Protection des informations d’identification Windows NTLM contre les menaces de sécurité zero-day

Protection des informations d’identification Windows NTLM contre les menaces de sécurité zero-day

L’ancien protocole d’authentification NTLM (NT LAN Manager), bien que toujours répandu sur les appareils Windows, présente des risques importants en matière de cybersécurité. Activé par défaut, NTLM peut devenir une vulnérabilité, exposant potentiellement les mots de passe de votre système lors d’attaques de logiciels malveillants. Les attaquants exploitent souvent ces faiblesses grâce à des techniques sophistiquées d’interception (MitM).Il est donc crucial pour les utilisateurs de prendre des mesures proactives pour sécuriser leurs identifiants NTLM.

Comprendre les menaces NTLM

NTLM convertit votre mot de passe en un format haché, permettant ainsi sa vérification sans transmettre le mot de passe réel sur le réseau. Cependant, cette méthode est vulnérable aux attaques. Si un logiciel malveillant s’infiltre dans votre système, votre mot de passe pourrait facilement être compromis.

En mettant en lumière de récentes vulnérabilités, les chercheurs en sécurité de Check Point ont détaillé la faille « CVE-2025-24054 », source de cybermenaces persistantes ciblant des données sensibles, principalement dans les secteurs public et privé en Pologne et en Roumanie. Les attaquants déploient diverses techniques, notamment les attaques par passe-hash (PtH), les tables arc-en-ciel et les attaques par relais, ciblant principalement les comptes administratifs de haut niveau.

Bien que ces attaques visent souvent les organisations, les utilisateurs individuels ne sont pas à l’abri. Une simple interaction avec un fichier malveillant peut exposer un mot de passe. Il est donc crucial de veiller à ce que votre système Windows soit régulièrement mis à jour ; Microsoft a lancé une mise à jour de sécurité visant à contrer ce type d’exploitation.

1. Désactiver l’authentification NTLM à l’aide de PowerShell

Pour renforcer votre défense contre les risques liés à NTLM, commencez par désactiver l’authentification NTLM via PowerShell. Suivez ces étapes :

  1. Lancez PowerShell en mode administrateur.
  2. Exécutez la commande suivante pour bloquer l’utilisation de NTLM sur SMB (Server Message Block) :

Set-SMBClientConfiguration -BlockNTLM $true

Modifiez la configuration du client SMB cible dans PowerShell pour vous protéger contre les attaques NTLM.

Confirmez la modification en appuyant sur A pour oui. En bloquant NTLM sur SMB, vous réduisez considérablement les vulnérabilités aux attaques PtH et relais, même si cela peut impacter les appareils plus anciens qui utilisent NTLM.

Si vous rencontrez des problèmes de compatibilité, rétablissez le paramètre en utilisant :

Set-SMBClientConfiguration -BlockNTLM $false

2. Basculez vers NTLMv2 dans l’Éditeur du Registre

La transition de l’ancien NTLM vers la version plus sécurisée de NTLMv2 est cruciale pour une meilleure sécurité. Commencez par sauvegarder votre registre et ouvrez l’Éditeur du Registre en tant qu’administrateur. Accédez au chemin suivant :

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Clé de registre Lsa (Local Security Authority) et

Recherchez ou créez la valeur DWORD LmCompatibilityLevel. Définissez-la sur « 3 », « 4 » ou « 5 » pour garantir que seules les réponses NTLMv2 sont envoyées, bloquant ainsi NTLMv1.

Ensuite, ajustez le chemin de registre suivant :

COMPUTER\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters

Assurez-vous que la valeur DWORD RequireSecuritySignature est définie sur « 1 ».Ce réglage imposera une signature de sécurité pour les connexions SMB, ajoutant ainsi une couche de protection supplémentaire contre le vol d’identifiants.

3. Activer la protection cloud dans la sécurité Windows

Pour ceux qui préfèrent ne pas modifier le registre, la fonctionnalité de sécurité intégrée de Windows offre une protection efficace contre les menaces en ligne. Accédez à cette fonctionnalité en accédant à Protection contre les virus et les menaces > Gérer les paramètres > Protection fournie par le cloud.

Activation de la protection fournie par le cloud dans la sécurité Windows.

4. Explorer des mesures de sécurité supplémentaires

En plus des étapes mentionnées ci-dessus, tenez compte de ces recommandations supplémentaires de Microsoft pour renforcer vos défenses contre le vol d’identifiants NTLM :

  • Évitez les liens suspects : de nombreuses menaces liées à NTLM se propagent via des pièges à clics ou des liens malveillants. Même si le service de sécurité Windows signale ces menaces, soyez prudent pour limiter votre exposition.
  • Mettez régulièrement à jour votre système : vérifiez et appliquez régulièrement les mises à jour Windows pour vous protéger contre les vulnérabilités nouvellement découvertes.
  • Utiliser l’authentification multifacteur (MFA) : la mise en œuvre de l’authentification multifacteur peut fournir une couche de protection supplémentaire, rendant l’accès non autorisé considérablement plus difficile.
  • Informez-vous et informez les autres : être conscient des tactiques d’ingénierie sociale et des stratagèmes d’hameçonnage peut aider à prévenir une exposition accidentelle.

En suivant ces étapes critiques, vous réduirez considérablement les risques de compromission de vos informations d’identification Windows NTLM, améliorant ainsi la sécurité globale du système.

Articles connexes:

Scénarios optimaux pour l'utilisation du mode de raisonnement des chatbots IA
Créer des diapositives PowerPoint à partir de documents avec Copilot : voici un guide pratique

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *