Nouveau paramètre modifie le comportement de l’authentification NTLM réseau

INTRODUCTION

Il à partir de Microsoft Windows Server 2003 Service Pack 1 (SP1) est une modification de comportement d’authentification NTLM du réseau. Utilisateurs du domaine peuvent utiliser leur ancien mot de passe pour accéder au réseau pendant une heure après avoir modifié le mot de passe. Les composants existants qui sont conçus pour utiliser Kerberos pour l’authentification ne sont pas affectés par cette modification.

L’objectif de cette modification est de permettre des processus d’arrière-plan telles que les services de continuer à fonctionner pendant un certain temps, jusqu'à ce qu’un administrateur a la possibilité de mettre à jour les informations d’identification pour le nouveau mot de passe.

Plus d'informations

Pour prendre en charge fiable l’accès réseau pour l’authentification NTLM réseau dans des environnements distribués, le comportement de l’authentification NTLM réseau est la suivante :
  • Une fois un utilisateur de domaine change avec succès un mot de passe à l’aide de NTLM, l’ancien mot de passe peut toujours servir pour l’accès réseau pour une période de temps définis par l’utilisateur. Ce comportement permet aux comptes, tels que les comptes de service, que vous êtes connectés à plusieurs ordinateurs d’accéder au réseau lors de la modification du mot de passe propage.
  • L’extension du mot de passe de durée de vie s’applique uniquement aux accès au réseau à l’aide de NTLM. Comportement d’ouverture de session interactive est inchangé. Ce comportement ne s’applique pas aux comptes qui sont hébergés sur des serveurs autonomes ou serveurs membres. Seuls les utilisateurs du domaine sont concernés par ce problème.
  • La période de durée de vie de l’ancien mot de passe peut être configurée en modifiant le Registre sur un contrôleur de domaine. Aucun redémarrage n’est nécessaire pour que les modifications du Registre soient prises en compte.


Comment faire pour modifier la période de durée de vie d’un ancien mot de passe

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent survenir si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour une meilleure protection, sauvegardez le Registre avant de le modifier. Vous pourriez alors restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder et de restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
322756 comment sauvegarder et restaurer le Registre dans Windows


Pour modifier la période de durée de vie d’un ancien mot de passe, ajoutez une entrée DWORD nommée OldPasswordAllowedPeriod à la sous-clé de Registre suivante sur un contrôleur de domaine :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa


Pour ce faire, procédez comme suit :
  1. Cliquez sur Démarrer, sur exécuter, tapez regedit, puis cliquez sur OK.
  2. Recherchez et cliquez sur la sous-clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
  3. Dans le menu Edition , pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez OldPasswordAllowedPeriod comme nom de la valeur DWORD, puis appuyez sur ENTRÉE.
  5. Cliquez sur OldPasswordAllowedPeriod, puis cliquez sur Modifier.
  6. Dans la zone données de la valeur , tapez la valeur en minutes que vous souhaitez utiliser, puis cliquez sur OK.



    Remarque La période de durée de vie est définie en minutes. Si cette valeur de Registre n’est pas définie, la valeur par défaut durée de vie d’un ancien mot de passe est de 60 minutes.
  7. Quittez l’Éditeur du Registre.

    Remarque Ce paramètre de Registre ne nécessite pas un redémarrage pour prendre effet.
Remarque Ce comportement ne provoque pas une faille de sécurité. Tant qu’un seul utilisateur connaît les deux mots de passe, l’utilisateur est authentifié toujours en toute sécurité à l’aide d’un mot de passe.


Si le mot de passe d’un utilisateur est connue pour être compromise, l’administrateur doit réinitialiser le mot de passe pour cet utilisateur. L’administrateur doit demander à l’utilisateur de modifier le mot de passe à la prochaine ouverture de session pour invalider l’ancien mot de passe dès que possible.

Pour réinitialiser le mot de passe d’un utilisateur, procédez comme suit :
  1. Démarrez utilisateurs et ordinateurs Active Directory.
  2. Recherchez le compte d’utilisateur dont mot de passe doit être réinitialisé.
  3. Cliquez droit sur l’objet utilisateur, puis cliquez sur Réinitialiser le mot de passe.
  4. Tapez le nouveau mot de passe dans la zone nouveau mot de passe et Confirmer le mot de passe.
  5. Cliquez pour sélectionner la case l’utilisateur doit changer de mot de passe à la prochaine ouverture de session , puis cliquez sur OK.
Remarque Le comportement décrit dans cet article se produit uniquement si la stratégie de mot de passe efficace sur les contrôleurs de domaine Appliquer l’historique de mot de passe une valeur qui indique que deux ou plusieurs mots de passe seront mémorisés. La stratégie de mot de passe doit être définie au niveau du domaine. Vous pouvez déterminer si la stratégie a pris effet sur les contrôleurs de domaine à l’aide du composant logiciel enfichable Secpol.msc.
Propriétés

ID d'article : 906305 - Dernière mise à jour : 18 févr. 2017 - Révision : 2

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows Server 2003 Service Pack 2, Windows Server 2008 Standard, Windows Server 2008 Enterprise, Windows Server 2008 R2 Standard, Windows Server 2008 R2 Enterprise, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Standard, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter, Windows Server 2012 Datacenter

Commentaires