PowerShell : configuration de l’expiration du mot de passe

Principaux points à retenir

  • Les stratégies d’expiration des mots de passe sont essentielles pour renforcer la sécurité informatique et promouvoir une bonne cyberhygiène.
  • Le script PowerShell fourni ajuste efficacement l’âge maximum du mot de passe pour les ordinateurs de domaine ou de non-domaine.
  • Le script nécessite la version 5.1 de PowerShell et la fonction RSAT pour Active Directory.
  • En fonction des paramètres fournis, le script modifie la stratégie de mot de passe du domaine par défaut d’Active Directory ou la stratégie de la machine locale.
  • Pour les tâches informatiques, les scripts PowerShell offrent une évolutivité et une efficacité supérieures à celles des outils traditionnels basés sur l’interface graphique.
  • N’oubliez jamais de sauvegarder les configurations, d’informer les utilisateurs des changements et de vérifier les effets des modifications de la stratégie.
  • Il est essentiel de trouver un équilibre dans la fréquence des changements de mot de passe pour éviter les pièges potentiels en matière de sécurité.
  • NinjaOne, avec des scripts comme ceux-ci, aide les professionnels de l’informatique à gérer des environnements numériques complexes de manière intuitive.

Avec l’augmentation constante des cybermenaces, la gestion efficace des stratégies de mots de passe n’a jamais été aussi importante dans le monde de l’informatique. Une bonne gestion des mots de passe permet non seulement d’assurer une défense performante contre les violations potentielles, mais aussi de promouvoir une bonne cyberhygiène auprès des utilisateurs. L’une de ces règles essentielles est la configuration de l’expiration des mots de passe. Aujourd’hui, nous allons présenter un script PowerShell qui vous permet de modifier l’âge maximum du mot de passe, ce qui dicte le délai d’expiration pour les ordinateurs de domaine ou de non-domaine.

Contexte

Le script fourni vise à rationaliser le processus de modification des stratégies d’expiration des mots de passe. Au fur et à mesure que les environnements informatiques se développent et évoluent, le besoin de méthodes centralisées, efficaces et évolutives pour gérer les identifiants utilisateurs devient primordial. Les professionnels de l’informatique et les fournisseurs de services gérés (MSP) se retrouvent souvent à jongler avec des systèmes, des stratégies et des exigences utilisateurs divers. Grâce à PowerShell, un puissant cadre d’automatisation des tâches, il devient possible d’ajuster quelque chose d’aussi vital que l’expiration d’un mot de passe sur plusieurs systèmes.

Le script PowerShell

#Requires -Version 5.1

<#
.SYNOPSIS
    Changes the Maximum Password Age(Expiry) for the domain or a non-domain computer.
.DESCRIPTION
    Changes the Maximum Password Age(Expiry) for the domain or a non-domain computer.
.EXAMPLE
     -MaxPasswordAge 90
    Set MaximumPasswordAge on the computer this script runs on to 90 days.
.EXAMPLE
     No param needed
    Disables MaximumPasswordAge on the computer this script runs on.
.EXAMPLE
     -MaxPasswordAge 90 -Domain "test.consto.com"
    Enables MaximumPasswordAge in Active Directory for the Default Domain Password Policy to 90 days.
.EXAMPLE
    PS C:> .Set-Password-Complexity.ps1 -MaxPasswordAge 90 -Domain "test.consto.com"
    Enables MaximumPasswordAge in Active Directory for the Default Domain Password Policy to 90 days.
.OUTPUTS
    None
.NOTES
    Minimum OS Architecture Supported: Windows 10, Windows Server 2016
    The RSAT feature for Active Directory needs to be installed on the computer this runs on.
    Release Notes:
    Initial Release
By using this script, you indicate your acceptance of the following legal terms as well as our Terms of Use at https://www.ninjaone.com/terms-of-use.
    Ownership Rights: NinjaOne owns and will continue to own all right, title, and interest in and to the script (including the copyright). NinjaOne is giving you a limited license to use the script in accordance with these legal terms. 
    Use Limitation: You may only use the script for your legitimate personal or internal business purposes, and you may not share the script with another party. 
    Republication Prohibition: Under no circumstances are you permitted to re-publish the script in any script library or website belonging to or under the control of any other software provider. 
    Warranty Disclaimer: The script is provided “as is” and “as available”, without warranty of any kind. NinjaOne makes no promise or guarantee that the script will be free from defects or that it will meet your specific needs or expectations. 
    Assumption of Risk: Your use of the script is at your own risk. You acknowledge that there are certain inherent risks in using the script, and you understand and assume each of those risks. 
    Waiver and Release: You will not hold NinjaOne responsible for any adverse or unintended consequences resulting from your use of the script, and you waive any legal or equitable rights or remedies you may have against NinjaOne relating to your use of the script. 
    EULA: If you are a NinjaOne customer, your use of the script is subject to the End User License Agreement applicable to you (EULA).
.COMPONENT
    ManageUsers
#>

