I. Présentation

Dans ce tutoriel, nous allons apprendre à désactiver le protocole NTLM sur un domaine Active Directory car il est obsolète et représente un risque en termes de sécurité. Mais avant cela, il me semble important de vous parler du protocole d'authentification NTLM en lui-même afin d'évoquer quels sont les risques d'utiliser le protocole NTLM en production...

Nous verrons également que c'est périlleux et déconseillé de désactiver le protocole NTLM du jour au lendemain, car en fonction des systèmes, des applications et du matériel que vous utilisez, il pourrait y avoir un impact sur le bon fonctionnement de votre système d'information. C'est pour cela qu'il faut y aller par étape.

II. Le protocole NTLM

A. Qu'est-ce que le protocole NTLM ?

NTLM pour (Windows) NT LAN Manager est un protocole d'authentification utilisé par les systèmes d'exploitation Windows, que l'on rencontre sur les environnements Active Directory bien qu'il agisse aussi en mode "Groupe de travail" pour l'authentification entre deux machines.

NTLM est principalement utilisé en entreprise pour permettre aux utilisateurs d'accéder à des ressources partagées sur un réseau, telles que des fichiers ou des imprimantes, en réalisant l'authentification auprès du contrôleur de domaine Active Directory. En complément, il est utilisé par certains périphériques et applications, toujours pour la partie authentification.

Bien que NTLM soit encore largement utilisé dans les environnements Windows, il a été remplacé par des protocoles de sécurité plus modernes, tels que Kerberos, dans les dernières versions de Windows. Puisque Kerberos est là, on peut, en théorie, désactiver NTLM.

B. Les faiblesses du protocole NTLM

Le protocole NTLM contient de nombreuses faiblesses qui le rendent vulnérable à des attaques. Certains outils comme Mimikatz représentent le cauchemar d'une infrastructure où le protocole NTLM est actif...

L'algorithme de chiffrement utilisé par NTLMv1 est faible, ce qui le rend vulnérable, et en plus, le hash d'un mot de passe peut être extrait de la mémoire du service LSA sur une machine Windows. Ensuite, ce hash peut être réutilisé au sein d'attaques afin de s'authentifier.

On peut citer les attaques de type "NTLM Pass-the-Hash" et "NTLM Relay" lorsque l'on évoque l'authentification NTLM. Même si NTLMv2 améliore la sécurité du protocole NTLM en lui-même et qu'il permet de se protéger contre certaines attaques, ce n'est pas suffisant !

Pour en savoir plus sur les attaques de type "NTLM Relay", je vous recommande la lecture de cet article.

C. Pourquoi est-il encore utilisé ?

Si l'on sait que le protocole NTLM n'est pas suffisamment sécurité et qu'il n'est pas recommandé, pourquoi continue-t-on de l'utiliser dans certaines entreprises ? On peut dire que c'est comme avec le protocole SMBv1 : c'est à cause des applications et du matériel vieillissants.

Si une application ou un périphérique que vous utilisez ne prend pas en charge une méthode d'authentification plus moderne et sécurisée (Kerberos), mais qu'elle repose sur le NTLM, vous pouvez être contraint d'autoriser NTLM (ou de remplacer l'élément bloquant, mais c'est facile à dire). Autrement dit, NTLM reste utilisé pour des raisons de compatibilité entre des clients et des serveurs.

III. Désactiver - progressivement - le protocole NTLM

Nous n'allons pas désactiver brutalement le protocole NTLM sur l'ensemble du domaine Active Directory : c'est trop risqué en production et vous risquez d'avoir de mauvaises surprises... Abandonner NTLM, ça se planifie et ça implique de procéder progressivement. Nous allons plutôt adopter la méthodologie suivante :

• Activer l'audit pour collecter les demandes d'authentification basée sur le protocole NTLM
• Désactiver le protocole NTLMv1
• Configurer des exceptions pour autoriser certaines machines à utiliser NTLM
• Désactiver le protocole NTLMv2

Prêt ? Alors, c'est parti !

A. Audit NTLM

Tout d'abord, nous allons créer la GPO "Sécurité - NTLM - Audit" afin de configurer le paramètre "Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine" situé à cet emplacement dans la liste des paramètres :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

Nous allons cocher la case "Définir ce paramètre de stratégie" et choisir "Activer tout" dans la liste.

Ensuite, lorsque cette GPO sera activée sur les contrôleurs de domaine, nous pourrons constater la présence de différents événements. De manière générale, dans le journal "Sécurité" de Windows, chaque ouverture de session génère un événement avec l'ID 4624. Le problème, c'est que l'ID est le même pour Kerberos, NTLM, etc... Donc ce n'est pas facile de s'y retrouver. Voici un exemple où l'on voit clairement un événement lié à NTLM :

Toutefois, Windows intègre un journal spécifique à NTLM que l'on peut retrouver dans :

Journaux des applications et des services > Microsoft > Windows > NTLM

Ici, on retrouve les événements propres à NTLM comme cette ouverture de session sur un serveur IIS sur lequel l'authentification NTLM est configurée.

