Les nouveautés Kerberos dans Windows 2008 R2 et Windows 7
Bonjour, Windows 2008 R2 et Windows 7 sont sorties avec des nouveautés, notamment au niveau du fonctionnement du protocole Kerberos.
Parmi ces nouveautés, il y a la nouvelle GPO Kerberos “Use Forest Search Order”, cette GPO permet de définir une liste des forêts ayant les trusts avec celle-ci, elle permet au service KDC d’envoyer des requêtes dans l’ordre des forêts définies dans cette liste, afin de trouver le SPN en contactant les Global Catalog. Si la recherche est positive, alors un ticket Referral lui est retourné.
Si cette GPO n’est pas utilisée, alors le KDC ne va pas chercher les forêts listées pour résoudre le SPN, si la recherche du SPN échoue, alors NTLM sera utilisé.
Voici les captures d’écran des GPO Kerberos 2008 R2.
Quand la GPO est appliquée, les clefs de registre ForestSearchList et UseForestSearch sont créées.
Client Kerberos GPO.
En plus de cette GO, une nouvelle GPO Kerberos permet de faire le mappage de nom avec d’autres Realm kerberos.
La GPO ci-dessous permet d’utiliser l’algorithme d’encryption AES dès la requête AS (authentication service)
Restreindre l’utilisation du protocole NTLM.
A partir de 2008 R2 et Windows 7, vous avez la possibilité de restreindre l’utilsation du protocole NTLM, ceci peut se faire via des GPO qui sont décrites ci-dessous dans :
Computer Configuration --> Windows Settings --> Security Settings --> Local Policies --> Security Options
Network security: Restrict NTLM: Add remote server exceptions for NTLM authentication
Network security: Restrict NTLM: Add server exceptions in this domain
Network security: Restrict NTLM: Audit Incoming NTLM Traffic
Network security: Restrict NTLM: Audit NTLM authentication in this domain
Network security: Restrict NTLM: Incoming NTLM traffic
Network security: Restrict NTLM: NTLM authentication in this domain
Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers
Lê Huu Duc