Microsoft : Kerberos va évoluer pour préparer la désactivation de NTLM dans Windows 11
Microsoft s'attaque sérieusement au protocole NTLM afin que vous puissiez vous en débarrasser plus facilement, au profit de Kerberos. Voici les nouveautés prévues pour Kerberos !
Dans un environnement Active Directory, les protocoles NTLM et Kerberos peuvent être utilisés pour s'authentifier, que ce soit pour ouvrir une session, se connecter en Bureau à distance sur un serveur ou encore accéder à un partage via le protocole SMB. Néanmoins, le protocole NTLM est vulnérable à différentes attaques (la technique NTLM Relay est un excellent exemple) et il représente un point faible dans un domaine Active Directory, notamment parce que ses fonctions de chiffrement sont obsolètes et insuffisantes aujourd'hui.
Il est recommandé de s'orienter vers Kerberos et de désactiver NTLM, mais dans la pratique, ce n'est pas si simple de se débarrasser de NTLM. En effet, certaines applications et périphériques (type copieur, par exemple) peuvent supporter uniquement le protocole NTLM et ne pas prendre en charge Kerberos.
En juillet 2021, Microsoft avait ajouté un nouveau paramètre activable par clé de Registre afin de permettre l'authentification Kerberos via une adresse IPv4 ou IPv6, au lieu d'imposer le nom complet obligatoirement. Ceci permettait, en quelque sorte, de rapprocher le fonctionnement Kerberos de celui du protocole NTLM qui accepte les connexions par adresse IP sans broncher.
Dernièrement, Microsoft avait également annoncé sa volonté de vous permettre de désactiver NTLM pour l'accès aux partages SMB sous Windows 11. Désormais, la firme de Redmond veut aller plus loin.
Sommaire
Kerberos va évoluer !
Il y a quelques jours, Microsoft a mis en ligne un nouvel article intitulé "L'évolution de l'authentification Windows" qui dévoile des nouveautés pour Kerberos afin de rendre, je cite "Kerberos, plus performant que jamais". Kerberos va devenir moins contraignant, en fait. Concrètement, Microsoft a dévoilé deux nouveautés :
A. IAKerb
IAKerb, une extension publique au protocole Kerberos, va permettre de s'authentifier en Kerberos sans avoir un accès direct au contrôleur de domaine (DC), grâce à un serveur qui servira de relais pour l'authentification, et qui lui, pourra communiquer avec le DC. Forcément, on peut s'inquiéter quant au fait de pouvoir utiliser un relais pour l'authentification, mais Microsoft se veut rassurant : "IAKerb s'appuie sur les garanties de sécurité cryptographique de Kerberos pour protéger les messages qui transitent par le serveur afin d'éviter les attaques par rejeu ou par relais."
Aujourd'hui, sans cette nouveauté, le client qui souhaite s'authentifier via Kerberos doit pouvoir contacter directement le contrôleur de domaine Active Directory pour s'authentifier (KDC). Ce changement est important pour les infrastructures étendues avec de nombreux réseaux.
B. Local KDC for Kerberos
Pour fonctionner, le protocole Kerberos s'appuie sur le composant KDC (Key Distribution Center) , ou centre de distribution de clés en français, qui est un élément central dans le fonctionnement de ce protocole, notamment parce qu'il vérifie l'identifié des utilisateurs. En environnement Active Directory, c'est le contrôleur de domaine qui joue le rôle de KDC.
Ce qui signifie que pour s'authentifier en local sur une machine Windows (ou à distance via RDP en utilisant un compte local, par exemple), nous ne pouvons pas utiliser Kerberos, car la machine locale n'a pas de KDC. Enfin, ceci va changer, car Microsoft va introduire "Local KDC for Kerberos" qui va venir s'ajouter en surcouche au niveau de la base SAM afin que l'authentification sur une machine puisse être réalisée via Kerberos, qu'il y ait ou non un contrôleur de domaine.
Pour maintenir la compatibilité existante, NTLM restera disponible, mais Microsoft va faire évoluer Windows pour que Kerberos soit utilisé en priorité et qu'il soit retenu pour l'authentification dans une majorité de scénarios.
Préparez-vous à la disparition de NTLM
Pour vous permettre de mieux détecter les applications et services qui font appel au protocole NTLM, Microsoft va améliorer les événements générés par ce type d'authentification : "Nous ajoutons des informations sur les services à ces journaux afin d'indiquer plus clairement quelles applications utilisent NTLM.". L'administrateur aura également plus de souplesse pour créer des exceptions.
Progressivement, Microsoft va se diriger vers la désactivation complète de NTLM au profit de Kerberos, et Windows 11 devrait être le premier système à acter cette décision dans les faits : "La réduction de l'utilisation de NTLM aboutira finalement à sa désactivation dans Windows 11."
Le 24 octobre 2023 à 17:00 heure française, Microsoft organisera un webinar consacré à ce sujet ! Vous pouvez vous inscrire en suivant ce lien.
Pour ceux qui s'intéressent au sujet, vous pouvez lire mon tutoriel sur la désactivation du protocole NTLM en environnement Active Directory :
Merci Florian. Toujours des infos pertinentes et up-to-date. Bravo !