Active Directory – First Day Password : sécurisez le mot de passe du premier jour avec Specops uReset
Sommaire
I. Présentation
Cet article évoque une problématique à laquelle doivent faire face toutes les organisations avec un annuaire Active Directory : le First Day Password des comptes utilisateurs, soit le mot de passe du premier jour. Comment sécuriser ce processus ? Voici la réponse avec le module "First Day Password" de la solution Specops uReset.
Ce que l'on appelle le "First Day Password", c'est le mot de passe que l'on remet à un utilisateur lors de son arrivée dans l'entreprise. Un mot de passe, qu'il devra, en principe, changer lors de sa première connexion. Néanmoins, il représente une potentielle faille de sécurité présente dans le processus d'intégration des salariés de nombreuses organisations.
Ce mot de passe doit-il être le même pour tous les nouveaux utilisateurs, puis personnalisé à la première connexion ? Au contraire, ce mot de passe doit-il être différent pour chaque utilisateur, puis changé à la première connexion ? Quoi qu'il en soit, comment transmettre ce mot de passe à l'utilisateur de manière sécurisée ? C'est un vrai problème et une potentielle faille de sécurité présente dans le processus d'intégration des salariés de nombreuses organisations.
II. Les risques liés au First Day Password
Le "First Day Password" fait référence à la méthode de génération, de distribution et de sécurisation du mot de passe initial attribué à un utilisateur lorsqu'un compte est créé.
Plusieurs risques de sécurité sont associés à ce processus :
- Distribution non sécurisée : les mots de passe initiaux sont souvent transmis par des moyens non sécurisés ou peu sécurisés, comme les e-mails, des notes papier (un courrier d'intégration) ou à l'oral.
- Mots de passe faibles ou prédictibles : un mot de passe par défaut générique peut être attribué à tous les utilisateurs (par exemple, "Bienvenue!") ou basé sur des informations personnelles de l'utilisateur (sa date de naissance). Ces pratiques rendent le mot de passe facilement devinable pour un attaquant.
- Mot de passe non modifié par l'utilisateur : certaines organisations n'imposent pas le changement de mot de passe au premier login, augmentant ainsi les risques de compromission du compte. Cela crée une « fenêtre de tir » intéressante pour un attaquant qui pourrait saisir cette opportunité.
- Usurpation d'identité : si le mot de passe initial est compromis avant que l'utilisateur ne se connecte pour la première fois, un attaquant peut accéder à des ressources sous l'identité de l'utilisateur légitime.
Pour répondre à cette problématique, les entreprises peuvent s'appuyer sur Specops uReset, une solution de réinitialisation des mots de passe en libre-service. En effet, ses fonctionnalités peuvent être étendues à l'aide de plusieurs add-ons commercialisés par l'éditeur, dont l'add-on nommé "First Day Password". Comme son nom le laisse penser, il répond exactement à la problématique évoquée dans cet article : la gestion du premier mot de passe associé à un compte utilisateur dans l'Active Directory.
Chaque nouveau salarié reçoit un lien par SMS (au numéro de votre choix) ou par e-mail (sur son adresse personnelle), afin de lui permettre de définir son mot de passe. Ainsi, l'administrateur système n'a pas à lui communiquer un quelconque mot de passe. L'utilisateur peut alors définir le mot de passe de son compte Active Directory en autonomie après avoir vérifié son identité.
Si vous ne souhaitez pas envoyer de lien par e-mail, ce n'est pas grave, il existe une autre méthode. Directement à partir de l'écran de connexion de Windows, l'utilisateur peut cliquer sur le lien "Réinitialiser le mot de passe" ajouté par l'installation de l'agent Specops pour Windows. Il n'aura qu'à saisir son identifiant et à créer son mot de passe, là encore, après avoir vérifié son identité.
III. L'utilisation de First Day Password
Désormais, nous allons découvrir comment utiliser cette fonctionnalité de façon concrète. En amont, cela implique d'installer la solution Specops uReset et notamment le service Gatekeeper sur l'un des serveurs. Il sert de relais avec les services Cloud de Specops, dont l'hébergement est effectué en Europe. L'add-on évoqué dans cet article ne peut pas être utilisé sans Specops uReset.
A. Créer le nouveau compte utilisateur
Notre contexte : l'entreprise IT-Connect accueille un nouveau salarié nommé "Guy Mauve", dont l'identifiant sera "guy.mauve". Nous devons créer un nouvel utilisateur dans l'Active Directory pour cette personne et définir un mot de passe.
