NTLM bientôt désactivé ?

Publié le par Poster un commentaire

Les différentes versions de Windows utilisent Kerberos comme principal protocole d’authentification depuis plus de 20 ans. Néanmoins, dans certaines circonstances, le système d’exploitation doit utiliser une autre méthode, le bon vieux NTLM (NT LAN Manager… Cela ne nous rajeuni pas vraiment). Aujourd’hui, Microsoft a annoncé qu’il étendait l’utilisation de Kerberos, avec l’intention d’abandonner complètement l’utilisation de NTLM…

Microsoft indique que NTLM continue d’être utilisé par certaines entreprises et organisations pour l’authentification Windows parce qu’il ne nécessite pas obligatoirement de connexion à un réseau local avec un contrôleur de domaine. C’est aussi le seul protocole pris en charge lors de l’utilisation de comptes locaux et il fonctionne aussi lorsque vous ne savez pas qui est le serveur cible. Ces avantages ont conduit certaines applications et certains services à coder en dur l’utilisation de NTLM au lieu d’essayer d’utiliser d’autres protocoles d’authentification plus modernes comme Kerberos. Kerberos offre de meilleures garanties de sécurité et est plus extensible que NTLM, c’est pourquoi c’est logiquement le protocole par défaut préféré dans Windows.
Le problème est que si les entreprises peuvent désactiver NTLM pour l’authentification, ces applications et services câblés risquent de rencontrer des problèmes. C’est pourquoi Microsoft a ajouté deux nouvelles fonctions d’authentification à Kerberos :

  • La première, Initial and Pass Through Authentication Using Kerberos (IAKerb), permet à « un client qui n’a pas de visibilité directe sur un contrôleur de domaine de s’authentifier par l’intermédiaire d’un serveur qui a une visibilité directe ».
  • L’autre est le Centre de distribution de clés (KDC) local pour Kerberos, qui ajoute un support d’authentification pour les comptes locaux.

Ces changements sont effectués pour qu’à long terme, Kerberos soit le seul protocole d’authentification de Windows. Donc fort logiquement la réduction de l’utilisation de NTLM aboutira finalement à sa désactivation dans Windows 11.

Microsoft a déclaré surveiller la réduction de l’utilisation de NTLM afin de déterminer quand il sera possible de le désactiver. Une fois la décision prise, Microsoft désactivera NTLM par défaut, mais les entreprises pourront le réactiver au cas où elles rencontreraient des problèmes de compatibilité. Microsoft n’a pas annoncé de calendrier précis pour la mise en œuvre de ces mesures.

Nous reviendrons sur tout ceci lors du prochain Briefing Calipia : pensez à vous inscrire !

Tag(s) associé(s) : ,

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.