Blog

Active Directory : Quels protocols pour quels risques ?

Pour que les entreprises puissent maintenir la sécurité et réduire leur exposition aux menaces, il est essentiel de comprendre les vulnérabilités et les défis des protocoles d'authentification Windows. Par exemple, les défauts inhérents aux protocoles LM et NTLM les rendent sensibles aux attaques simples. Il est important pour les entreprises de développer une stratégie pour restreindre (ou même supprimer) l'utilisation de LM et NTLM, et de s'appuyer sur de meilleurs protocoles tels que Kerberos pour limiter les risques de sécurité. Dans ce blog, nous examinerons différents protocoles d'authentification, notamment LM, NTLM, NTLMv2 et Kerberos.

Les protocoles d'authentification Windows Active Directory (AD) authentifient les utilisateurs, les ordinateurs et les services dans l'AD et permettent aux utilisateurs et services autorisés d'accéder aux ressources en toute sécurité.

LM est l'un des plus anciens protocoles d'authentification utilisés par Microsoft. Cependant, ses hashes étaient relativement faciles à casser. En capturant les hachages et en les piratant pour obtenir des informations d'identification de compte, les attaquants pourraient facilement s'authentifier sur d'autres systèmes du réseau. NTLM, qui a succédé à LM, est un protocole d'authentification chiffré basé sur les challenges/réponses utilisé pour les connexions réseau par les terminaux clients, mais il est toujours facile à pirater. NTLMv2 représentait une amélioration significative par rapport à NTLM en termes de mécanismes d'authentification et de sécurité des sessions. Il a amélioré la sécurité de NTLM en ajoutant la possibilité pour un serveur de s'authentifier auprès d'un client.

L'authentification Kerberos est une amélioration considérable par rapport aux technologies précédentes. Kerberos fournit l'authentification d'identité en échangeant des messages entre le client, le serveur d'authentification et le serveur d'application. Par rapport à NTLMv2, l'utilisation par Kerberos d'une cryptographie forte et de l'autorisation de tickets par des tiers rend l'infiltration du réseau beaucoup plus difficile pour les cybercriminels, offrant une couche de sécurité supplémentaire.

Le tableau ci-dessous compare NTLM, NTLMv2 et Kerberos.

Protocol

NTLM

NTLMv2

Kerberos

Technique cryptographique

Cryptographie à clé symétrique

Cryptographie à clé symétrique

Cryptographie à clé symétrique,

Cryptographie asymmétrique

Niveau de sécurité

Faible

Intermédiaire

Haut

Type de message

Nombre aléatoire

Hash MD4, nombre aléatoire

Ticket chiffré utilisant DES, MD5

Tiers de confiance

Domain controller

Domain controller

Domain controller, centre de distribution clé

Kerberos et NTLMv2 sont nécessaires pour l'authentification dans l'AD, et fonctionnent clairement à des niveaux de sécurité plus élevés que LM et NTLM, qui présentent des risques importants de cybersécurité pour les entreprises. Dans le prochain blog, nous verrons comment vous pouvez protéger votre entreprise contre les attaques NTLM.


Article original de Anjali George, Analyste marketing, ManageEngine