Ce journal d'événements peut contenir des événements avec d'autres ID comme le montrent les deux commandes ci-dessous.

(Get-WinEvent -ListProvider Microsoft-Windows-NTLM).Events | Select Id, Description
(Get-WinEvent -ListProvider Microsoft-Windows-NTLM).Events | Select Id,Description | ft -Wrap

En analysant ces journaux, vous pourrez identifier les machines qui émettent des requêtes d'authentification NTLM et auxquelles il faut s'intéresser avant de désactiver NTLM...

B. Désactiver le protocole NTLMv1

Maintenant, nous allons désactiver le protocole NTLMv1 qui représente un vrai risque en matière de sécurité. Même si NTLMv2 ce n'est pas l'idéal, c'est toujours un peu mieux... Et toujours dans l'idée de procéder étape par étape, on va forcer les contrôleurs de domaine à répondre en NTLMv2 s'ils sont sollicités via ce protocole d'authentification.

Nous allons éditer la GPO "Sécurité - NTLM - Forcer NTLMv2" et parcourir les paramètres de cette façon :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

Ici, il faut modifier le paramètre "Sécurité réseau : niveau d'authentification LAN Manager".

Ce paramètre doit être défini donc on coche la case "Définir ce paramètre de stratégie" avant de choisir la valeur "Envoyer uniquement les réponses NTLM v.2". Validez.

Un message d'avertissement va apparaître, cliquez sur "Oui" pour valider.

La GPO est prête, il ne reste plus qu'à l'appliquer la GPO aux contrôleurs de domaine grâce à une liaison sur l'OU "Domain Controllers" de l'annuaire Active Directory.

C. Ajouter des exceptions

Si vous savez que vos serveurs applicatifs s'appuient sur NTLM et qu'il n'est pas possible de faire autrement pour le moment, vous avez la possibilité d'ajouter des exceptions pour les autoriser à travailler avec NTLM. Suite à l'audit mis en place précédemment, il sera plus facile d'identifier "les machines à problèmes".

Nous allons créer une GPO nommée "Sécurité - NTLM - Désactiver NTLM" dans laquelle on va déclarer nos exceptions et désactiver NTLM pour les autres machines. Le paramètre se situe au même endroit que précédemment, à savoir :

Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité

Pour configurer ce paramètre, nous allons cocher l'option "Définir ce paramètre de stratégie dans le modèle" et indiquer le(s) hôte(s) à autoriser. Il est possible d'utiliser l'astérisque, comme sur l'écran ci-dessous. Microsoft précise : "Le format de nom des serveurs indiqués dans cette liste d’exceptions correspond au nom de domaine complet (FQDN) ou au nom de serveur NetBIOS utilisé par l’application appelante, chacun étant répertorié sur une ligne. Un seul astérisque (*) peut être utilisé au début ou à la fin de la chaîne en tant que caractère générique."

Validez, c'est bon pour ce paramètre de GPO.

D. Désactiver NTLMv1 et NTLMv2

Toujours dans la GPO "Sécurité - NTLM - Désactiver NTLM", nous allons configurer un second paramètre situé au même endroit. Ce paramètre s'appelle "Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine".

Nous allons cocher la case "Définir ce paramètre de stratégie" et choisir l'état "Refuser tout" pour désactiver l'authentification NTLM dans le domaine Active Directory ! Il y a également d'autres modes, plus ou moins restrictifs. Attention, ne sélectionnez pas la valeur "Désactiver" sinon cela revient à autoriser NTLM.

Il ne reste plus qu'à appliquer la GPO sur le domaine. Ensuite, le journal NTLM du serveur sera alimenté par un événement avec l'ID 4004 de la catégorie "Blocage NTLM" lorsqu'il y aura une tentative d'authentification via NTLM :

IV. Conclusion

Suite à la lecture de cet article, vous disposez d'une bonne base d'information pour tenter de vous débarrasser de NTLM au sein de votre infrastructure Active Directory ! Il ne vous reste plus qu'à adapter ces paramètres à votre environnement et à faire vos tests.

Il est à noter que le groupe de sécurité "Protected Users", intégré à l'Active Directory depuis Windows Server 2012 R2, est recommandé pour protéger les comptes sensibles. Ce qui est intéressant par rapport au sujet évoqué dans cet article, c'est que tous les membres de ce groupe sont obligés d'utiliser l'authentification Kerberos. C'est un bon moyen de faire des tests avant de bloquer NTLM.

L'authentification Kerberos implique que pour se connecter à un serveur, en RDP par exemple, vous devez utiliser le nom DNS de la machine. Par extension, ce sera le cas dans vos applications. Si vous le faites déjà, c'est très bien, mais si vous utilisez l'adresse IP, il va falloir revoir vos habitudes. D'ailleurs, vous pourrez constater que ceci s'applique aux membres du groupe "Protected Users" : logique.

L'article Comment désactiver le protocole NTLM dans un domaine Active Directory ? est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à configurer l'authentification NTLM sur un serveur Web IIS, pour qu'une fenêtre de connexion s'affiche lorsque l'on tente d'accéder à une page Web. Pour accéder au site Web protégé par une authentification, il sera nécessaire d'utiliser un compte autorisé, en l'occurrence ici un compte de l'Active Directory (mais il peut s'agir d'un compte local sur le serveur Web).

Ce tutoriel est là avant tout à des fins éducatives et de tests (et pour accompagner mon article qui sera mis en ligne demain), car il est recommandé de ne pas utiliser l'authentification NTLM puisqu'elle est vulnérable à différents types d'attaques. Préférez l'utilisation de l'authentification Kerberos. Pour cette démo, j'utilise un serveur IIS sous Windows Server 2022 mais vous pouvez utiliser une autre version.

• Comment installer IIS sur Windows Server 2022 ?

II. Ajouter l'authentification Windows à IIS

Tout d'abord, il faut ajouter la fonctionnalité "Authentification Windows" au serveur IIS. Pour cela, vous pouvez utiliser PowerShell ou le gestionnaire de serveur en cochant la fonctionnalité "Authentification Windows" à l'emplacement suivant : Serveur Web (IIS) > Serveur Web > Sécurité. Comme ceci :

Quelques secondes plus tard, la fonctionnalité sera installée et elle sera disponible dans la console IIS.

III. Configurer l'authentification dans IIS

Ouvrez la console IIS et sélectionnez le site ou le dossier sur lequel vous désirez activer l'authentification. En effet, l'authentification peut être activée par site ou par dossier. À droite, double cliquez sur "Authentification".

Ici, vous avez une liste... Effectuez un clic droit sur "Authentification Windows" et cliquez sur "Activer" car par défaut, c'est désactivé.

Tout à droite, vous pouvez cliquer sur "Fournisseurs" pour voir la liste des fournisseurs d'authentification disponibles. Dans cette liste, "Negotiate" et "NTLM" : "Negotiate" fait référence à Kerberos (même s'il y a aussi Negotiate:Kerberos). Pour vos tests sur NTLM, vous pouvez positionner NTLM en premier.

Enfin, il ne reste plus qu'à effectuer une connexion sur le site Web, à partir de l'adresse IP ou du nom du serveur. La mire d'authentification va apparaître, comme sur l'image ci-dessous.

Si l'authentification réussie, le site Web va s'afficher ! Sinon, l'erreur "Erreur HTTP 401.2 - Unauthorized" s'affichera dans le navigateur ! Ainsi, l'accès au site Web est protégé.

Maintenant que l'authentification NTLM fonctionne, faites vos tests et pensez à basculer sur l'authentification Kerberos si cette configuration doit être utilisée en production !

Pour utiliser Kerberos, indiquez uniquement "Negotiate" dans la liste des fournisseurs et accédez à votre site Web via le nom de votre serveur Web (par exemple : http://serveur-web.it-connect.local) car avec l'adresse IP, l'authentification échouera. Si vous avez besoin d'approfondir le sujet sur l'authentification Kerberos, vous pouvez consulter ce lien.

L'article Comment configurer l’authentification NTLM sur un serveur IIS ? est disponible sur IT-Connect : IT-Connect.

Face à la montée en puissance de ChatGPT et l'intérêt des utilisateurs pour cet outil, Google ne compte pas se laisser faire ! ChatGPT a désormais un nouveau concurrent qui vient d'être révélé par Google, et il ne se nomme Bard !

Bard, c'est le nom du nouveau chatbot conversationnel dévoilé par Sunder Pichai, le CEO de Google, au sein d'un communiqué officiel disponible à cette adresse.

Alors bien sûr, Google n'a pas créé cet outil à la va-vite : des travaux sont en cours depuis plusieurs années, et désormais, celui que l'on appelle Bard, est accessible à quelques utilisateurs avant d'être accessible au public dans les semaines à venir !

Sunder Pichai affirme : "Nous avons travaillé sur un service expérimental d'IA conversationnelle, alimenté par LaMDA, que nous avons appelé Bard. Aujourd'hui, nous franchissons une nouvelle étape en l'ouvrant à des testeurs de confiance avant de le rendre plus largement disponible au public dans les semaines à venir."

L'objectif de Google n'est pas de reproduire ce que sait déjà faire le moteur de recherche Google au travers d'une nouvelle interface, mais d'aller plus loin. Ainsi, Sunder Pichai précise que Bard sera capable de répondre à des questions simples, comme le fait le moteur de recherche, mais qu'il pourra traiter aussi des demandes plus complexes.

