Augmenter la longueur minimale des mots de passe au‑delà de 14 caractères sur Windows Server 2019 avec les FGPP

Renforcez la sécurité de votre domaine : découvrez comment dépasser la limite historique des 14 caractères et imposer des mots de passe robustes aux comptes sensibles de votre Active Directory, en utilisant exclusivement les outils natifs de Windows Server 2019.

Pourquoi la longueur minimale reste bloquée à 14 caractères dans la stratégie par défaut

La Default Domain Policy (DDP) — appliquée à tous les comptes du domaine — dérive d’un schéma hérité des versions antérieures de Windows Server 2000/2003. Lorsqu’elle a été conçue, la valeur de 14 caractères offrait déjà une bonne protection face aux attaques par force brute. Cependant, l’essor du cloud computing, la mise à disposition d’ASIC et de GPU grand public et la diffusion massive d’attaques hors‑ligne ont rendu cette limite obsolète. Aujourd’hui, les référentiels de conformité (ANSSI, NIST SP 800‑63, ISO/IEC 27002) recommandent des longueurs sensiblement plus élevées ou l’adoption d’alternatives telles que l’authentification multifacteur.

Limites des stratégies de groupe classiques

• La GPMC (Group Policy Management Console) plafonne le paramètre Minimum password length à 14, sans possibilité de surcharger la DDP.
• La GPO s’applique à l’ensemble du domaine : impossible de cibler un sous‑ensemble d’utilisateurs ou un groupe sans créer un domaine enfant… solution peu réaliste en production.
• Un changement global peut casser des intégrations applicatives (comptes de service, applis « legacy ») encore dépendantes de stockages de mots de passe rigides.

Principe des Fine‑Grained Password Policies (FGPP)

Introduites avec Windows Server 2008, les FGPP utilisent des objets dédiés appelés Password Settings Objects (PSO) stockés dans le conteneur CN=Password Settings Container,CN=System,DC=Contoso,DC=local. Elles permettent :

• d’augmenter (ou de réduire) la longueur minimale ;
• de jouer sur la complexité, l’historique, l’âge maximum/minimum ;
• d’individualiser les paramètres par utilisateur ou, plus pratique, par groupe de sécurité.

Un PSO possède un attribut precedence. En cas de conflit, l’objet dont la valeur est la plus basse « l’emporte ». On obtient donc une gestion fine, comparable au filtrage des GPO, mais sans créer de nouvelles unités d’organisation ou jouer avec le link order.

Pré‑requis essentiels avant déploiement

Élément	Condition	Comment valider ?
Niveau fonctionnel du domaine	≥ Windows Server 2008	Get-ADDomain | Select‑Object DomainMode
Outils d’administration	ADAC ou RSAT à jour	Version = 10.0.17763+ pour Server 2019
Comptes d’administration	membre de Domain Admins	Utiliser whoami /groups
Contrôleurs de domaine	horloge synchronisée (NTP)	w32tm /query /status

Création d’un Password Settings Object pas à pas

Ouvrir le centre d’administration Active Directory

Depuis le menu Démarrer, lancez Active Directory Administrative Center (dsac.exe). L’interface moderne simplifie la gestion par rapport à ADSI Edit.

Accéder au conteneur de FGPP

Dans la barre de navigation latérale, sélectionnez votre domaine puis System ▸ Password Settings Container. Tous les PSO existants y figurent déjà.

Créer un nouvel objet

1. Effectuez un clic droit et choisissez New ▸ Password Settings.
2. Renseignez les champs suivants :
   • Name : utilisez une nomenclature claire (ex. PSO‑20Chars‑Admins).
   • Precedence : entre 1 et 65535. 1 garantit la priorité.
   • Minimum password length : saisissez 20 (ou plus).
   • Maximum password age : par défaut 42 jours ; alignez‑le sur vos exigences (souvent 90 jours ou mot de passe à durée de vie indéfinie si MFA).
   • Password history count : 24 pour rester compatible CIS Benchmark.
   • Complexity enabled : active les contraintes classiques (majuscules, minuscules, chiffres, symboles).
   • Lockout threshold : 5 tentatives, valeur répandue en entreprise.

Validez, puis affectez le PSO à un groupe de sécurité (par exemple GRP‑IT‑Admins) dans la section Direct applies to.

Vérifier la bonne application

# Lister tous les PSO
Get-ADFineGrainedPasswordPolicy |
  Format-Table Name,MinPasswordLength,Precedence

# Examiner la politique effective pour un utilisateur

Get-ADUserResultantPasswordPolicy -Identity "jdupont" 

La cmdlet renvoie les paramètres issus du PSO prioritaire. En production, exécutez‑la sur un échantillon d’utilisateurs pour prévenir les régressions.