Grâce à la présence de la solution First Day Password, lors de la création du compte, nous pouvons définir un mot de passe aléatoire. Nous n'aurons pas besoin de mémoriser, de communiquer ou de stocker dans un gestionnaire de mots de passe ce sésame.
B. Inscription auprès du service First Day Password
Une fois le compte créé, il est nécessaire de l'inscrire auprès du service First Day Password. Pour cela, nous devons ouvrir une console PowerShell sur le serveur où le service Gatekeeper est déployé (à moins d'installer le module PowerShell sur une autre machine). Cette opération doit obligatoirement être réalisée en PowerShell.
Il convient de préciser le nom de l'utilisateur à inscrire auprès du service, ainsi que son numéro de téléphone (-UserMobile) ou son adresse e-mail (-UserMobile). Voici un exemple :
Set-SpecopsFirstDayPassword -Username guy.mauve -UserMobile +336XXXXXXXXEnsuite, vous pouvez vérifier la bonne prise en compte de la demande d'inscription, via cette commande :
Get-SpecopsFirstDayPasswordVoici un exemple de résultat obtenu :
C. Envoyer la notification à l'utilisateur
À partir du portail Specops Authentication, accessible aux seuls administrateurs de l'entreprise, vous pouvez déclencher manuellement l'envoi de la notification par SMS / e-mail. Sinon, sachez que ce sera fait de façon automatique, une fois par jour.
Mais avant cela, vous devez créer un modèle de notifications pour les SMS et/ou les e-mails. Il est possible de définir des modèles distincts pour les notifications initiales et aussi pour les messages de confirmation (facultatif). Comme le montre l'exemple ci-dessous, un système de variables permet de personnaliser le contenu des messages, et ainsi d'intégrer le nom de l'utilisateur (récupéré depuis l'AD).
Quand la notification est configurée, vous pouvez envoyer les notifications. Bien entendu, le modèle est à créer une seule fois et peut être personnalisé à tout moment. Dans l'interface de l'outil, nous irons alors dans "Décompte des utilisateurs" pour lancer l'opération via le bouton prévu à cet effet.
D. La création du mot de passe à partir du lien
L'utilisateur, sur son téléphone, reçoit donc un SMS personnalisé avec un lien lui permettant de créer son premier mot de passe. Ce mot de passe devra être conforme à la stratégie de mots de passe de l'entreprise. Il peut s'agir de la politique définie dans l'Active Directory ou celle définie dans Specops Password Policy, si cette solution est également en place.
Avant de pouvoir créer son mot de passe, l'utilisateur devra vérifier son identité. Pour cela, il recevra par SMS un code à usage unique. Ensuite, il doit définir son mot de passe en respectant les règles définies par la DSI. La stratégie de mot de passe est rappelée à l'écran.
Voilà, l'utilisateur est arrivé à la fin de la procédure. Désormais, il peut se connecter à sa session Windows avec son identifiant et son nouveau mot de passe. Le mot de passe du premier jour déterminé par l'administrateur, quant à lui, n'a jamais quitté la base d'annuaire Active Directory.
E. La création du mot de passe à partir de Windows
Le nouvel arrivant dans l'organisation peut aussi créer son mot de passe depuis son ordinateur, et donc sans utiliser un lien personnalisé envoyé par e-mail ou par SMS. Pour cela, son ordinateur doit être équipé de l'agent Specops et il doit cliquer sur le lien "Réinitialiser le mot de passe".
En superposition de l'écran de connexion de Windows, le navigateur sécurisé de Specops va s'ouvrir et inviter l'utilisateur à saisir son identifiant. Puis, à vérifier son identité grâce à un code envoyé par SMS.
Quand c'est fait, l'utilisateur pourra alors créer son mot de passe, toujours en respectant la stratégie de mots de passe.
Une fois le mot de passe créé, il n'a plus qu'à se connecter à sa session Windows à l'aide de son identifiant et de son mot de passe qu'il est le seul à connaître !
IV. Conclusion
La solution Specops uReset, par l'intermédiaire de sa fonction First Day Password, répond à une problématique réelle, mais souvent ignorée. Si vous utilisez l'Active Directory, elle apporte une couche de sécurité supplémentaire à votre processus d'intégration du personnel au système d'information.
Cette fonctionnalité est pleinement compatible avec le reste de l'écosystème de produits de chez Specops, notamment les solutions Specops Password Policy et Specops uReset.
Cet article inclut une communication commerciale.