Il cite des exemples : "Bard peut être un exutoire pour la créativité et une rampe de lancement pour la curiosité, vous permettant d'expliquer les nouvelles découvertes du télescope spatial James Webb de la NASA à un enfant de 9 ans, ou d'en savoir plus sur les meilleurs attaquants de football du moment, puis d'obtenir des exercices pour développer vos compétences."

Au sein d'une animation diffusée par Google, on constate que la réponse retournée par Bard peut être évaluée, de façon positive ou négative. On remarque aussi la présence d'un bouton nommé "Check it".

Pendant ce temps, Microsoft s'apprête à organiser un événement au sujet de l'intégration de ChatGPT à son moteur de recherche Bing... Quoi qu'il en soit, les moteurs de recherche s'orientent plus que jamais vers l'intelligence artificielle.

Source

L'article Google a révélé Bard, son concurrent de ChatGPT est disponible sur IT-Connect : IT-Connect.

Microsoft a mis en ligne un plugin officiel pour le boitier Elgato Stream Deck, ce qui permet d'effectuer des actions au sein de Teams d'un simple appui sur un bouton. Faisons le point sur cette nouveauté.

Le boitier Stream Deck de chez Elgato est très apprécié par les streamers, notamment pour être utilisé sur Twitch, car il permet de contrôler son installation à partir d'un clavier muni de boutons d'actions personnalisables. Compatible avec certains logiciels comme OBS, Spotify, Discord, YouTube, Zoom, etc... il existe différents plugins accessibles via un magasin en ligne officiel.

Désormais, une extension officielle Microsoft Teams est disponible pour le boitier Stream Deck. Comme le montre l'image ci-dessous, il devient possible d'envoyer un émoji, de gérer le micro, le flou de l'arrière-plan, ou encore la caméra, grâce à ce panneau de contrôle.

Lors d'une réunion ou d'un webinar, cela permet d'être plus réactif et plus concentré car ces actions sont à portée de main. Ce boitier n'est pas donné (149 euros) donc l'idée n'est pas d'équiper tous les utilisateurs, mais il peut s'avérer intéressant pour les personnes qui organisent beaucoup d'événements en ligne, ou pour équiper les salles de réunion.

Cette intégration est configurable à partir des paramètres du client Microsoft Teams. La vidéo ci-dessous, relayée sur le site de Microsoft, montre comment utiliser et configurer l'intégration Teams dans le deck de chez Elgato.

Que pensez-vous de cette intégration ?

Source

L'article Microsoft a mis en ligne un plugin Teams pour le Stream Deck d’Elgato est disponible sur IT-Connect : IT-Connect.

Il y a du changement du côté du gestionnaire de mots de passe Dashlane : le code source des applications mobiles pour Android et iOS est disponible dès à présent sur GitHub, sous licence Creative Commons Attribution-NonCommercial 4.0.

Dashlane est une gestionnaire de mots de passe accessible sous la forme d'un abonnement, que ce soit pour un usage personnel ou professionnel. D'ailleurs, il existe une version gratuite mais limitée : 1 seul appareil, avec un nombre illimité de mots de passe.

Dans le but d'être encore plus transparent avec ses utilisateurs, mais aussi de promouvoir une approche plus collaborative et ouverte pour le développement de sa solution, Dashlane a pris la décision de publier sur GitHub les codes sources de ses applications mobiles.

Dans le communiqué officiel de Dashlane, on peut lire : "Nous croyons également en un monde numérique plus ouvert dans lequel les développeurs peuvent facilement participer et se connecter les uns aux autres. C'est notre contribution à cette ambition et un pas de plus dans cette direction."

En mettant en ligne le code source, Dashlane espère également renforcer la sécurité de ses applications ! En effet, désormais les chercheurs en sécurité peuvent essayer de découvrir des vulnérabilités puisqu'ils ont accès au code source, ce qui permettra d'améliorer les applications Dashlane.

Il est important de préciser que Dashlane a un programme de Bug Bounty via HackerOne. Lorsqu'une vulnérabilité est reportée, et selon la criticité de celle-ci, vous pouvez gagner de 200 dollars à 5 000 dollars pour les failles critiques.

Par ailleurs, avant d'adopter la solution Dashlane, une entreprise est en mesure d'analyser et de réviser le code source des applications. Pour ceux qui veulent visualiser les codes sources, voici les liens :

• Dashlane - Application iOS
• Dashlane - Application Android

Dans un premier temps, Dashlane prévoit de mettre à jour le code source sur GitHub tous les trois mois, mais cela pourrait s'accélérer par la suite.

Source

L'article Dashlane a mis en ligne le code source de ses apps Android et iOS est disponible sur IT-Connect : IT-Connect.