En août 2020, Microsoft a publié un correctif pour une faille de sécurité critique dans Active Directory, connue sous le nom de CVE-2020-1472 ou Zerologon. Concrètement, si vos contrôleurs de domaine (DC) n’étaient pas à jour, des pirates pouvaient potentiellement élever leurs privilèges à distance et même réinitialiser vos mots de passe AD sans autorisation. Ce n’est pas une mince affaire. Après ces mises à jour, la plupart des administrateurs ont pensé : « Ouf, problème résolu ! » Mais en réalité, ce n’était pas tout à fait le cas. En effet, la simple installation de la mise à jour ne suffisait pas à sécuriser complètement le système, notamment en raison du fonctionnement du protocole Netlogon. C’est un peu plus complexe qu’un simple clic sur « Tout mettre à jour ».Si vous n’êtes pas vigilant, les anciens protocoles peuvent toujours être exploités ; c’est pourquoi il est essentiel de comprendre les étapes suivantes pour sécuriser votre domaine. Si cela vous semble familier, ou si vous souhaitez vérifier que vos contrôleurs de domaine sont bien sécurisés, ce guide a pour but de clarifier la situation, d’indiquer les correctifs à surveiller et de vous assurer que ces vulnérabilités sont réellement corrigées, et non simplement marquées comme « terminées » dans votre historique des mises à jour. Car, bien sûr, Windows se doit de compliquer les choses inutilement ! Voici un aperçu rapide de la procédure à suivre et des difficultés que vous pourriez rencontrer.
Comment corriger la vulnérabilité Zerologon sur Windows Server
Méthode 1 : Assurez-vous que tous vos contrôleurs de domaine sont entièrement à jour.
C’est l’étape la plus simple, mais aussi la plus cruciale. Les correctifs pour la vulnérabilité CVE-2020-1472 font partie des mises à jour cumulatives d’août 2020, que vous avez probablement déjà installées. Toutefois, l’installation de la mise à jour ne suffit pas toujours, notamment parce que la prise en charge et l’application du correctif varient selon les versions de Windows.
Sur Windows Server, il est important de vérifier que chaque contrôleur de domaine dispose des dernières mises à jour de sécurité. Par exemple, pour Windows Server 2016 ou 2019, il convient de vérifier les points suivants :
- Accédez à Windows Update ou au Catalogue Microsoft Update.
- Recherchez la mise à jour de la base de connaissances (KB) qui corrige Zerologon. Pour Server 2016, il s’agit de KB4571694 ; pour Server 2019, il s’agit de KB4565349.
- Si vous préférez PowerShell, vous pouvez exécuter la commande suivante
Get-HotFix -Id KB4565349pour vérifier s’il est installé. - Utilisez Windows Update ou WSUS pour déployer les derniers correctifs sur tous vos contrôleurs de domaine. Ne vous fiez pas à une seule machine : assurez-vous que chaque contrôleur de domaine est à jour.
Vous utilisez peut-être des systèmes anciens ou non pris en charge, comme Windows Server 2008 R2. Microsoft ne propose plus de correctifs publics pour ces systèmes, sauf si vous avez acheté les mises à jour de sécurité étendues (ESU).Pour Windows Server 2008 R2, il est conseillé d’utiliser 0patch ou des micro-correctifs non officiels similaires, car le support officiel est terminé et l’absence de correctifs représente un risque de sécurité.
Sur certaines configurations, les mises à jour peuvent s’avérer délicates ; il arrive qu’elles échouent ou soient retardées en raison de stratégies de groupe ou d’autres particularités. Par conséquent, il est conseillé de lancer une mise à jour Get-HotFixou de consulter l’historique des mises à jour Windows pour en être sûr.
Méthode 2 : Utiliser la correction du registre pour imposer un comportement Netlogon sécurisé
C’est là que les choses se compliquent. Le correctif apporte une solution rapide, mais Microsoft prévoit d’introduire un mode obligatoire qui rejette les anciennes connexions Netlogon non sécurisées, courant 2021. En attendant, vous pouvez activer manuellement le paramètre le plus sécurisé pour vos contrôleurs de domaine.
