none
PetitPoTam RRS feed

  • Question

  • Bonjour,

    Vous avez certainement eu connaissance la semaine dernière de l'exploitabilité d'une faiblesse dans le protocole NTLM.

    J'aimerais que vous m'aidiez à clarifier le contexte dans lequel cette faille est exploitable car les infos que j'ai croisées n'était pas forcément en phase sur ce point.

    1 - Dans la communication de Microsoft (https://msrc.microsoft.com/update-guide/vulnerability/ADV210003) il me semble comprendre que pour pouvoir rencontrer cette faiblesse il faut avoir déployer la brique AD CS dans son infra et que c'est par certains composant de cette brique que l'exploitabilité devient possible (et encore sous certaine condition de configuration).

    Certaines personnes de mon entourage ayant compris que cette faiblesse exploitée le protocole NTLM (version ?) un Active Directory sans le composant AD CS était aussi faillible.

    2 - En autre, pour ce prémunir de cette faiblesse il est indiqué dans la documentation MS KB5005413 (https://support.microsoft.com/en-us/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429) qu'il est possible de mettre en place la signature numérique des communications SMB.

    Y'a t'il une bonne pratique dans l'activation de cette feature car il est fait référence aux communications "Microsoft Network Server" et "Microsoft Network Client" en fonction du demandeur initiant les communications ou de l'équipement recevant les communications.

    Si vous aviez des éléments complémentaires de compréhensions, je suis preneur.

    mardi 3 août 2021 08:15

Toutes les réponses

  • Je me suis peut-être trompé de rubrique ...? Il me semble pas y avoir de rubrique dédié à la sécurité Windows ?
    jeudi 5 août 2021 07:35
  • Bonjour Patrice D,

    Veuillez suivre ces étapes :

    Pour résoudre ce problème, mettez à jour le Registre sur chaque ordinateur qui participe au processus d'authentification Kerberos, y compris les ordinateurs clients. Nous vous recommandons de mettre à jour tous vos systèmes Windows, en particulier si vos utilisateurs doivent se connecter sur plusieurs domaines ou forêts.

    Sur chacun de ces ordinateurs, définissez l'entrée de Registre MaxTokenSize sur une valeur plus élevée. Vous pouvez trouver cette entrée dans la sous-clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Parameters. Les ordinateurs doivent redémarrer après avoir effectué cette modification.

    Pour plus d'informations, vous pouvez visiter ce lien :
    https://docs.microsoft.com/FR-fr/troubleshoot/windows-server/windows-security/kerberos-authentication-problems-if-user-belongs-to-groups#resolution

    Si la réponse vous a été utile, n'oubliez pas de voter pour ou d'accepter comme réponse.

    Merci, Bharti
    mardi 10 août 2021 07:44
  • Désolé, mais la réponse que vous me faite n'a aucun rapport avec le sujet de cette discussion. Une erreur de topic peut-être.
    mardi 10 août 2021 12:23