Qu'est-ce que NTLM (New Technology LAN Manager) ?

NTLM (Nouvelle Technologie LAN Manager) est une suite de protocoles de sécurité Microsoft utilisés pour protocoles d'authentification, intégrité et confidentialité dans les environnements Windows.

Qu'est-ce que NTLM ?

NTLM, ou New Technology LAN Manager, est un protocole d'authentification propriétaire de Microsoft conçu pour authentifier les utilisateurs et les ordinateurs sur les réseaux Windows. Il fonctionne selon un mécanisme de question-réponse, où le client prouve la connaissance du mot de passe de l'utilisateur sans le transmettre sur le réseau. Lorsqu'un utilisateur tente d'accéder à une ressource, le server lance un défi au client, qui crypte ce défi en utilisant un hachage du mot de passe de l'utilisateur et renvoie le résultat.

La server effectue la même opération et compare les résultats pour authentifier l'utilisateur. NTLM a été introduit avec Windows NT et prend en charge les messages. intégrité et la confidentialité grâce à la signature et au scellement des messages. Cependant, il manque de protections cryptographiques modernes et d'authentification mutuelle, ce qui le rend vulnérable à diverses attaques, telles que les attaques par rejeu et les attaques par transmission. De ce fait, il a été remplacé par Kerberos dans les environnements Active Directory mais reste utilisé pour systèmes hérités, scénarios hors domaine, ou lorsque interopérabilité avec un logiciel plus ancien est nécessaire.

Principales fonctionnalités de NTLM

Voici les principales fonctionnalités de NTLM, chacune expliquée en détail.

1. Authentification par défi-réponse

NTLM utilise un mécanisme de défi-réponse au lieu d'envoyer des mots de passe sur le réseau. Lorsqu'un utilisateur tente de s'authentifier, server envoie un défi aléatoire. Le client chiffre ce défi à l'aide d'un hachage du mot de passe de l'utilisateur et le renvoie. server Il effectue ensuite la même opération et compare le résultat pour vérifier l'identité. Cela réduit le risque d'exposition du mot de passe lors de la connexion. transmission.

2. Stockage des informations d'identification basé sur le hachage

NTLM ne stocke pas les mots de passe en clair, mais utilise des valeurs de hachage (généralement des hachages NT). Celles-ci sont dérivées du mot de passe de l'utilisateur grâce à une fonction de hachage cryptographique. Bien que cette méthode soit plus sûre que le stockage en clair, elle présente néanmoins un risque en cas de vol des hachages, car ils peuvent être réutilisés dans des attaques de type « pass-the-hash ».

3. Intégrité et confidentialité des messages

NTLM prend en charge la signature des messages (pour vérifier leur intégrité) et leur scellement (pour chiffrer leur contenu). Ces fonctionnalités sont conçues pour protéger contre les falsifications et les écoutes clandestines, mais elles sont facultatives et ne sont pas toujours appliquées par défaut.

4. Compatibilité avec les systèmes hors domaine et hérités

NTLM est encore largement utilisé pour l'authentification des utilisateurs sur les systèmes non rattachés à un domaine Active Directory ou lorsque Kerberos n'est pas pris en charge. Cela le rend précieux dans les environnements mixtes avec des logiciels plus anciens ou pour les intégrations tierces reposant sur NTLM.

5. Versions multiples (LM, NTLMv1, NTLMv2)

Il existe différentes versions de NTLM avec des capacités de sécurité variables. NTLMv1 et l'ancien LAN Manager (LM) sont considérés comme non sécurisés, tandis que NTLMv2 offre une sécurité améliorée grâce à un hachage plus fort (HMAC-MD5) et une meilleure gestion des réponses aux défis. Cependant, même NTLMv2 n'est pas aussi sécurisé que Kerberos.

6. Prise en charge de l'authentification unique (SSO) (limitée)

NTLM prend en charge une forme de base de authentification unique (SSO) dans les environnements Windows. Une fois qu'un utilisateur est connecté et authentifié, ses identifiants peuvent être réutilisés pour accéder à plusieurs services au sein du même environnement. Session. Cependant, cela est limité par rapport à la capacité SSO complète basée sur les tickets de Kerberos.

7. Aucune authentification mutuelle

NTLM authentifie le client auprès du server mais pas l'inverse. Ce manque d'authentification mutuelle ouvre la porte à homme du milieu (MitM) attaques, où un attaquant se fait passer pour une personne de confiance server.

