Comment désactiver NTLMv1 et v2 dans Active Directory et activer Kerberos complet
Désactiver les protocoles NTLM peut sembler fastidieux, mais c’est indispensable pour renforcer la sécurité. Il s’agit toutefois d’un exercice d’équilibriste, car de nombreux systèmes anciens, voire certains appareils, persistent à utiliser NTLM. De plus, Windows a tendance à compliquer inutilement la désactivation complète de NTLM, ce qui peut parfois nécessiter plusieurs étapes. Ce guide devrait vous permettre de comprendre comment identifier les éléments utilisant NTLM, comment configurer les stratégies pour basculer vers Kerberos et à quoi faire attention. Après la désactivation de NTLM, certains éléments anciens risquent de cesser de fonctionner, mais en principe, quelques ajustements de configuration suffisent pour une transition en douceur. Sur certaines configurations, vous pouvez désactiver complètement NTLMv1, puis restreindre NTLMv2, et enfin imposer l’utilisation de Kerberos. Notez que certaines applications ou certains appareils peuvent nécessiter des mises à jour ou des exceptions s’ils refusent d’utiliser Kerberos. Au final, ce processus devrait permettre de créer un environnement plus sûr, surtout si vous êtes au courant des vulnérabilités NTLM depuis un certain temps.
Comment corriger l’utilisation de NTLM dans votre domaine
Auditez NTLM et découvrez qui l’utilise encore.
Avant toute chose, il est essentiel de vérifier quels périphériques utilisent encore NTLM. En effet, certaines imprimantes anciennes, d’anciens scanners réseau ou certains NAS envoient probablement des réponses NTLM sans le savoir. L’objectif : identifier ces périphériques et les mettre à jour ou les reconfigurer. Pour démarrer l’audit, vous devez activer la journalisation NTLM sur tous les ordinateurs du domaine via une stratégie de groupe (GPO).Accédez à Stratégie des contrôleurs de domaine par défaut, puis naviguez jusqu’à : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité. Recherchez Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine et définissez-la sur Activer l’audit de tout le trafic NTLM. Les événements seront alors consignés dans l’Observateur d’événements.
Confinement total et confirmation du bon fonctionnement de Kerberos
Les membres du groupe Utilisateurs protégés s’authentifieront uniquement via Kerberos. L’ajout d’utilisateurs à ce groupe permet de vérifier le bon fonctionnement de Kerberos : s’ils continuent de fonctionner après la désactivation de NTLM, la mission est accomplie. Une fois les stratégies en place, surveillez vos journaux d’événements pour les ID d’événement 6038 (utilisation de NTLM détectée) et 4771 (échecs de pré-authentification Kerberos) afin de détecter tout problème ou erreur de configuration. Parfois, la désactivation de NTLM entraîne le verrouillage de comptes utilisateurs ou des problèmes de connexion sur certaines machines, en particulier si des applications ou des machines utilisent NTLM par défaut. Surveillez attentivement l’ID d’événement 4776 pour les nouvelles tentatives NTLM, mais vérifiez également la commande klist sessions dans PowerShell pour vous assurer que les tickets Kerberos sont émis comme prévu. Si des problèmes surviennent, il est probable qu’une application ancienne refuse d’utiliser Kerberos ou ne dispose pas des SPN correctement configurés. Il s’agit alors de mettre à jour ou de reconfigurer ces applications.
Conclure
Supprimer complètement NTLM est ambitieux, mais représente un grand pas vers un réseau plus sûr. En général, identifier les éléments à l’origine du problème, configurer les stratégies de groupe pour privilégier Kerberos, puis effectuer des tests approfondis, suffit. Notez que sur certains matériels anciens ou applications spécifiques, il peut être nécessaire de mettre en place quelques exceptions ; n’oubliez pas que ce sont des points faibles. Une fois la configuration terminée, surveillez les journaux d’événements pour vous assurer que NTLM ne réapparaît pas. La patience est essentielle, surtout avec les systèmes anciens. Mais si cela permet de protéger votre domaine contre des attaques Pass-the-Hash ou des vols d’identifiants, l’effort en vaut la peine.
Résumé
- Activez la journalisation d’audit NTLM pour identifier les utilisateurs qui utilisent encore NTLM.
- Configurez les stratégies de groupe pour privilégier NTLMv2 et désactiver NTLMv1.
- Mettez à jour les paramètres du registre pour un contrôle plus strict.
- N’ajoutez des cas d’exception que si nécessaire (applications existantes).
- Vérifiez que Kerberos fonctionne correctement en consultant les tickets (`klist sessions`).
- Surveillez régulièrement les journaux d’événements pour l’utilisation de NTLM
- Réfléchissez attentivement aux applications critiques qui ne peuvent pas basculer et définissez les exceptions avec soin.
Dernière remarque
Adopter pleinement Kerberos peut s’avérer complexe, surtout dans des environnements hétérogènes, mais c’est une démarche judicieuse pour la sécurité. Il suffit de surveiller les utilisateurs qui ont encore besoin de NTLM et de ne pas s’étonner si des mises à jour ou des ajustements de configuration sont nécessaires. Parfois, le matériel ou les logiciels anciens constituent de véritables obstacles ; néanmoins, l’effort en vaut la peine si la sécurité est primordiale. Espérons que cela permettra à certains de renforcer la sécurité de leur domaine sans tout compromettre.