Rotation automatique du mot de passe Windows

SystanciaSupportTeam
Niveau d'utilisateur 2
Badge

Contexte 

Lors de l’utilisation de l’authentification forte, la carte à puce ou l’empreinte digitale vient remplacer le login/mot de passe utilisé habituellement afin de s’authentifier au poste.

Afin que l’utilisateur ne dispose plus du mot de passe, Windows SSOX peut le modifier en définissant un mot de passe aléatoire par rapport à la date du dernier changement du mot de passe ou en faisant expirer manuellement le mot de passe

 

Prérequis 

  • Poste client SSOX 10
  • Credential Provider SSOX
  • L’utilisateur doit disposer d’un mot de passe pouvant expirer 
  • L’utilisateur doit pouvoir modifier son mot de passe
  • L’authentification doit se faire à l’aide d’un mécanisme exploitant l’authentification forte (carte à puce / biométrie)

 

 

Mise en œuvre

 

Il est nécessaire de positionner les clés de registre suivantes au niveau du poste client : 

 

Nom de la clé de registre Type Emplacement Description Exemple de valeur
PasswordPolicy REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina\Gui\Conf Permet de personnaliser le mot de passe à l’aide d’un masque qui doit correspondre à la politique de mot de passe de l’Active Directory xxxxxx
SpecialCharacters REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina\Gui\Conf Permet de définir les caractères spéciaux pouvant être utilisés dans le masque  $ù%!
PasswordStrategy REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina\Gui\Conf Permet de sélectionner le mode de changement de mot de passe  Automatic
CPChangePasswordAfterXDays REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina

Permet de définir par rapport au dernier changement de mot de passe quand le mot de passe doit être modifié automatiquement par SSOX 

 40 
CPCheckPasswordBeforeLogin REG_SZ HKEY_LOCAL_MACHINE\SOFTWARE\Avenci\SSOXGina Permet de vérifier si le mot de passe doit être changé avant l’ouverture de la session Yes

 

En termes de fonctionnement on déduit le nombre de jours depuis le dernier changement du mot de passe et on le compare à CPChangePasswordAfterXDays.

Si le mot de passe est plus ancien que la valeur en jour définie dans CPChangePasswordAfterXDays alors le mot de passe Windows est modifié par SSOX

Cela fonctionne également en forçant le changement de mot de passe à la première ouverture de session 

1 commentaire

Yann BOUVIER

Ne pas oublier la perso du profil de l’utilisateur...

 

Follow me on LinkedIn : https://www.linkedin.com/in/yannbouvier/

Commenter


Conditions d'utilisation