Bonjour, Windows 2008 R2 et Windows 7 sont sorties avec des nouveautés, notamment au niveau du fonctionnement du protocole Kerberos.

Parmi ces nouveautés, il y a la nouvelle GPO Kerberos “Use Forest Search Order”, cette GPO permet de définir une liste des forêts ayant les trusts avec celle-ci, elle permet au service KDC d’envoyer des requêtes dans l’ordre des forêts définies dans cette liste, afin de trouver le SPN en contactant les Global Catalog. Si la recherche est positive, alors un ticket Referral lui est retourné.

Si cette GPO n’est pas utilisée, alors le KDC ne va pas chercher les forêts listées pour résoudre le SPN, si la recherche du SPN échoue, alors NTLM sera utilisé.

Voici les captures d’écran des GPO Kerberos 2008 R2.

image

image

Quand la GPO est appliquée, les clefs de registre ForestSearchList et UseForestSearch sont créées.

image

image

Client Kerberos GPO.

image

En plus de cette GO, une nouvelle GPO Kerberos permet de faire le mappage de nom avec d’autres Realm kerberos.

image

La GPO ci-dessous permet d’utiliser l’algorithme d’encryption AES dès la requête AS (authentication service)

image

image

 

 

Restreindre l’utilisation du protocole NTLM.

 

A partir de 2008 R2 et Windows 7, vous avez la possibilité de restreindre l’utilsation du protocole NTLM, ceci peut se faire via des GPO qui sont décrites ci-dessous dans :

Computer Configuration --> Windows Settings --> Security Settings --> Local Policies --> Security Options

Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication

Network security: Restrict NTLM: Add server exceptions in this domain

Network security: Restrict NTLM: Audit Incoming NTLM Traffic

Network security: Restrict NTLM: Audit NTLM authentication in this domain

Network security: Restrict NTLM: Incoming NTLM traffic

Network security: Restrict NTLM: NTLM authentication in this domain

Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers

image

 

Lê Huu Duc