Le nouveau paramètre modifie le comportement d’authentification réseau NTLM
Cet article décrit le nouveau comportement qui affecte les modifications de mot de passe NTLM et explique comment modifier ce comportement à l’aide d’un registre.
S’applique à : Windows Server 2012 R2
Numéro de la base de connaissances d’origine : 906305
Introduction
À compter de Microsoft Windows Server 2003 Service Pack 1 (SP1), le comportement d’authentification réseau NTLM est modifié. Les utilisateurs de domaine peuvent utiliser leur ancien mot de passe pour accéder au réseau pendant une heure après la modification du mot de passe. Les composants existants conçus pour utiliser Kerberos pour l’authentification ne sont pas affectés par cette modification.
L’objectif de cette modification est de permettre aux processus en arrière-plan tels que les services de continuer à s’exécuter pendant un certain temps jusqu’à ce qu’un administrateur ait la possibilité de mettre à jour les informations d’identification du nouveau mot de passe.
Comportement d’authentification réseau NTLM
Pour prendre en charge de manière fiable l’accès réseau pour l’authentification réseau NTLM dans les environnements distribués, le comportement d’authentification réseau NTLM est le suivant :
- Une fois qu’un utilisateur de domaine a modifié un mot de passe à l’aide de NTLM, l’ancien mot de passe peut toujours être utilisé pour l’accès réseau pendant une période définie par l’utilisateur. Ce comportement permet aux comptes, tels que les comptes de service, qui sont connectés à plusieurs ordinateurs d’accéder au réseau pendant la propagation de la modification du mot de passe.
- L’extension de la période de durée de vie du mot de passe s’applique uniquement à l’accès réseau à l’aide de NTLM. Le comportement d’ouverture de session interactive est inchangé. Ce comportement ne s’applique pas aux comptes hébergés sur des serveurs autonomes ou sur des serveurs membres. Seuls les utilisateurs de domaine sont affectés par ce comportement.
- La durée de vie de l’ancien mot de passe peut être configurée en modifiant le registre sur un contrôleur de domaine. Aucun redémarrage n’est nécessaire pour que cette modification du Registre prenne effet.
Modifier la période de durée de vie d’un ancien mot de passe
Importante
Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le registre avant de le modifier. Vous pouvez alors le restaurer en cas de problème. Pour plus d’informations sur la procédure de sauvegarde et de restauration du Registre, consultez l’article Comment sauvegarder et restaurer le Registre dans Windows.
Pour modifier la durée de vie d’un ancien mot de passe, ajoutez une entrée DWORD nommée OldPasswordAllowedPeriod à la sous-clé de Registre suivante sur un contrôleur de domaine :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
Pour cela, procédez comme suit :
Cliquez sur Démarrer, puis sur Exécuter, tapez regedit, puis cliquez sur OK.
Recherchez la sous-clé de Registre suivante, puis cliquez dessus :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LsaDans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
Tapez OldPasswordAllowedPeriod comme nom du DWORD, puis appuyez sur Entrée.
Cliquez avec le bouton droit sur OldPasswordAllowedPeriod, puis cliquez sur Modifier.
Dans la zone Données de la valeur , tapez la valeur en minutes que vous souhaitez utiliser, puis cliquez sur OK.
Remarque
La période de vie est définie en minutes. Si cette valeur de Registre n’est pas définie, la durée de vie par défaut d’un ancien mot de passe est de 60 minutes.
Quittez l’Éditeur du Registre.
Remarque
Ce paramètre de Registre ne nécessite pas de redémarrage pour prendre effet.
Ce comportement n’entraîne pas de faille de sécurité. Tant qu’un seul utilisateur connaît les deux mots de passe, l’utilisateur est toujours authentifié en toute sécurité à l’aide de l’un ou l’autre mot de passe.
Si le mot de passe d’un utilisateur est connu pour être compromis, l’administrateur doit réinitialiser le mot de passe de cet utilisateur. L’administrateur doit demander à l’utilisateur de modifier le mot de passe à la prochaine ouverture de session pour invalider l’ancien mot de passe dès que possible.
Pour réinitialiser le mot de passe d’un utilisateur, procédez comme suit :
- Démarrez Utilisateurs et ordinateurs Active Directory.
- Recherchez le compte d’utilisateur dont le mot de passe doit être réinitialisé.
- Cliquez avec le bouton droit sur l’objet utilisateur, puis cliquez sur Réinitialiser le mot de passe.
- Tapez le nouveau mot de passe dans la zone Nouveau mot de passe et dans la zone Confirmer le mot de passe .
- Cliquez pour sélectionner la zone Utilisateur doit modifier le mot de passe à la prochaine case activée d’ouverture de session, puis cliquez sur OK.
Remarque
Le comportement décrit dans cet article se produit uniquement si la stratégie de mot de passe effective sur les contrôleurs de domaine a Appliqué l’historique des mots de passe défini sur une valeur qui spécifie que deux mots de passe ou plus seront mémorisés. La stratégie de mot de passe doit être définie au niveau du domaine. Vous pouvez déterminer si la stratégie a pris effet sur les contrôleurs de domaine à l’aide du composant logiciel enfichable Secpol.msc.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour