Mot de passe des partages invalide en VPN
Connecté au réseau de la société, vous pouvez accéder sans aucune difficulté aux partages réseau. Par contre, de l'extérieur, cette connexion ne fonctionne plus.
Une fois connecté au VPN, en allant dans le gestionnaire d'identification et supprimant l'enregistrement windows *session
, les partages fonctionnent de nouveau.
Ce problème provient lorsque le mot de passe utilisé sur le VPN est différent du mot de passe utilisé pour se connecter à Windows. Le système d'exploitation aura tendance à privilégier les identifiants utilisé sur le VPN plus
Résolution
La meilleure résolution est d'utiliser les même identifiants pour que VPN que pour l'AD si le pare-feu le permet. Vous gagnerez en sécurité en ayant la même politique de mot de passe pour l'accès au réseau de la société, notamment sur la rotation des mots de passes et permettre aux utilisateurs de le changer.
Workaround
Si vous n'avez pas la possibilité d'utiliser les mots de passes de l'AD sur le VPN, il existe une solution de contournement consistant à empêcher Windows de se souvenir des identifiants réseau.
Via GPO
Procédure de la documentation Micorosft1) :
Dossier de la GPO | \Configuration ordinateur\Stratégies\Paramètres Windows\Paramètres de sécurité\Stratégie locale\Options de sécurité |
---|---|
Paramètre | Accès réseau : ne pas autoriser le stockage de mots de passe et d'information pour l'authentification résseau |
Valeur | Activé |
Via le registre
- lsa_disable_domain_creds.reg
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "disabledomaincreds"=dword:00000001