Comment fonctionne NTLM ?

NTLM utilise un mécanisme de défi-réponse qui permet à un client de prouver son identité à un server sans transmettre le mot de passe réel. Voici comment se déroule le processus, généralement en trois étapes lors de l'authentification.

1. Négocier

Le client initie la communication en envoyant un message de négociation au serverCe message inclut les fonctionnalités NTLM prises en charge par le client et indique qu'il souhaite utiliser NTLM pour l'authentification.

2. Défi

La server répond par un message de défi contenant un nonce généré aléatoirement (un nombre à usage unique) appelé « défi ». Ce nonce sert à empêcher les attaques par rejeu.

3. Authentifiez-vous

Le client prend le serveret utilise le hachage du mot de passe de l'utilisateur pour calculer une réponse cryptographique. Cette réponse, appelée réponse NTLM, est renvoyée au server dans un message d'authentification, avec le nom d'utilisateur et d'autres métadonnées.

À quoi sert NTLM ?

NTLM est utilisé pour authentifier les utilisateurs et les ordinateurs dans les environnements Windows, notamment lorsque des protocoles plus modernes comme Kerberos ne sont pas disponibles ou compatibles. Il permet aux systèmes de vérifier l'identité et d'accorder l'accès aux ressources réseau sans transmettre de mots de passe en clair.

Les cas d'utilisation courants incluent :

Accéder aux dossiers et imprimantes partagés sur des machines Windows locales ou distantes dans des groupes de travail ou des réseaux hors domaine.
Authentification des utilisateurs distants connexion à des systèmes ou services hérités qui ne prennent pas en charge Kerberos.
Authentification de secours dans les domaines Active Directory lorsque Kerberos échoue (par exemple, en raison de DNS problèmes ou SPN manquants).
Authentification unique (SSO) dans les intranets en utilisant une ancienne version de Windows applications ou des protocoles qui s'appuient sur NTLM.
Intégration avec applications tierces ou appareils qui ne prennent en charge que l'authentification basée sur NTLM (par exemple, certains anciens NAS Systèmes, proxies, ou une web servers en utilisant l'authentification NTLM sur HTTP).

Comment savoir si NTLM est toujours utilisé ?

Pour déterminer si NTLM est toujours utilisé dans votre environnement, vous pouvez surveiller le trafic d'authentification à l'aide d'outils comme l'Observateur d'événements de Microsoft, notamment en activant l'audit NTLM via la stratégie de groupe (Sécurité réseau : Restreindre les paramètres NTLM). Une fois configurées, les tentatives d'authentification liées à NTLM seront enregistrées sous des identifiants d'événements de sécurité tels que 4624 (connexion) et 4776 (Authentification NTLM).

Vous pouvez également utiliser des outils de surveillance réseau comme Wireshark pour inspecter le trafic à la recherche de messages NTLMSSP, qui indiquent une négociation NTLM. De plus, des outils comme Microsoft Defender for Identity ou des solutions d'audit tierces peuvent fournir des rapports sur l'utilisation des protocoles hérités sur votre réseau. domaine.

L’identification de l’utilisation de NTLM est essentielle pour évaluer les risques de sécurité et planifier une migration vers des méthodes d’authentification plus sécurisées comme Kerberos ou des protocoles d’identité modernes.

Dois-je désactiver NTLM ?

La désactivation de NTLM peut améliorer considérablement votre sécurité, mais elle doit être envisagée avec prudence et uniquement après avoir vérifié qu'elle ne perturbera pas les systèmes critiques. NTLM est un protocole ancien présentant des vulnérabilités bien connues, notamment une vulnérabilité aux attaques par transmission de hachage, par relais et par interception. Si votre environnement prend en charge Kerberos ou des méthodes d'authentification modernes, la désactivation de NTLM réduit la surface d'attaque et renforce les pratiques d'authentification.

Cependant, de nombreuses applications, appareils et systèmes hérités (notamment certains partages de fichiers, imprimantes ou services tiers) peuvent encore dépendre de NTLM pour l'authentification. Avant de le désactiver, vous devez :

Auditer l'utilisation de NTLM en utilisant la stratégie de groupe et la journalisation des événements.
Identifier les dépendances sur NTLM en analysant le trafic de connexion.
Tester les configurations de remplacement, comme Kerberos ou l’authentification par certificat.
Restreindre progressivement NTLM plutôt que de le désactiver complètement, en commençant par des politiques telles que « Authentification NTLM dans ce domaine » et en les définissant par système ou par utilisateur.

