Magic Quadrant™ pour la gestion des accès privilégiés 2025 : Netwrix reconnue pour la quatrième année consécutive. Téléchargez le rapport.

Contactez-nousSupportCommunauté
English Español Italiano Français Deutsch Português
Plateforme
Solutions

Data Security Posture Management

Découvrez et classez les données dans des environnements hybrides. Évaluez, priorisez et atténuez les risques pour les données sensibles.

Directory Management

Simplifiez et sécurisez l'administration des annuaires en réduisant la complexité, les risques et les efforts manuels.

Endpoint Management

Sécurisez les points de terminaison et prévenez la perte de données tout en maintenant la productivité des équipes, peu importe où elles travaillent.

Identity Management

Sécurisez chaque identité, simplifiez chaque processus et restez en avance sur la conformité — sans ajouter de complexité.

Identity Threat Detection & Response

Restez en avance sur les menaces basées sur l'identité — remédiez proactivement aux risques, bloquez les attaques et assurez une récupération rapide.

Privileged Access Management

Réduisez votre surface d'attaque en supprimant les privilèges permanents, en sécurisant les identifiants et en surveillant les sessions privilégiées.
Produits vedettes Voir tous les produits
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plateforme Netwrix 1Secure™

Explorez
Netwrix AI Environnements que nous protégeons Intégrations MSPs Risques de sécurité Active Directory Conformité Tarification
Centre de ressources Voir tout
BlogAttack CatalogConformitéTémoignages de clientsCadres de cybersécuritéGlossaire de la cybersécuritéÉvénementsFreewareGuidesIdeas PortalActualitésPodcastsPublicationsAnnonces de produitsRechercheWebinars
Asset not found

Témoignage client à la une

DXC Technology permet aux clients d'atteindre la conformité PCI DSS et de se concentrer sur des initiatives stratégiques
Partenaires
Programme PartenaireDevenez partenaireMSPsLocalisateur de partenairesWebinars
Asset not found

Histoire à la une d'un client

AppRiver améliore le contrôle sur Active Directory tout en réduisant considérablement le temps d'audit
Asset not found

Témoignage client à la une

Un MSP aide un client à se remettre d'un rançongiciel en 6 heures
Pourquoi Netwrix
À propos de nousLeadershipNetwrix AITémoignages clientsReconnaissanceActualitésCarrières
Asset not found

Histoire à la une d'un client

Horizon Leisure Centres accélère la classification des données pour se conformer au RGPD et économise 80 000 £ par an
Asset not found

Témoignage client à la une

L'Institut de R&D Samsung sécurise les données avec une utilisation multiplateforme et un déploiement rapide sur macOS grâce à Netwrix Endpoint Protector
Centre de ressourcesBlog
PACRequestorEnforcement et l'authentification Kerberos

PACRequestorEnforcement et l'authentification Kerberos

Jan 10, 2022

Durant le Patch Tuesday de novembre 2021, Microsoft a publié de nouvelles mises à jour de sécurité pour Kerberos. Elles comprennent de nouveaux événements système et de nouvelles structures dans le Kerberos Privileged Attribute Certificate (PAC). Examinons les impacts que ces mises à jour peuvent avoir sur les opérations et les attaques basées sur les tickets Kerberos.


Quoi de neuf ?

Selon les mises à jour standard de Microsoft, il y a de nouveaux articles KB ainsi que des mises à jour de protocole. Celui sur lequel nous allons nous concentrer ici est KB5008380, qui détaille les mises à jour pour CVE-2021-42287.

Contenu connexe sélectionné :

Clé de registre PACRequestorEnforcement

Les mises à jour comportent à la fois une phase de déploiement et une phase d'application. Pour les tests et la rapidité, vous pouvez mettre en œuvre l'application à tout moment avant la sortie de la mise à jour d'application (actuellement prévue pour le 12 juillet 2022).

Vous pouvez configurer le comportement du correctif en appliquant la clé de registre DWORD PACRequestorEnforcement à HKEY_LOCAL_MACHINESystemCurrentControlSetServicesKdc sur vos contrôleurs de domaine.

PACRequestorEnforcement peut avoir les valeurs suivantes :

VALEUR

COMPORTEMENT

0

Désactivé — Rétablit la mise à jour

1 (par défaut)

Déploiement — Ajoute le nouveau PAC. Si un utilisateur en cours d'authentification possède la nouvelle structure PAC, l'authentification est validée.

2

Application — Ajoute le nouveau PAC. Si un utilisateur en cours d'authentification ne possède pas le nouveau PAC, l'authentification est refusée.

Mises à jour du protocole

Les mises à jour de novembre 2021 comprenaient également plusieurs mises à jour de protocole pour Kerberos et Active Directory; vous pouvez trouver un aperçu d'elles ici. Pour plus de détails, vous devrez consulter les errata puis le document de différence dans les errata.

Structure PAC mise à jour

Le Privileged Attribute Certificate est utilisé pour encoder les informations d'autorisation des utilisateurs authentifiés ; il contient les appartenances aux groupes, l'historique des SID et les informations générales sur l'utilisateur. Dans les mises à jour de novembre 2021, Microsoft a ajouté deux nouvelles structures de données dans le PAC : PAC_ATTRIBUTES_INFO et PAC_REQUESTOR. Lorsque PACRequestorEnforcement est réglé sur 2, les deux nouveaux champs sont requis pour que le ticket Kerberos soit valide.

