Modifications importantes apportées aux paramètres de sécurité du contrôleur de domaine Windows
En mai 2022, Microsoft a déployé des mises à jour de sécurité critiques pour Windows, corrigeant plusieurs vulnérabilités identifiées comme CVE-2022-34691, CVE-2022-26931 et CVE-2022-26923. Ces vulnérabilités concernent des failles d’élévation de privilèges (EoP) ciblant spécifiquement les processus de maintenance des systèmes d’authentification par certificat utilisés dans le centre de distribution de clés Kerberos (KDC).
Le problème affectait particulièrement les contrôleurs de domaine Windows (DC), qui ne reconnaissaient pas le signe dollar (« $ ») à la fin du nom des machines. Cette omission a permis aux cybercriminels d’usurper les certificats de diverses manières malveillantes. En réponse, Microsoft a déployé une série de mises à jour ces dernières années afin de faciliter la transition pour les administrateurs informatiques, tout en préservant la compatibilité du système.
Mises à jour du Patch Tuesday à venir
À compter du 9 septembre, des changements importants entreront en vigueur avec les prochaines mises à jour du Patch Tuesday. Notamment, la clé de registre « Key Distribution Center » sera considérée comme non prise en charge. Microsoft a proposé en mai 2022 une solution de contournement à court terme : la clé de registre « StrongCertificateBindingEnforcement ». Cette clé permet aux administrateurs informatiques de continuer à utiliser les mappages et l’authentification par certificat, mais uniquement en mode de compatibilité, autorisant ainsi diverses méthodes de validation de l’authenticité des utilisateurs et des mécanismes de secours basés sur des valeurs définies.
Impact de la clé d’antidatage des certificats
Outre la clé StrongCertificateBindingEnforcement, une autre clé de registre, appelée CertificateBackdatingCompensation, sera également modifiée en septembre. Cette clé, qui visait également à prendre en charge le mode Compatibilité, permettait l’authentification des utilisateurs même avec des mappages de certificats plus faibles, à condition que la date du certificat soit antérieure à la date de création de l’utilisateur. Cependant, suite aux prochaines mises à jour, l’utilisation de mappages de certificats faibles sera interdite. La logique derrière ce changement est logique, car les paramètres précédents désactivaient un contrôle de sécurité essentiel.
Transition du mode de compatibilité
Il est crucial pour les administrateurs informatiques de noter qu’une fois le mode d’application complet activé après le 10 septembre, le retour au mode de compatibilité ne sera plus possible. Ce changement souligne l’engagement de Microsoft à améliorer la sécurité des contrôleurs de domaine Windows, garantissant ainsi aux organisations non seulement la conformité, mais aussi leur protection contre les menaces potentielles.
Pour des informations plus détaillées sur ces changements, les professionnels de l’informatique gérant les contrôleurs de domaine Windows sont encouragés à consulter les conseils complets de Microsoft.
Laisser un commentaire