Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (Microsoft Intune, ConfigMgr, Microsoft Defender, Microsoft Purview, Microsoft Azure, Windows...)

Je me permets de revenir sur les annonces de Microsoft qui ont eu lieu fin 2023 autour de la protection de l’identité et des identifiants.

Passwordless

Microsoft a annoncé en septembre le support de Passkeys dans Windows et l’intégration avec Windows Hello for Business.

Avec Windows 11 23H2, Microsoft a introduit

  • L’usage du mot de passe temporaire comme première méthode de connexion ou récupération de mot de passe sur l’écran de connexion de Windows afin d’améliorer les scénarios d’authentification sans mot de passe.
  • La capacité de désactiver les mots de passe sur les périphériques Entra ID Joined (AADJ) via le paramétrage GP/MDM « Enable Passwordless Expérience »

Authentification Windows

Microsoft va supprimer le support du SSO pour WDigest de Windows. Celui-ci est un ancien protocole d’authentification hérité qui demande un mot de passe en clair. Inévitablement ce dernier est une cible d’attaque pour les hackers. WDigest continuera d’être disponible mais le support du SSO va être retiré car il était déjà désactivé depuis Windows 8.1 et Server 2012 R2.

Microsoft va activer la protection Local Security Authority via les règles Attack Surface Reduction par défaut. Auparavant, cela avait été fait pour les nouvelles installations de Windows à partir de Windows 10 22H2. Microsoft va maintenant le faire lors de la mise à jour vers la prochaine version de Windows. Le système entrera dans un mode d’évaluation pour observer la compatibilité. Si aucune incompatibilité est détectée lors de la période d’évaluation, alors Microsoft activera cette règle ASR par défaut. Si un appel est réalisé et que la règle est activée, une fenêtre de notification informera l’utilisateur du blocage.

Lors du BlueHat 2023, Microsoft a annoncé vouloir aussi améliorer les fondamentaux autour de Kerberos en réalisant les changements suivants :

  • AES comme algorithme de chiffrement par défaut en lieu et place de RC4
  • Les algorithmes supportés sont étendus avec HMAC-SHA2 (AES128-CTS-HMAC-SHA256-128 et AES256-CTS-HMAC-SHA384-256)
  • Intégrer des changements permettant de changer de manière plus aisée les algorithmes cryptographiques dans le futur.
  • Support de SHA-2 pour Public Key Cryptography for Initial Authentication (PKINIT) côté serveur.
  • Avec Windows 11 23H2, Microsoft va couvrir le scénario où le serveur KDC est non disponible pour utiliser le serveur applicatif comme proxy KDC.
  • Avec Windows 11 23H2, Microsoft va couvrir le scénario qui représente 99% de l’usage de NTLM car vous n’avez pas de serveur KDC car vous êtes n’êtes pas On-Prem (Workgroup, etc.). Microsoft va construire un Local KDC sur le client via un l’utilisation du protocole SPNEGO qui essayera d’abord d’utiliser Kerberos puis IAKerb/LocalKDC et enfin NTLM si cela n’a pas fonctionné.
    Vous pouvez obtenir plus d’informations sur le plan de Microsoft pour retirer NTLM : The evolution of Windows authentication | Windows IT Pro Blog (microsoft.com)

 

Vous pouvez retrouver l’ensemble des annonces et la vidéo sur Linkedin

Facebook Like