« Active Directory Securisation » : différence entre les versions
Aller à la navigation
Aller à la recherche
Aucun résumé des modifications |
|||
Ligne 1 : | Ligne 1 : | ||
== Blindage Kerberos == | == Blindage Kerberos == | ||
Le blindage Kerberos sécurise la transaction avec les informations du compte d’ordinateur. Sa mise en œuvre est opérée sur plusieurs niveaux : | Le '''blindage Kerberos''' sécurise la transaction avec les informations du compte d’ordinateur. Sa mise en œuvre est opérée sur plusieurs niveaux : | ||
* Au niveau des contrôleurs de domaine selon deux modes appelés hybride ou forcé (cf. 3.3). | * Au niveau des contrôleurs de domaine selon deux modes appelés hybride ou forcé (cf. 3.3). | ||
* Au niveau du silo d’authentification (c.f. 3.4). | * Au niveau du silo d’authentification (c.f. 3.4). | ||
Ligne 15 : | Ligne 15 : | ||
=== Prérequis === | === Prérequis === | ||
Ce paramètre est compatible avec les systèmes d’exploitation à partir de Windows Server 2012, Windows 8 ou Windows RT. Le mode forcé n’est en revanche pas compatible avec les environnement Windows 7 et Windows serveur 2008 et antérieur. | Ce paramètre est compatible avec les systèmes d’exploitation à partir de '''Windows Server 2012''', '''Windows 8''' ou '''Windows RT'''. Le '''mode forcé''' n’est en revanche pas compatible avec les environnement '''Windows 7''' et '''Windows serveur 2008''' et antérieur. | ||
=== Application par GPO au niveau des clients === | === Application par GPO au niveau des clients === | ||
* Ouvrir la console Gestion des stratégies de groupe avec un compte | * Ouvrir la console '''Gestion des stratégies de groupe''' avec un compte de privilèges '''Administrateurs du domaine'''. | ||
* Créer / Modifier la GPO nommée O_WINDOWS_KEBEROSARMORING puis renseigner les paramètres suivants : | * Créer / Modifier la GPO nommée '''O_WINDOWS_KEBEROSARMORING''' puis renseigner les paramètres suivants : | ||
[[Image:KERBEROSARMORING_AD]] | [[Image:KERBEROSARMORING_AD.png]] | ||
* Lier la GPO O_WINDOWS_KEBEROSARMORING à l’Unité d’Organisation | * Lier la GPO '''O_WINDOWS_KEBEROSARMORING''' à l’Unité d’Organisation racine du domaine. |
Version du 5 juillet 2024 à 09:11
Blindage Kerberos
Le blindage Kerberos sécurise la transaction avec les informations du compte d’ordinateur. Sa mise en œuvre est opérée sur plusieurs niveaux :
- Au niveau des contrôleurs de domaine selon deux modes appelés hybride ou forcé (cf. 3.3).
- Au niveau du silo d’authentification (c.f. 3.4).
La préauthentification permet de s'assurer que l'utilisateur connaît un de ses secrets d'authentification lors d'une demande de TGT (ticket Kerberos obtenu auprès d'un contrôleur de domaine). Sans préauthentification il est possible d'obtenir un ticket chiffré avec un des secrets associés au compte correspondant. Il est ensuite possible de lancer une attaque afin de retrouver le mot de passe de l'utilisateur, ce qui peut être facilité s'il n'est pas assez robuste. La propriété DONT_REQUIRE_PREAUTH doit être supprimée pour ces comptes et le mot de passe doit être changé. Par défaut, tous les comptes utilisateur imposent la préauthentification car la propriété DONT_REQUIRE_PREAUTH n'est pas positionnée. Cette propriété ne doit jamais être positionnée pour les comptes privilégiés du domaine. En cas d'incompatibilité avec une application, celle-ci doit faire l'objet d'une évolution applicative. Source : ANSSI / ORADAD vulnérabilité vuln_kerberos_properties_preauth_priv https://www.cert.ssi.gouv.fr/uploads/ad_checklist.html
Prérequis
Ce paramètre est compatible avec les systèmes d’exploitation à partir de Windows Server 2012, Windows 8 ou Windows RT. Le mode forcé n’est en revanche pas compatible avec les environnement Windows 7 et Windows serveur 2008 et antérieur.
Application par GPO au niveau des clients
- Ouvrir la console Gestion des stratégies de groupe avec un compte de privilèges Administrateurs du domaine.
- Créer / Modifier la GPO nommée O_WINDOWS_KEBEROSARMORING puis renseigner les paramètres suivants :
Fichier:KERBEROSARMORING AD.png
- Lier la GPO O_WINDOWS_KEBEROSARMORING à l’Unité d’Organisation racine du domaine.