Comment sécuriser ou éliminer NTLM ?

Pour sécuriser ou éliminer NTLM de votre environnement, adoptez une approche structurée incluant audit, application des politiques et remplacement par des protocoles plus sécurisés. Voici comment :

1. Auditer l'utilisation de NTLM

Commencez par identifier où et comment NTLM est utilisé :

Activer l'audit NTLM via la stratégie de groupe:
Configuration ordinateur → Stratégies → Paramètres Windows → Paramètres de sécurité → Stratégies locales → Options de sécurité → Sécurité réseau : Restreindre NTLM.
Consulter les journaux de l'Observateur d'événements (ID comme 4624, 4776) pour trouver les tentatives d'authentification NTLM.
Utilisez Microsoft Defender pour l'identité, Azur ATP, ou une outils tiers pour une analyse centralisée.

2. Mettre en œuvre des politiques NTLM restrictives

Renforcez progressivement l'utilisation de NTLM avec les paramètres GPO :

Définissez Restreindre NTLM pour auditer le trafic NTLM entrant afin de suivre l'utilisation.
Appliquez Restreindre NTLM dans ce domaine pour autoriser, refuser ou auditer NTLM sur différentes étendues.
Utilisez le paramètre LMCompatibilityLevel pour appliquer uniquement NTLMv2 ou Kerberos.

3. Migrer vers Kerberos ou l'authentification moderne

Assurez-vous que les systèmes sont configurés pour utiliser Kerberos dans la mesure du possible :

Configurez correctement les noms principaux de service (SPN) pour Kerberos.
Assurez une résolution DNS appropriée, une synchronisation horaire et des relations de confiance de domaine.
Pour les applications qui ne peuvent pas utiliser Kerberos, envisagez de les remplacer ou de les mettre à jour avec des alternatives modernes qui prennent en charge SAML, OAuth ou authentification basée sur un certificat.

4. Sécurisez NTLM s'il ne peut pas être éliminé

Si les systèmes hérités nécessitent NTLM :

Appliquez NTLMv2 uniquement en définissant LMCompatibilityLevel = 5.
Activez la signature et le scellement des messages pour les protéger contre toute falsification.
Limiter l'utilisation de NTLM via pare-feu règles ou segmentation pour isoler les systèmes hérités.
Utilisez les postes de travail à accès privilégié (PAW) et l'accès juste à temps (JIT) pour les comptes qui doivent s'authentifier via NTLM.

5. Tester et éliminer progressivement NTLM

Après l’audit et le réglage des politiques :

Testez de nouvelles configurations d’authentification dans un environnement de laboratoire ou de préparation.
Déployer progressivement les restrictions NTLM en production.
Surveillez les journaux et les commentaires des utilisateurs pour détecter les pannes et corrigez-les si nécessaire.

Quels sont les avantages et les défis du NTLM ?

NTLM offre une fonctionnalité d'authentification de base, facile à mettre en œuvre et compatible avec les systèmes existants, ce qui le rend utile dans certains environnements où les protocoles modernes comme Kerberos ne sont pas pris en charge. Cependant, sa conception obsolète présente des défis de sécurité importants, notamment une faible protection cryptographique et une vulnérabilité à diverses attaques.

Il est essentiel de comprendre à la fois les avantages et les défis du NTLM pour prendre des décisions éclairées sur son utilisation et son remplacement potentiel.

Avantages NTLM

Voici quelques-uns des principaux avantages :

Compatibilité héritée. NTLM prend en charge les anciens systèmes et applications Windows qui ne reconnaissent pas ou ne prennent pas en charge Kerberos, ce qui le rend utile pour maintenir la compatibilité descendante.
Aucune dépendance aux contrôleurs de domaineContrairement à Kerberos, NTLM ne nécessite pas de connexion à un centre de distribution de clés (KDC), ce qui lui permet de fonctionner dans des scénarios autonomes ou déconnectés.
Implémentation simple. NTLM est relativement facile à configurer et à utiliser, nécessitant une configuration minimale, ce qui le rend adapté aux déploiements rapides ou aux environnements avec des ressources administratives limitées.
Authentification unique de base. NTLM permet des fonctionnalités SSO limitées au sein d'une seule session, permettant aux utilisateurs d'accéder à plusieurs ressources sans invites d'authentification répétées.
Mécanisme d'authentification de secoursDans les environnements mixtes ou mal configurés où Kerberos échoue (par exemple, problèmes de DNS ou de synchronisation horaire), NTLM peut servir de backup pour maintenir l'accès.

