Un risque de sécurité souvent négligé dans Active Directory est la possibilité de créer des comptes d'utilisateurs sans mot de passe (avec un mot de passe vide). Dans cet article, nous verrons s'il est possible de créer des comptes d'utilisateurs de domaine sans mot de passe, comment trouver de tels comptes et les désactiver.
De nombreux administrateurs Active Directory seront peut-être surpris d'apprendre que des comptes de domaine avec des mots de passe vides peuvent exister, même lorsque la stratégie de mot de passe de domaine par défaut qui appliqueLongueur minimale du mot de passeest activé.
Si lePASSWD_NOTREQDest activé pour un compte utilisateur, ce compte peut être en mesure de définir unmot de passe videmalgré la politique de mot de passe du domaine exigeant une longueur minimale de mot de passe. L'attribut PASSWD_NOTREQD n'est pas un attribut distinct de la classe d'utilisateurs dans Active Directory (AD). Il est stocké dans la valeur de l'attribut compositeuserAccountControl(est un masque de bits où chaque bit est un indicateur représentant une propriété de compte utilisateur spécifique comme désactivé, verrouillé, le mot de passe n'expire jamais, etc.).
Voyons d’abord comment définir un mot de passe vide pour un compte utilisateur AD. Utilisez l'applet de commande Set-ADUser PowerShell pour activer l'attribut PasswordNotRequired pour un utilisateur.
Get-ADUser novach | Set-ADUser -PasswordNotRequired $true
Vérifions maintenant qu'un mot de passe n'est plus requis pour le compte.
Get-ADUser novach -Properties *| select name,PasswordNotRequired
Plus de lecture :
Le composant logiciel enfichable graphique Utilisateurs et ordinateurs Active Directory (dsa.msc) peut également être utilisé pour désactiver l'exigence de mot de passe pour un utilisateur. Ouvrez les propriétés utilisateur dans ADUC. Accédez à l’onglet Éditeur d’attributs et modifiez la valeur de l’attribut UserAccountControl. Activez l'option PASSWD_NOT_REQD en ajoutant32(en décimal) à la valeur actuelle de l'attribut.
Par exemple, la valeur initiale de cet attribut était 66048. Cette valeur est la somme de l'attribut NORMAL_ACCOUNT (512) et l'attribut DONT_EXPIRE_PASSWORD (65536). Ajouter32à la valeur actuelle pour activer l'indicateur PASSWD_NOT_REQD pour ce compte. Le résultat est66080.
Une fois l'attribut PASSWD_NOT_REQD activé pour un utilisateur, il ne pourra plus se définir un mot de passe vide (en utilisant la procédure standard de changement de mot de passe utilisateur). Cependant, un administrateur de domaine, un membre du groupe Opérateurs de compte ou un utilisateur disposant d'autorisations administratives AD déléguées pour modifier les mots de passe d'autres comptes peuvent réinitialiser le mot de passe d'un utilisateur à vide.
Ouvrez le composant logiciel enfichable ADUC, cliquez avec le bouton droit sur l'utilisateur, puis sélectionnezRéinitialiser le mot de passe.N'entrez pas de nouveau mot de passe et laissez les champs de mot de passe vides.
Dans ce cas, la politique de mot de passe AD n'empêchera pas la création d'un mot de passe vide. L'utilisateur pourra désormais se connecter à un ordinateur appartenant à un domaine Windows à l'aide d'un mot de passe vide en sélectionnant son compte sur l'écran de connexion et en appuyant sur Entrée.
La sécurité du domaine peut être compromise par les utilisateurs ayant des mots de passe vides, car ils sont faciles à détecter.
Pour empêcher la création d'utilisateurs sans mot de passe, les administrateurs doivent surveiller le domaine pour les utilisateurs pour lesquels l'attribut PASSWD_NOTREQD est activé. Utilisez le one-liner PowerShell suivant pour répertorier tous ces utilisateurs :
Get-ADUser -Filter {PasswordNotRequired -eq $true} -properties LastLogonTimestamp, PasswordNotRequired | ft SamAccountName,enabled, PasswordNotRequired , @{n=’LastLogonTimestamp’;e={[DateTime]::FromFileTime($_.LastLogonTimestamp)}}
Réinitialisez les mots de passe et désactivez l'option Mot de passe non requis pour les utilisateurs trouvés.
Set-ADAccountPassword novach -Reset
Get-ADUser -Identity novach | Set-ADUser -PasswordNotRequired $false -ChangePasswordAtLogon $true
Améliorez la sécurité des politiques de mot de passe Active Directory en implémentant des filtres supplémentaires qui interdisent les mots de passe faibles.
![Windows 11 Trier par date de modification ne fonctionne pas [Réparer]](https://elsefix.com/tech/tejana/wp-content/uploads/2024/09/Windows-11-Sort-by-Date-Modified-not-working.png)