procédures de récupération
Documenter toutes les actions

À propos de InSkillCoach

Expert en formation et technologies

Coach spécialisé dans les technologies avancées et l'IA, porté par GNeurone Inc.

GitHub Voir tous les articles

Certifications:

AWS Certified Solutions Architect – Professional
Certifications Google Cloud
Microsoft Certified: DevOps Engineer Expert
Certified Kubernetes Administrator (CKA)
CompTIA Security+

1.3k