[CmdletBinding()]
param (
    [Parameter(Mandatory = $false)]
    [int]
    $MaxPasswordAge,
    [Parameter(Mandatory = $false)]
    [String]
    $Domain
)

function Test-IsElevated {
    $id = [System.Security.Principal.WindowsIdentity]::GetCurrent()
    $p = New-Object System.Security.Principal.WindowsPrincipal($id)
    if ($p.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator))
    { Write-Output $true }
    else
    { Write-Output $false }
}
function Get-LocalPasswordPolicy {
    param ()
    $Result = [PSCustomObject]@{
        MinimumLength = 0
        MaximumAge    = 0
        MinimumAge    = 0
    }
    $(net.exe accounts) -split "n" | ForEach-Object {
        $Line = $_ -split ":"
        if ($_ -like "Minimum password length*") {
            $Result.MinimumLength = "$($Line[1])".Trim(' ')
        }
        if ($_ -like "Maximum password age (days)*") {
            $Result.MaximumAge = "$($Line[1])".Trim(' ')
        }
        if ($_ -like "Minimum password age (days)*") {
            $Result.MinimumAge = "$($Line[1])".Trim(' ')
        }
    }
    $Result
}

if (-not (Test-IsElevated)) {
    Write-Error -Message "Access Denied. Please run with Administrator privileges."
    exit 1
}
$NetExeError = $false

$MaxAge = ""
if ($PSBoundParameters.ContainsKey("MaxPasswordAge")) {
    $MaxAge = $MaxPasswordAge
}
else {
    # If $MaxPasswordAge isn't used or is set to 0.
    $MaxAge = 0
}
if ($Domain -and [string]::IsNullOrEmpty($Domain) -and [string]::IsNullOrWhiteSpace($Domain)) {
    # Active Directory
    # Check if the ActiveDirectory module is installed
    if ((Get-Module -Name ActiveDirectory -ListAvailable -ErrorAction SilentlyContinue)) {
        try {
            # Try to import the ActiveDirectory module
            Import-Module -Name ActiveDirectory
        }
        catch {
            Write-Error -Message "Ninja Agent could not access AD, either RSAT was not installed or that the agent does not have permissions to add and remove users from groups."
            exit 5 # Access Denied exit code
        }
        # Set MaxPasswordAge to what was passed into $MaxPasswordAge
        Set-ADDefaultDomainPasswordPolicy -Identity $Domain -MaxPasswordAge $([TimeSpan]"$MaxPasswordAge.00:00:00") -Confirm:$false
        # Sleep a little while, just in case Get-ADDefaultDomainPasswordPolicy connect to a different AD server and replication is slow
        Start-Sleep -Seconds 60
        # Check if the MaxPasswordAge policy was applied correctly
        $Results = Get-ADDefaultDomainPasswordPolicy -Identity $Domain
        # Check that the policy matches what was requested
        if ($Results -and $Results.MaxPasswordAge.Days -eq $MaxPasswordAge) {
            exit 0
        }
        else {
            # The policy was not set for some reason
            exit 1
        }
    }
    else {
        Write-Error -Message "Ninja Agent could not access AD, RSAT was not installed."
        Write-Output "RSAT install documentation: https://docs.microsoft.com/en-us/troubleshoot/windows-server/system-management-components/remote-server-administration-tools"
        Write-Output "Windows Server install command: Install-WindowsFeature RSAT"
        Write-Output "Windows 10/11 install command: Add-WindowsCapability -Name RSAT* -Online"
        exit 5 # Access Denied exit code
    }
}
else {
    # Get Current localhost password policy settings
    $CurrentSettings = Get-LocalPasswordPolicy
    Write-Host "Changing Maximum Password Age from $($CurrentSettings.MaximumAge) to $MaxAge"
    if ($MaxAge -ge 1 -and $MaxAge -is [int]) {
        net.exe accounts /maxpwage:$MaxAge
    }
    else {
        net.exe accounts /maxpwage:unlimited
    }

    # Get New localhost password policy settings and check if anything changed
    $NewSettings = Get-LocalPasswordPolicy
    
    if ($MaxAge -notlike $(if ($NewSettings.MaximumAge -like "unlimited") { 0 }else { $NewSettings.MaximumAge })) {
        $NetExeError = $true
        Write-Host "Maximum Age was not set correctly."
    }
    if ($NetExeError) {
        exit 1
    }
}

 

Accédez à plus de 700 scripts dans le Dojo NinjaOne

Obtenir l’accès

Description détaillée

Examinons dans le détail le fonctionnement du script :

  • Prérequis : Le script nécessite la version 5.1 de PowerShell et la fonctionnalité RSAT (Remote Server Administration Tools) pour Active Directory.
  • Paramètres : Deux paramètres principaux peuvent être transmis : MaxPasswordAge, qui définit le délai maximum (en jours) avant l’expiration du mot de passe, et Domain, qui spécifie le domaine pour lequel la stratégie de mot de passe doit être ajustée.
  • Fonctions : Le script comprend des fonctions d’aide comme Test-IsElevated pour vérifier si le script est exécuté avec des droits d’administrateur et Get-LocalPasswordPolicy pour récupérer la stratégie de mot de passe actuelle de l’ordinateur local.
  • Flux d’exécution : Selon si le domaine est fourni ou non, soit le script ajuste la stratégie de mot de passe du domaine par défaut d’Active Directory, soit il ajuste la stratégie de mot de passe de l’ordinateur local.

Cas d’utilisation potentiels

Étude de cas : Imaginez une entreprise MSP qui supervise les opérations informatiques d’une entreprise dont les effectifs augmentent. Les nouvelles réglementations en matière de cybersécurité exigent que tous les mots de passe des employés expirent et soient renouvelés tous les 60 jours. En utilisant le script fourni, le fournisseur de services gérés peut efficacement ajuster l’âge maximum du mot de passe pour tous les ordinateurs du domaine, garantissant ainsi la conformité sans avoir à gérer chaque système manuellement.

Comparaisons

Traditionnellement, l’ajustement des stratégies de mot de passe, en particulier dans les grands réseaux, nécessitait de passer par des outils à interface graphique tels que la console de gestion des stratégies de groupe. Bien qu’efficaces, ces méthodes peuvent ne pas l’être autant à grande échelle. Grâce à l’approche PowerShell, les professionnels de l’informatique peuvent appliquer rapidement des modifications à plusieurs systèmes, ce qui garantit la cohérence et permet de gagner du temps.

FAQ

  • Puis-je utiliser ce script sur n’importe quel ordinateur Windows ? 
    Le script est conçu pour Windows 10, Windows Server 2016 et les versions ultérieures.
  • Que se passe-t-il si je n’indique pas la valeur MaxPasswordAge ? 
    Le délai d’expiration du mot de passe sera défini sur « illimité », ce qui revient à désactiver l’expiration.

Implications

La définition d’une stratégie d’expiration des mots de passe est une arme à double tranchant. Si des changements fréquents peuvent renforcer la sécurité en limitant la durée de validité d’un mot de passe compromis, ils peuvent aussi encourager les utilisateurs à opter pour des mots de passe plus simples ou à les noter, ce qui réduit la sécurité globale. Ce script aide les équipes informatiques à trouver le bon équilibre et à appliquer la stratégie de manière cohérente à l’ensemble de leur infrastructure.

Recommandations

  • Veillez à toujours sauvegarder les configurations actuelles avant d’apporter des modifications.
  • Il est conseillé d’informer les utilisateurs des changements imminents dans les stratégies de mots de passe.
  • Contrôlez et auditez les effets des changements de stratégies en matière de mots de passe pour vous assurer qu’il n’y a pas de conséquences imprévues.

Conclusion

Face à l’évolution des cybermenaces, des outils comme NinjaOne offrent des solutions inestimables aux professionnels de l’informatique, leur permettant de garder une longueur d’avance sur les défis potentiels. En intégrant des scripts comme celui-ci, NinjaOne offre une plateforme complète qui peut répondre à divers besoins de gestion informatique, des ajustements de la stratégie de mot de passe aux configurations de systèmes plus complexes. Alors que le paysage numérique continue de se transformer, il est essentiel de disposer d’outils permettant aux équipes informatiques d’assurer l’efficacité et la sécurité des opérations.

Pour aller plus loin

Créer une équipe informatique efficace et performante nécessite une solution centralisée qui soit l’outil principal pour fournir vos services. NinjaOne permet aux équipes informatiques de surveiller, gérer, sécuriser et prendre en charge tous les appareils, où qu’ils soient, sans avoir besoin d’une infrastructure complexe sur site.

Pour en savoir plus sur NinjaOne Endpoint Management, participez à une visite guidée ou commencez votre essai gratuit de la plateforme NinjaOne.

Catégories :

Vous pourriez aussi aimer

Voir la démo×
×

Voir NinjaOne en action !

En soumettant ce formulaire, j'accepte la politique de confidentialité de NinjaOne.

Termes et conditions NinjaOne

En cliquant sur le bouton « J’accepte » ci-dessous, vous indiquez que vous acceptez les termes juridiques suivants ainsi que nos conditions d’utilisation:

  • Droits de propriété: NinjaOne possède et continuera de posséder tous les droits, titres et intérêts relatifs au script (y compris les droits d’auteur). NinjaOne vous accorde une licence limitée pour l’utilisation du script conformément à ces conditions légales.
  • Limitation de l’utilisation: Les scripts ne peuvent être utilisés qu’à des fins personnelles ou professionnelles internes légitimes et ne peuvent être partagés avec d’autres entités.
  • Interdiction de publication: Vous n’êtes en aucun cas autorisé à publier le script dans une bibliothèque de scripts appartenant à, ou sous le contrôle d’un autre fournisseur de logiciels.
  • Clause de non-responsabilité: Le texte est fourni « tel quel » et « tel que disponible », sans garantie d’aucune sorte. NinjaOne ne promet ni ne garantit que le script sera exempt de défauts ou qu’il répondra à vos besoins ou attentes particulières.
  • Acceptation des risques: L’utilisation du script est sous votre propre responsabilité. Vous reconnaissez qu’il existe certains risques inhérents à l’utilisation du script, et vous comprenez et assumez chacun de ces risques.
  • Renonciation et exonération de responsabilité: Vous ne tiendrez pas NinjaOne pour responsable des conséquences négatives ou involontaires résultant de votre utilisation du script, et vous renoncez à tout droit ou recours légal ou équitable que vous pourriez avoir contre NinjaOne en rapport avec votre utilisation du script.
  • EULA: Si vous êtes un client de NinjaOne, votre utilisation du script est soumise au contrat de licence d’utilisateur final qui vous est applicable (End User License Agreement (EULA)).