16/12/2024

Actu CybersécuritéLogiciel - OS

Microsoft : Kerberos va évoluer pour préparer la désactivation de NTLM dans Windows 11

Microsoft s'attaque sérieusement au protocole NTLM afin que vous puissiez vous en débarrasser plus facilement, au profit de Kerberos. Voici les nouveautés prévues pour Kerberos !

Dans un environnement Active Directory, les protocoles NTLM et Kerberos peuvent être utilisés pour s'authentifier, que ce soit pour ouvrir une session, se connecter en Bureau à distance sur un serveur ou encore accéder à un partage via le protocole SMB. Néanmoins, le protocole NTLM est vulnérable à différentes attaques (la technique NTLM Relay est un excellent exemple) et il représente un point faible dans un domaine Active Directory, notamment parce que ses fonctions de chiffrement sont obsolètes et insuffisantes aujourd'hui.

Il est recommandé de s'orienter vers Kerberos et de désactiver NTLM, mais dans la pratique, ce n'est pas si simple de se débarrasser de NTLM. En effet, certaines applications et périphériques (type copieur, par exemple) peuvent supporter uniquement le protocole NTLM et ne pas prendre en charge Kerberos.

En juillet 2021, Microsoft avait ajouté un nouveau paramètre activable par clé de Registre afin de permettre l'authentification Kerberos via une adresse IPv4 ou IPv6, au lieu d'imposer le nom complet obligatoirement. Ceci permettait, en quelque sorte, de rapprocher le fonctionnement Kerberos de celui du protocole NTLM qui accepte les connexions par adresse IP sans broncher.

Dernièrement, Microsoft avait également annoncé sa volonté de vous permettre de désactiver NTLM pour l'accès aux partages SMB sous Windows 11. Désormais, la firme de Redmond veut aller plus loin.

Kerberos va évoluer !

Il y a quelques jours, Microsoft a mis en ligne un nouvel article intitulé "L'évolution de l'authentification Windows" qui dévoile des nouveautés pour Kerberos afin de rendre, je cite "Kerberos, plus performant que jamais". Kerberos va devenir moins contraignant, en fait. Concrètement, Microsoft a dévoilé deux nouveautés :

A. IAKerb

IAKerb, une extension publique au protocole Kerberos, va permettre de s'authentifier en Kerberos sans avoir un accès direct au contrôleur de domaine (DC), grâce à un serveur qui servira de relais pour l'authentification, et qui lui, pourra communiquer avec le DC. Forcément, on peut s'inquiéter quant au fait de pouvoir utiliser un relais pour l'authentification, mais Microsoft se veut rassurant : "IAKerb s'appuie sur les garanties de sécurité cryptographique de Kerberos pour protéger les messages qui transitent par le serveur afin d'éviter les attaques par rejeu ou par relais."

Aujourd'hui, sans cette nouveauté, le client qui souhaite s'authentifier via Kerberos doit pouvoir contacter directement le contrôleur de domaine Active Directory pour s'authentifier (KDC). Ce changement est important pour les infrastructures étendues avec de nombreux réseaux.

B. Local KDC for Kerberos

Pour fonctionner, le protocole Kerberos s'appuie sur le composant KDC (Key Distribution Center) , ou centre de distribution de clés en français, qui est un élément central dans le fonctionnement de ce protocole, notamment parce qu'il vérifie l'identifié des utilisateurs. En environnement Active Directory, c'est le contrôleur de domaine qui joue le rôle de KDC.

Ce qui signifie que pour s'authentifier en local sur une machine Windows (ou à distance via RDP en utilisant un compte local, par exemple), nous ne pouvons pas utiliser Kerberos, car la machine locale n'a pas de KDC. Enfin, ceci va changer, car Microsoft va introduire "Local KDC for Kerberos" qui va venir s'ajouter en surcouche au niveau de la base SAM afin que l'authentification sur une machine puisse être réalisée via Kerberos, qu'il y ait ou non un contrôleur de domaine.

Pour maintenir la compatibilité existante, NTLM restera disponible, mais Microsoft va faire évoluer Windows pour que Kerberos soit utilisé en priorité et qu'il soit retenu pour l'authentification dans une majorité de scénarios.

Préparez-vous à la disparition de NTLM

Pour vous permettre de mieux détecter les applications et services qui font appel au protocole NTLM, Microsoft va améliorer les événements générés par ce type d'authentification : "Nous ajoutons des informations sur les services à ces journaux afin d'indiquer plus clairement quelles applications utilisent NTLM.". L'administrateur aura également plus de souplesse pour créer des exceptions.

Progressivement, Microsoft va se diriger vers la désactivation complète de NTLM au profit de Kerberos, et Windows 11 devrait être le premier système à acter cette décision dans les faits : "La réduction de l'utilisation de NTLM aboutira finalement à sa désactivation dans Windows 11."

Le 24 octobre 2023 à 17:00 heure française, Microsoft organisera un webinar consacré à ce sujet ! Vous pouvez vous inscrire en suivant ce lien.

Pour ceux qui s'intéressent au sujet, vous pouvez lire mon tutoriel sur la désactivation du protocole NTLM en environnement Active Directory :

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Microsoft : Kerberos va évoluer pour préparer la désactivation de NTLM dans Windows 11

  • Merci Florian. Toujours des infos pertinentes et up-to-date. Bravo !

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.