Contournements fréquents et stratégies de mitigation

Applications héritées et comptes de service

Certains services Windows ou applicatifs tiers n’acceptent pas des longueurs > 14. Deux approches :

• Créer un PSO spécifique longueur 14 uniquement pour le compte concerné, avec une precedence plus élevée.
• Remplacer le mot de passe par un secret généré stocké dans un coffre (LAPS v.2, Managed Identities, GMSA).

Synchronisation AAD Connect

La fonction Password Hash Sync d’Azure AD supporte un hachage NTLM standard, sans limite — aucun impact à prévoir. Vérifiez cependant qu’un Conditional Access Policy autorise les mots de passe plus longs côté cloud si vous imposez plus de 256 caractères.

Redondance des PSO

Accumuler des PSO mal documentés crée un vrai casse‑tête lors des audits ISO 27001 ou PCI‑DSS. Établissez une documentation dans votre CMDB ; stockez le périmètre du PSO, la justification métier et la date de revue prévue.

Automatiser le déploiement avec PowerShell

Pour assurer un déploiement reproductible (CI/CD d’infrastructure) :

Import-Module ActiveDirectory

\$policy = @{
Name                  = "PSO-20Chars-Admins"
Precedence            = 1
MinPasswordLength     = 20
PasswordHistoryCount  = 24
MaxPasswordAge        = (New-TimeSpan -Days 90)
ComplexityEnabled     = \$true
ReversibleEncryptionEnabled = \$false
LockoutThreshold      = 5
LockoutObservationWindow = (New-TimeSpan -Minutes 15)
LockoutDuration       = (New-TimeSpan -Minutes 15)
}

# Création ou mise à jour idempotente

if (Get-ADFineGrainedPasswordPolicy -Filter "Name -eq '\$(\$policy.Name)'") {
Set-ADFineGrainedPasswordPolicy @policy
} else {
New-ADFineGrainedPasswordPolicy @policy
}

# Affectation au groupe cible

\$group = "GRP-IT-Admins"
Add-ADFineGrainedPasswordPolicySubject -Identity \$policy.Name -Subjects \$group 

Intégrez le script dans un pipeline (GitHub Actions, Azure DevOps) pour historiser toute modification et disposer d’un audit trail.

Auditer et surveiller les modifications de stratégie

Activer la journalisation avancée (Audit Directory Service Changes) dans la Default Domain Controllers Policy alimente les événements 4739 et 4738. Déversez‑les vers votre SIEM (Microsoft Sentinel, Splunk, Elastic) pour détecter :

• une élévation soudaine du precedence d’un PSO ;
• la réduction de la longueur minimale ;
• l’ajout suspect d’un groupe sujet à un PSO plus permissif.

L’ajout d’alertes corrélées (UEBA) permet de repérer un compte compromis tentant de réduire la surface de sécurité.

Bonnes pratiques de cybersécurité autour des mots de passe

• Combiner longueur et MFA : un mot de passe long reste vulnérable aux phishing kits. Envisagez FIDO2 ou Windows Hello for Business.
• Bloquer les mots de passe faibles ou divulgués : coupler le PSO à Azure AD Password Protection on‑premises ou à un filtre tiers gratuit (open‑source).
• Former les utilisateurs : un mot de passe de 20 caractères peut être facile à retenir (phrase de passe) sans sacrifier la sécurité.
• Réviser périodiquement les PSO : au moins tous les 12 mois, ou après chaque audit.

Résolution de problèmes courants

Erreur Set‑ADUser : Password does not meet length requirements

Scénario : lors de la création d’un compte, le mot de passe fourni ne respecte plus la stratégie FGPP, mais l’interface GPMC n’affiche que 14. Utilisez Get-ADUserResultantPasswordPolicy pour visualiser la longueur exigée. Mettre à jour vos scripts de provisioning (ServiceNow, AutoPilot).

Les comptes nécessitent une réinitialisation forcée

Sur un changement de politique en dur, les mots de passe existants restent valides jusqu’à expiration. Pour accélérer la transition, cochez User must change password at next logon ou, en masse :

Search-ADAccount -PasswordNotRequired:$false -UsersOnly |
    Set-ADUser -ChangePasswordAtLogon $true

Conclusion et récapitulatif

En exploitant les Fine‑Grained Password Policies, Windows Server 2019 offre une flexibilité native pour renforcer la posture de sécurité sans recourir à des produits tiers. Qu’il s’agisse de se conformer à un audit PCI‑DSS, de sécuriser un groupe d’administrateurs ou de durcir progressivement l’ensemble des comptes, la méthode présentée permet d’aller bien au‑delà de la barrière historique des 14 caractères, tout en gardant une administration centrale aisée.

La clé du succès réside dans :

• une planification : analyse d’impact pour chaque rôle ;
• une automatisation : script PowerShell versionné et testé ;
• une surveillance continue : audit NTDS, alertes SIEM ;
• une communication : sensibilisation des utilisateurs finaux.

Avec ces bonnes pratiques, votre domaine Active Directory passera à un niveau de résilience supérieur face aux menaces modernes, sans complexité démesurée.