Mots de passe et phrases secrètes Windows LAPS
Découvrez la création des mots de passe et phrases secrètes de la solution de mot de passe d'administrateur local de Windows (Windows LAPS).
Vue d'ensemble
L'objectif principal de Windows LAPS est de faire pivoter régulièrement le mot de passe d'un compte Windows local. Comprendre comment Windows LAPS génère des mots de passe aléatoires (ou des phrases de passe aléatoires) est essentiel.
Jeux de caractères pour mot de passe
Windows LAPS prend en charge cinq paramètres de complexité différents applicables à la génération de mots de passe aléatoires. Le paramètre de stratégie PasswordComplexity est utilisé pour choisir les ensembles de caractères utilisés lors de la création d’un mot de passe.
| paramètre de stratégie PasswordComplexity | Description | Jeux de caractères |
|---|---|---|
| 1 | Lettres majuscules | « ABCDEFGHIJKLMNOPQRSTUVWXYZ » |
| 2 | Lettres majuscules + lettres minuscules | « ABCDEFGHIJKLMNOPQRSTUVWXYZ » « abcdefghijklmnopqrstuvwxyz » |
| 3 | Lettres majuscules + lettres minuscules + chiffres | « ABCDEFGHIJKLMNOPQRSTUVWXYZ » « abcdefghijklmnopqrstuvwxyz » « 0123456789 » |
| 4 | Lettres majuscules + lettres minuscules + chiffres + caractères spéciaux | « ABCDEFGHIJKLMNOPQRSTUVWXYZ » « abcdefghijklmnopqrstuvwxyz » « 0123456789 » ",.-+;!#&@{}[]$/()%" |
| 5 | Lettres majuscules + lettres minuscules + chiffres (lisibilité améliorée) | « ABCDEFGHJKLMNPRSTUVWXYZ » « abcdefghijkmnpqrstuvwxyz » « 23456789 » "!#%+@:=?*" |
En choisissant un paramètre de complexité avec plusieurs jeux de caractères, Windows LAPS s'assure que le mot de passe obtenu contient au moins un caractère choisi de manière aléatoire dans chaque jeu de caractères.
La longueur des mots de passe est contrôlée à l'aide du paramètre de stratégie PasswordLength. Les mots de passe créés par Windows LAPS comptent par défaut 14 caractères et peuvent être configurés de manière à compter entre 8 et 64 caractères.
Le paramètre de complexité de niveau 5 du mot de passe équivaut au paramètre de complexité de niveau 4 du mot de passe, avec les modifications suivantes apportées pour améliorer la lisibilité et éviter toute confusion. Les différences entre la configuration des paramètres de niveaux quatre et cinq sont les suivantes :
- suppression des lettres I, O, Q, l et o
- suppression des nombres 0 et 1
- suppression des symboles ',', '.', '&', '{', '}', '[', ']', '(', ')', et ';'
- ajout des quatre symboles ':', '=', '?', et '*'
Important
Le paramètre PasswordComplexity de « 5 » est uniquement pris en charge dans Windows 11 24H2, Windows Server 2025 et les versions ultérieures. Il n’est pas nécessaire de déployer des contrôleurs de domaine Windows Server 2025 pour utiliser ce nouveau paramètre.
Listes de mots pour phrase secrète
Windows LAPS prend en charge trois paramètres de complexité différents applicables à la génération de phrases secrètes aléatoires. Le paramètre de stratégie PasswordComplexity permet de choisir les listes de mots utilisées lors de la création d'une phrase secrète :
| paramètre de stratégie PasswordComplexity | Description | Nombre de mots dans une liste |
|---|---|---|
| 6 | Mots longs | 7 776 |
| 7 | Mots courts | 1 276 |
| 8 | Mots courts avec préfixes uniques | 1 276 |
La longueur des phrases secrètes est contrôlée à l'aide du paramètre de stratégie PassphraseLength. Les phrases secrètes créées par Windows LAPS comptent par défaut six mots et peuvent être configurées de manière à compter entre trois et dix mots. Le premier caractère de chaque mot est toujours en majuscule afin d'améliorer la lisibilité. Aucune ponctuation ou autre caractère de séparation n'est utilisé entre les mots.
Exemple de phrase secrète créée avec six mots extraits de la liste « Mots longs » :
SkiingProduceIdentifyStarlitOctaneDistress
les listes de mots de la phrase secrète ont été extraites de « Deep Dive : EFF's New Wordlists for Random Passphrases » par Electronic Frontier Foundation, et sont utilisées sous licence CC-BY-3.0 Attribution. Le contenu spécifique de toutes les listes de mots de la phrase secrète Windows LAPS peut être téléchargé à partir de Windows LAPS Passphrase Word Lists. Microsoft a apporté de légères modifications sur les listes de mots d'origine. Toutes les modifications sont détaillées dans les listes téléchargeables.
Important
La prise en charge des phrases secrètes dans Windows LAPS est uniquement disponible dans Windows 11 24H2, Windows Server 2025 et les versions ultérieures. Il n’est pas nécessaire de déployer des contrôleurs de domaine Windows Server 2025 pour utiliser ce nouveau paramètre.
Considérations relatives à l'entropie
Windows LAPS crée des mots de passe et des phrases secrètes véritablement aléatoires (aucun risque de subjectivité humaine). Aussi est-il simple de calculer le nombre de bits d'entropie résultant d'un mot de passe/d'une phrase secrète de longueur donnée. La table suivante répertorie les bits d'entropie obtenus à partir d'un échantillon des longueurs de mot de passe\phrase secrète.
Les paramètres de complexité de mot de passe pris en charge sont répertoriés en haut de la table, et les longueurs de mot de passe\phrase secrète sont répertoriées sur le côté gauche. Les valeurs d'entropie des paramètres de longueur de stratégie par défaut sont en gras, notamment :
| paramètre de PasswordComplexity -> Longueur de mot de passe ou de phrase secrète V |
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 |
|---|---|---|---|---|---|---|---|---|
| 3 | 39 | 31 | 31 | |||||
| 4 | 52 | 41 | 41 | |||||
| 5 | 65 | 52 | 52 | |||||
| 6 | 78 | 62 | 62 | |||||
| 7 | 90 | 72 | 72 | |||||
| 8 | 38 | 46 | 48 | 51 | 48 | 103 | 83 | 83 |
| 9 | 42 | 51 | 54 | 57 | 54 | 116 | 93 | 93 |
| 10 | 47 | 57 | 60 | 63 | 60 | 129 | 103 | 103 |
| 11 | 52 | 63 | 65 | 70 | 66 | |||
| 12 | 56 | 68 | 71 | 76 | 72 | |||
| 13 | 61 | 74 | 77 | 82 | 78 | |||
| 14 | 66 | 80 | 83 | 89 | 84 | |||
| 20 | 94 | 114 | 119 | 126 | 120 | |||
| 40 | 188 | 228 | 238 | 253 | 240 | |||
| 60 | 282 | 342 | 357 | 379 | 360 |
À l'extrémité supérieure des plages de longueur autorisées, les niveaux d'entropie pourraient être considérés comme excessifs pour la plupart des environnements informatiques normaux. Le compromis entre la sécurité et la facilité d'utilisation est généralement un facteur à prendre en compte. Par exemple, il est difficile pour un humain de lire et de saisir des mots de passe longs et complexes. Le recours aux phrases secrètes est un moyen utile de résoudre ces problèmes tout en conservant un degré raisonnable d'entropie. Si l'optimisation de la sécurité est une préoccupation majeure, vous pouvez envisager des protections alternatives, par exemple en maintenant le compte managé dans un état désactivé par défaut.
Voir aussi
Étapes suivantes
À présent que vous comprenez comment les mots de passe et les phrases secrètes sont créés, examinez ces autres sections.