Comment désactiver l’authentification NTLM dans un domaine Windows

Comment désactiver NTLMv1 et v2 dans Active Directory et activer Kerberos complet

Désactiver les protocoles NTLM peut sembler fastidieux, mais c’est indispensable pour renforcer la sécurité. Il s’agit toutefois d’un exercice d’équilibriste, car de nombreux systèmes anciens, voire certains appareils, persistent à utiliser NTLM. De plus, Windows a tendance à compliquer inutilement la désactivation complète de NTLM, ce qui peut parfois nécessiter plusieurs étapes. Ce guide devrait vous permettre de comprendre comment identifier les éléments utilisant NTLM, comment configurer les stratégies pour basculer vers Kerberos et à quoi faire attention. Après la désactivation de NTLM, certains éléments anciens risquent de cesser de fonctionner, mais en principe, quelques ajustements de configuration suffisent pour une transition en douceur. Sur certaines configurations, vous pouvez désactiver complètement NTLMv1, puis restreindre NTLMv2, et enfin imposer l’utilisation de Kerberos. Notez que certaines applications ou certains appareils peuvent nécessiter des mises à jour ou des exceptions s’ils refusent d’utiliser Kerberos. Au final, ce processus devrait permettre de créer un environnement plus sûr, surtout si vous êtes au courant des vulnérabilités NTLM depuis un certain temps.

Comment corriger l’utilisation de NTLM dans votre domaine

Auditez NTLM et découvrez qui l’utilise encore.

Avant toute chose, il est essentiel de vérifier quels périphériques utilisent encore NTLM. En effet, certaines imprimantes anciennes, d’anciens scanners réseau ou certains NAS envoient probablement des réponses NTLM sans le savoir. L’objectif : identifier ces périphériques et les mettre à jour ou les reconfigurer. Pour démarrer l’audit, vous devez activer la journalisation NTLM sur tous les ordinateurs du domaine via une stratégie de groupe (GPO).Accédez à Stratégie des contrôleurs de domaine par défaut, puis naviguez jusqu’à : Configuration ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité. Recherchez Sécurité réseau : Restreindre NTLM : Auditer l’authentification NTLM dans ce domaine et définissez-la sur Activer l’audit de tout le trafic NTLM. Les événements seront alors consignés dans l’Observateur d’événements.Passage à Kerberos et sécurisation de NTLM Une fois que vous savez qui utilise encore NTLM, l’étape suivante consiste à forcer le passage par Kerberos, en bloquant d’abord NTLMv1, puis NTLMv2. Vous devrez configurer les stratégies de mot de passe et les GPO comme suit : Ouvrez gpmc.msc, puis modifiez la Stratégie des contrôleurs de domaine par défaut. Sous : Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité, recherchez et configurez : Sécurité réseau : Niveau d’authentification LAN Manager. Vous y trouverez des options telles que : – Envoyer les réponses LM et NTLM – Envoyer uniquement la réponse NTLMv2 – Envoyer uniquement la réponse NTLMv2. Refuser LM – Envoyer uniquement la réponse NTLMv2. Refuser LM et NTLM. Sélectionnez « Envoyer uniquement la réponse NTLMv2. Refuser LM et NTLM » (option 6).Cela indique à toutes vos machines Windows d’utiliser *uniquement* la méthode NTLMv2, la plus sécurisée, et de rejeter tous les protocoles plus anciens et moins robustes. Pour un contrôle encore plus strict, vous pouvez modifier le registre : saisissez HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa et créez une valeur DWORD nommée `LmCompatibilityLevel`, en la définissant sur 5 pour l’option la plus sécurisée : « Envoyer uniquement la réponse NTLMv2. Refuser LM et NTLM ». Assurez-vous également que les stratégies telles que « Sécurité réseau : Ne pas stocker la valeur de hachage LAN Manager lors du prochain changement de mot de passe » sont activées afin d’empêcher la création de hachages LM. Si vous souhaitez que certains serveurs nécessitent encore NTLM, vous pouvez les ajouter à une liste d’exceptions via : Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur pour l’authentification NTLM dans ce domaine. Saisissez les noms ou adresses IP des serveurs pour lesquels NTLM peut encore être nécessaire, l’objectif étant de réduire cette liste aux seuls serveurs essentiels. Et si vous utilisez une passerelle Bureau à distance ? Assurez-vous également de bloquer NTLMv1 en ajoutant la clé de registre suivante : `bash REG add « HKLM\Software\Microsoft\Windows NT\CurrentVersion\TerminalServerGateway\Config\Core » /v EnforceChannelBinding /t REG_DWORD /d 1 /f`.Enfin, vous pouvez restreindre complètement l’authentification NTLM sur votre domaine en configurant « Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine » sur Tout refuser. Attention : cette opération peut entraîner des dysfonctionnements, notamment pour les applications plus anciennes ou certains services hérités. Il est toujours recommandé de faire des tests au préalable.