L'une des parties les plus intéressantes des mises à jour est la nouvelle validation introduite avec la structure PAC_REQUESTOR. Lorsque cette structure est incluse dans un ticket Kerberos, le KDC (contrôleur de domaine) valide maintenant que le nom du client (cname) (également appelé nom d'utilisateur) correspond au même SID utilisé dans la structure PAC_REQUESTOR, à condition que le client et le KDC soient dans le même domaine. Si cela ne correspond pas, alors le TGT qui a été utilisé est automatiquement révoqué et ne peut plus être utilisé. Cela se produit uniquement lorsque le client et le KDC sont dans le même domaine.

Qu'est-ce que cela signifie pour les Golden Tickets ?

Un Golden Ticket est un ticket Kerberos falsifié que les attaquants utilisent pour accéder à des ressources hautement privilégiées pendant de longues périodes en manipulant le PAC.

Lorsque le mode d'application est actif, les outils qui créent des Golden Tickets seront tenus d'utiliser le champ PAC_REQUESTOR, qui est soumis à validation par le contrôleur de domaine. Cela signifie que les Golden Tickets pour des utilisateurs inexistants ne sont plus possibles lorsqu'ils sont tous dans le même domaine. Cependant, il est toujours possible d'utiliser des utilisateurs inexistants avec des Trust Tickets (Golden Tickets créés pour s'authentifier via une confiance parce que la validation est complétée uniquement lorsque le compte est dans le même domaine que le contrôleur de domaine).

Les nouveaux événements (qui sont détaillés dans les notes de mise à jour) peuvent fournir des indicateurs supplémentaires pour les Golden Tickets, tels que des exploits mal construits ou non mis à jour. Ces nouveaux événements doivent être rassemblés dans un SIEM si vous utilisez la journalisation Windows pour la détection des menaces. Le tableau ci-dessous détaille les différents événements :

ID d'événement

Nom

Description

38

Incompatibilité de demandeur

La nouvelle structure PAC_REQUESTOR a été utilisée mais le nom du client (nom d'utilisateur) ne correspondait pas au SID utilisé dans PAC_REQUESTOR.

37

Billet sans demandeur

Un ticket de service a été demandé mais la nouvelle structure PAC_REQUESTOR n'était pas présente.

36

Billet sans PAC

Un ticket de service a été demandé mais aucun PAC n'était présent.

35


PAC sans attributs

La nouvelle structure PAC_ATTRIBUTE_INFO n'était pas présente dans le PAC

Problèmes avec la mise à jour

Malheureusement, dans la version initiale des mises à jour de novembre 2021, certains scénarios de délégation Kerberos ont été rompus, donc un nouveau correctif hors bande a été publié pour les clients confrontés à ce problème. Sander Berkouwer chez DirTeam a rédigé un bon article à ce sujet ici, avec des liens vers chacun des KB disponibles.

Conclusion

Bien que ce soit une bonne mise à jour et un pas dans la bonne direction, il serait excellent que nous continuions à voir d'autres améliorations de protocole par Microsoft pour Kerberos, telles que la validation de la nouvelle structure PAC_REQUESTOR à travers les trusts (ce qui devrait éliminer tous les Golden Tickets d'utilisateurs inexistants), vérifiant que les appartenances dans le PAC correspondent bien à l'utilisateur résolu, et peut-être même vérifier que les informations dans le profil de l'utilisateur sont dans le PAC et que la structure du PAC est conforme. Avoir plus de détections et de préventions natives en place n'est jamais une mauvaise chose et aidera les entreprises à mieux se défendre.

Partager sur

En savoir plus

À propos de l'auteur

Asset Not Found

Joe Dibley

Chercheur en sécurité

Chercheur en sécurité chez Netwrix et membre de l'équipe de recherche en sécurité de Netwrix. Joe est un expert en Active Directory, Windows et une grande variété de plateformes logicielles d'entreprise et de technologies, Joe étudie les nouveaux risques de sécurité, les techniques d'attaque complexes, ainsi que les atténuations et détections associées.

En savoir plus sur ce sujet

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Qu'est-ce que la gestion des documents électroniques ?

Analyse quantitative des risques : Espérance de perte annuelle

Derniers blogs

Les cinq prochaines minutes de conformité : construire une sécurité des données axée sur l'identité à travers l'APAC

Gestion de la configuration pour un contrôle sécurisé des points de terminaison

Classification des données et DLP : Prévenir la perte de données, prouver la conformité

Conformité CMMC et le rôle crucial du contrôle de type MDM des clés USB dans la protection des CUI

DSPM, ASM et ITDR : Élaboration d'une stratégie de sécurité axée sur les données et consciente des expositions

Du bruit à l'action : transformer le risque des données en résultats mesurables

L'IA au travail : Vitesse, Risque et Pourquoi la Simplicité l'emporte

Lois sur la confidentialité des données par État : Différentes approches de la protection de la vie privée

Exemple d'analyse des risques : Comment évaluer les risques

Le Triangle CIA et son application dans le monde réel

Nos articles les plus populaires

Types courants d'appareils réseau et leurs fonctions

Comment exécuter un script PowerShell à partir du Planificateur de tâches

Comment installer et utiliser Active Directory Users and Computers (ADUC) ?

Téléchargez et installez PowerShell 7

Les cyberattaques les plus grandes et les plus notoires de l'histoire

Commandes PowerShell essentielles : Une feuille de triche pour les débutants

Un aperçu de l'attaque cybernétique MGM

Extraction des hachages de mot de passe du fichier Ntds.dit

Guide pour monter des partages Unix avec un client NFS Windows

Comment les ports ouverts insécurisés et vulnérables posent de sérieux risques de sécurité