Q. Comment gérer facilement et de façon sure les mots de passes dans un environnement 95-98 et serveurs NT 4.0 ?

R. La questions de mots de passes en environnement 95-98 et NT est de trois ordres :

• Gestions des fichiers pwl
• Longueurs et durées des mots de passes
• Complexité des mots de passes

Gestions des fichiers pwl

Windows 95-98 stockent par défaut les mots de passes dans un fichier local nom-de-l-utilisateur.pwl . 

Outre les problèmes de synchronisation avec les mots de passes serveurs (mots de passes différents dans NT et les fichiers pwl ), ces fichiers pwl peuvent être décrypter facilement grâce a des petit programmes disponibles sur des sites de "Hackers".

Pour désactiver cette mise en cache local des mots de passes il faut créer une clé "DisablePwdCaching" de type DWORD dans "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network" et lui donner la valeur 1.

Par exemple dans un script kix :

$zz=WriteValue("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Network", "DisablePwdCaching", "1" ,"REG_DWORD")

Longueurs et durées des mots de passes

D'autre part on peut aussi forcer les utilisateurs a utiliser des mots de passes long et qui doivent être changer régulièrement ( 6 mois par exemple )

Lancer le "Gestionnaire des utilisateurs du domaine" puis dans le menu "Stratégies" choisissez "Comptes" et modifiez les valeurs pour "Durée maximale du mot de passe" et "longueur minimale du mot de passe"

Complexité des mots de passes

Cette méthode permet de fixer une longueur minimale mais ne donne pas de format de mot de passe par défaut.

Hors de nombreux utilitaire "cassent" facilement les mots de passes en les comparant un dictionnaire.

Mais les mots de passes comprenant des caractères spéciaux , des chiffres et des lettres sont plus difficiles a "casser".

Microsoft fournit depuis l'apparition du SP2 , une nouvelle dll , passfilt.dll qui permet de fixer des règles strictes sur les mots de passes :

avoir des caractères parmi au moins 3 des 4 groupes suivants : 

- Majuscules
- Minuscules
- Chiffres arabes (0-9)
- Symboles de ponctuation et autres caractères spéciaux (%, §...)

Pour obtenir ce résultat il suffit de faire la manipulation sur tous les PDC  (les BDC ne valident pas de modifications de comptes )

• Installer le dernier service pack pour Windows .( pour décompresser un sp , lancer le avec le commutateur /x )
  
• Copier le fichier Passfilt.dll dans le répertoire %SYSTEMROOT%\SYSTEM32 .
  
• Utiliser l'éditeur de la base de registre (Regedt32.exe) pour ajouter la valeur "Notification Packages", de type REG_MULTI_SZ, sous la clé LSA .
  
  Note : si elle existe déjà , ne la recréer pas.
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  
  
• Double-cliquer sur la valeur "Notification Packages"  et ajoutez la la fin la donnée :PASSFILT
  
  NOTE : Si une valeur est déjà présente comme FPNWCLNT par exemple , rajouter le mot PASSFILT sous la première valeur . 
  
  
• Cliquez sur OK et quitter l'éditeur de la base de registre.
  
  
• Redémarrez le serveur.
  

Référence : Knowledge base : Q161990 "How to Enable Strong Password Functionality in Windows NT"

Un commentaire , une précision ? Ecrivez nous.