Empêcher Kerberos de modifier le mot de passe utilisant des clés secrètes RC4

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2008 R2 et Windows Server 2008

Cette rubrique destinée aux professionnels de l’informatique explique certaines limitations du protocole Kerberos qui peuvent conduire un utilisateur malveillant à prendre le contrôle du compte d’un utilisateur. Il existe une limitation dans le service d’authentification réseau Kerberos (V5) standard (RFC 4120), qui est bien connue dans le secteur, selon laquelle un attaquant peut s’authentifier en tant qu’utilisateur ou modifier le mot de passe de cet utilisateur si l’attaquant connaît la clé secrète de l’utilisateur.

La possession des clés secrètes Kerberos dérivées d’un mot de passe d’un utilisateur (RC4 et Advanced Encryption Standard [AES] par défaut) est validée lors de l’échange de modification de mot de passe Kerberos par RFC 4757. Le mot de passe en texte clair de l’utilisateur n’est jamais fourni au Centre de distribution de clés (KDC) et, par défaut, les contrôleurs de domaine Active Directory ne possèdent pas de copie de mots de passe en texte clair pour les comptes. Si le contrôleur de domaine ne prend pas en charge un type de chiffrement Kerberos, cette clé secrète ne peut pas être utilisée pour modifier le mot de passe.

Dans les systèmes d’exploitation Windows désignés dans la liste S’applique à au début de cette rubrique, il existe trois façons de bloquer la possibilité de modifier les mots de passe à l’aide de Kerberos avec des clés secrètes RC4 :

• Configurez le compte d’utilisateur pour inclure l’option compte La carte à puce est requise pour l’ouverture de session interactive. Cela limite l’utilisateur à se connecter uniquement avec une carte à puce valide afin que les demandes de service d’authentification RC4 (AS-REQs) soient rejetées. Pour définir les options de compte sur un compte, cliquez avec le bouton droit sur le compte, cliquez sur Propriétés, puis cliquez sur l’onglet Compte.

• Désactivez la prise en charge de RC4 pour Kerberos sur tous les contrôleurs de domaine. Cela nécessite au minimum un niveau fonctionnel de domaine Windows Server 2008 et un environnement dans lequel tous les clients Kerberos, serveurs d’applications et relations d’approbation vers et depuis le domaine doivent prendre en charge AES. La prise en charge d’AES a été introduite dans Windows Server 2008 et Windows Vista.

  Notes

  Il existe un problème connu lors de la désactivation de RC4 qui peut entraîner le redémarrage du système. Consultez les correctifs logiciels suivants :

  • Windows Server 2012 R2
  • Windows Server 2012
  • Aucun correctif logiciel n’est disponible pour les versions antérieures de Windows Server

• Déployez des domaines définis sur Windows Server 2012 niveau fonctionnel de domaine R2 ou supérieur, et configurez les utilisateurs en tant que membres du groupe de sécurité Utilisateurs protégés. Étant donné que cette fonctionnalité perturbe plus que la simple utilisation de RC4 dans le protocole Kerberos, consultez les ressources dans la section Voir aussi suivante.

Voir aussi

• Pour plus d’informations sur la façon d’empêcher l’utilisation du type de chiffrement RC4 dans Windows Server 2012 domaines R2, consultez Groupe de sécurité utilisateurs protégés.

• Pour obtenir des explications sur RFC 4120 et RFC 4757, consultez Documents IETF.