15/08/2012

Mots de passe PCI sous Windows

Le PCI DSS impose la mise en place d'une politique de sécurité précise concernant les mots de passe et la gestion des sessions. 

Il s'agit des exigences 8.5.9 à 8.5.15 :
  • 7 caractères minimum avec des chiffres et des majuscules
  • Le mot de passe doit être changé tous les 90 jours
  • etc...
Cette politique doit être appliquée pour toutes les interfaces qui permettent à des individus d'accéder à des numéros de cartes ou d'administrer les systèmes qui contiennent des cartes (qu'elles soient applicatives, systèmes ou encore SQL).

Mais concrètement, comment vérifier cette politique sur des serveurs et des postes Windows ? 

En fait, même si cette politique est poussée par GPO aux systèmes d'un domaine ou d'une Unité d'Organisation, tout finit comme toujours avec Windows au fond de la base de registre locale de chaque machine. Pour être certain de l'application de la politique, il suffit d'aller vérifier quelques clés de registre :

Dans HKLM\System\CurrentControlSet\Services\Netlogon\Parameters\
  • MinimumPasswordAge = 1
  • MaximumPasswordAge = 90
  • MinimumPasswordLength = 7
  • PasswordComplexity = 1
  • PasswordHistorySize = 4
  • MinimumPasswordAge = 1
  • LockoutBadCount = 6
  • LockoutDuration = 30


Dans HKLM\Software\Policies\Microsoft\Windows\Control Panel\Desktop
  • ScreenSaveTimeOut 900 

Il ne s'agit ici que des paramètres concernant les mots de passe, d'autres paramètres relatifs au renforcement du système seront indispensables (stockage LM, NTLMv2 pour les échanges, null-session désactivée, Cached Credentials désactivé...).


Aucun commentaire:

Enregistrer un commentaire