Pourquoi est-ce important ? Parce que même si votre correctif est installé, les anciens protocoles peuvent encore être acceptés à moins que vous n’indiquiez explicitement au serveur de ne pas le faire. Il est donc crucial, dans l’intervalle, de configurer le registre pour garantir une sécurité maximale.
Sur vos contrôleurs de domaine, créez ou modifiez cette clé de registre :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters Ajoutez ou définissez la valeur DWORD (32 bits) :
FullSecureChannelProtection = 1
Cela force le contrôleur de domaine à rejeter les connexions Netlogon non sécurisées. Vous vous demandez comment faire ? Vous pouvez le déployer via une stratégie de groupe :
- Ouvrir la console de gestion des stratégies de groupe (GPMC)
- Accédez à Configuration ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Registre
- Créez une nouvelle préférence de registre pointant vers
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters - Définir FullSecureChannelProtection sur 1
- Liez l’objet de stratégie de groupe (GPO) à votre unité d’organisation (UO) des contrôleurs de domaine, puis exécutez-le.gpupdate /force
Cette tactique est un peu sournoise, mais elle garantit que vos contrôleurs de domaine n’acceptent pas les connexions provenant d’anciens périphériques utilisant uniquement le protocole non sécurisé. Sur certains serveurs, cela peut entraîner de légères interruptions de connexion, mais en général, le gain de sécurité en vaut la peine.
Méthode 3 : Gestion des périphériques hérités et des paramètres de compatibilité
Si vous disposez d’appareils anciens ou de serveurs non Windows qui doivent se connecter mais ne prennent en charge que l’ancien protocole Netlogon, vous devrez les autoriser explicitement. Pour ce faire, utilisez la stratégie de groupe, dans le paramètre intitulé « Contrôleur de domaine : Autoriser les connexions vulnérables au canal sécurisé Netlogon ».
Cette politique se trouve à l’adresse suivante :
Configuration de l’ordinateur -> Paramètres Windows -> Paramètres de sécurité -> Stratégies locales -> Options de sécurité
En activant cette option pour un groupe de sécurité spécifique contenant votre matériel existant, vous autorisez le contrôleur de domaine à utiliser temporairement l’ancien protocole non sécurisé pour ces appareils. Dès le déploiement de la deuxième phase de mise à jour (prévue peu après février 2021), vous devrez supprimer cette exception et rétablir la sécurité maximale. Dans le cas contraire, vous exposez une faille de sécurité.
Bien sûr, tout le monde ne pourra pas se débarrasser aussi rapidement des anciens systèmes. Sachez simplement qu’une fois le mode forcé activé, seuls les appareils mis à jour avec les correctifs les plus récents pourront s’authentifier. Tous les autres seront bloqués.
Résumé
- Assurez-vous que tous les contrôleurs de domaine sont à jour avec les dernières mises à jour de Microsoft ou les correctifs non officiels pour les systèmes d’exploitation non pris en charge.
- Utilisez des modifications du registre pour renforcer la sécurité des communications Netlogon, notamment si des correctifs sont installés mais pas encore appliqués.
- Gérez soigneusement vos anciens appareils, en utilisant la stratégie de groupe pour n’autoriser que ceux qui en ont réellement besoin, et prévoyez de supprimer ces autorisations une fois les mises à jour déployées.
Conclure
En résumé, la correction de Zerologon ne se limite pas à l’exécution de Windows Update. Il s’agit de comprendre que certains protocoles et périphériques anciens peuvent encore présenter des failles. Appliquer le correctif, renforcer la sécurité des protocoles et gérer les exceptions avec soin contribuera grandement à renforcer la sécurité de votre Active Directory. Ce type de travail de sécurité est souvent fastidieux, mais indispensable pour prévenir une faille potentiellement catastrophique. Espérons que cela permettra à certains de mieux appréhender les actions à entreprendre après l’installation des correctifs, car en matière de sécurité, supposer que le problème est résolu ne suffit plus.