Défis NTLM

Voici les principaux défis du NTLM :

Cryptographie faible. NTLM utilise des algorithmes de hachage obsolètes (tels que MD4 dans les hachages NT), qui sont vulnérables aux force brute et les attaques par dictionnaire.
Susceptibilité au vol d'identifiantsLes attaquants peuvent exploiter NTLM dans des attaques de type pass-the-hash, relais ou relecture pour usurper l'identité des utilisateurs sans avoir besoin de leurs mots de passe en texte clair.
Pas d'authentification mutuelle. NTLM authentifie uniquement le client auprès du server, ce qui le rend vulnérable aux attaques de l'homme du milieu où un acteur malveillant se fait passer pour une personne de confiance server.
Manque de évolutivité. NTLM ne prend pas en charge la délégation ou la billetterie comme Kerberos, ce qui limite son utilisation dans des environnements d'entreprise complexes avec plusieurs services et niveaux d'identité.
Difficile à surveiller et à contrôlerLe trafic d’authentification NTLM peut être difficile à suivre dans les environnements de grande taille, et son utilisation continue peut passer inaperçue, créant des risques de sécurité cachés.
Incompatible avec les normes de sécurité modernes. NTLM ne prend pas en charge MFA, l'accès conditionnel et d'autres protections d'identité avancées trouvées dans les protocoles modernes.

NTLM contre Kerberos

Voici une comparaison entre NTLM et Kerberos dans une table structurée :

Fonctionnalité	NTLM (Gestionnaire de réseau local de nouvelles technologies)	Kerberos
Modèle d'authentification	Défi-réponse (client et server).	Basé sur les tickets (client, centre de distribution de clés et server).
Authentification mutuelle	Non, seul le client est authentifié.	Oui, le client et server sont authentifiés.
Gestion des informations d'identification	S'appuie sur des hachages de mots de passe.	Utilise des tickets cryptés avec des clés de session temporaires.
Force de chiffrement	Faible (utilise MD4 et HMAC-MD5).	Plus fort (utilise AES ou RC4 avec des normes de cryptage modernes).
Évolutivité	Pauvre ; ne prend pas en charge la délégation ou l'authentification unique sur plusieurs services.	Élevé ; prend en charge la délégation et le SSO évolutif.
Dépendance à la synchronisation temporelle	Non requis.	Obligatoire ; repose sur l'heure précise pour la validation de l'expiration du ticket.
Exigence de domaine	Fonctionne dans des environnements de domaine et hors domaine (groupe de travail).	Nécessite Active Directory ou un KDC équivalent.
Vulnérabilité aux attaques	Sensible aux attaques de type « pass-the-hash », « replay » et « relay ».	Plus résistant mais peut être affecté s'il n'est pas configuré de manière sécurisée.
Journalisation et audit	Visibilité et contrôle limités.	Meilleur audit et gestion centralisée.
Support moderne	Obsolète dans les cadres de sécurité modernes.	Norme pour l'authentification Windows moderne.

NTLM est-il identique à l’authentification Windows ?

Non, NTLM n’est pas la même chose que l’authentification Windows, mais c’est l’un des protocoles utilisés dans les Authentification Windows.

L'authentification Windows est un terme plus large qui désigne l'ensemble des mécanismes utilisés par Windows pour authentifier les utilisateurs et les services dans un environnement Windows. Cela inclut plusieurs protocoles d'authentification tels que NTLM, Kerberos et parfois des méthodes basées sur des certificats ou des jetons.

NTLM est principalement utilisé pour la rétrocompatibilité et dans les situations où Kerberos n'est pas disponible, comme dans les environnements de groupe de travail ou lorsque les systèmes ne font pas partie d'un domaine. En revanche, Kerberos est le protocole privilégié et plus sécurisé pour l'authentification par domaine dans les réseaux Windows modernes. Ainsi, bien que NTLM puisse faire partie de l'authentification Windows, ces deux protocoles ne sont pas synonymes.