Confinement total et confirmation du bon fonctionnement de Kerberos

Les membres du groupe Utilisateurs protégés s’authentifieront uniquement via Kerberos. L’ajout d’utilisateurs à ce groupe permet de vérifier le bon fonctionnement de Kerberos : s’ils continuent de fonctionner après la désactivation de NTLM, la mission est accomplie. Une fois les stratégies en place, surveillez vos journaux d’événements pour les ID d’événement 6038 (utilisation de NTLM détectée) et 4771 (échecs de pré-authentification Kerberos) afin de détecter tout problème ou erreur de configuration. Parfois, la désactivation de NTLM entraîne le verrouillage de comptes utilisateurs ou des problèmes de connexion sur certaines machines, en particulier si des applications ou des machines utilisent NTLM par défaut. Surveillez attentivement l’ID d’événement 4776 pour les nouvelles tentatives NTLM, mais vérifiez également la commande klist sessions dans PowerShell pour vous assurer que les tickets Kerberos sont émis comme prévu. Si des problèmes surviennent, il est probable qu’une application ancienne refuse d’utiliser Kerberos ou ne dispose pas des SPN correctement configurés. Il s’agit alors de mettre à jour ou de reconfigurer ces applications.

Conclure

Supprimer complètement NTLM est ambitieux, mais représente un grand pas vers un réseau plus sûr. En général, identifier les éléments à l’origine du problème, configurer les stratégies de groupe pour privilégier Kerberos, puis effectuer des tests approfondis, suffit. Notez que sur certains matériels anciens ou applications spécifiques, il peut être nécessaire de mettre en place quelques exceptions ; n’oubliez pas que ce sont des points faibles. Une fois la configuration terminée, surveillez les journaux d’événements pour vous assurer que NTLM ne réapparaît pas. La patience est essentielle, surtout avec les systèmes anciens. Mais si cela permet de protéger votre domaine contre des attaques Pass-the-Hash ou des vols d’identifiants, l’effort en vaut la peine.

Résumé

  • Activez la journalisation d’audit NTLM pour identifier les utilisateurs qui utilisent encore NTLM.
  • Configurez les stratégies de groupe pour privilégier NTLMv2 et désactiver NTLMv1.
  • Mettez à jour les paramètres du registre pour un contrôle plus strict.
  • N’ajoutez des cas d’exception que si nécessaire (applications existantes).
  • Vérifiez que Kerberos fonctionne correctement en consultant les tickets (`klist sessions`).
  • Surveillez régulièrement les journaux d’événements pour l’utilisation de NTLM
  • Réfléchissez attentivement aux applications critiques qui ne peuvent pas basculer et définissez les exceptions avec soin.

Dernière remarque

Adopter pleinement Kerberos peut s’avérer complexe, surtout dans des environnements hétérogènes, mais c’est une démarche judicieuse pour la sécurité. Il suffit de surveiller les utilisateurs qui ont encore besoin de NTLM et de ne pas s’étonner si des mises à jour ou des ajustements de configuration sont nécessaires. Parfois, le matériel ou les logiciels anciens constituent de véritables obstacles ; néanmoins, l’effort en vaut la peine si la sécurité est primordiale. Espérons que cela permettra à certains de renforcer la sécurité de leur domaine sans tout compromettre.