Avis de sécurité Microsoft 973811-old

Article
02/21/2018

Protection étendue de l'authentification

Paru le: mardi 11 août 2009 | Mis(e) à jour: mercredi 14 octobre 2009

Version: 1.1

Microsoft annonce la disponibilité d'une nouvelle fonctionnalité, la Protection étendue de l'authentification, sur la plate-forme Windows. Cette fonctionnalité améliore la protection et le traitement des informations d'identification en authentifiant des connexions réseau avec l'authentification Windows intégrée (IWA).

Cette mise à jour elle-même ne fournit pas directement de protection contre des attaques spécifiques telles que le transfert d'informations d'identification, mais permet aux applications de choisir de bénéficier de la protection étendue de l'authentification. Cet Avis informe les développeurs et administrateurs système de cette nouvelle fonctionnalité et de la façon dont elle peut être déployée pour protéger des informations d'authentification.

Facteurs atténuants :

Internet Explorer n'enverra jamais d'informations d'identification automatiquement aux serveurs hébergés dans la zone Internet. Ainsi, les informations d'identification risquent moins d'être transférées par un attaquant dans cette zone.
Les applications utilisant la signature de session et le chiffrement (comme les appels de procédure distante (RPC) avec confidentialité et intégrité, ou le protocole Microsoft Server Message Block (SMB) avec signature activée) ne sont pas concernées par le transfert d'informations d'identification.

Informations générales

Présentation

But de cet Avis : Cet Avis a été publié pour annoncer aux clients la publication d'une mise à jour non directement relative à la sécurité dans le but de mettre à disposition une nouvelle fonctionnalité, la Protection étendue de l'authentification, sur la plate-forme Windows.

État de l'avis : Avis publié.

Recommandation : Consultez et exécutez, le cas échéant, les actions suggérées.

Références	Identification
Article de la Base de connaissances Microsoft	Article 973811 de la Base de connaissances Microsoft

Cet Avis annonce la publication de cette fonctionnalité pour les plates-formes suivantes.

Logiciels concernés

Windows XP Service Pack 2 et Windows XP Service Pack 3
Windows XP pour systèmes x64 Service Pack 2 et Windows XP pour systèmes x64 Service Pack 3

Windows Server 2003 Service Pack 2
Windows Server 2003 pour systèmes x64 Service Pack 2
Windows Server 2003 pour systèmes Itanium et Windows Server 2003 pour systèmes Itanium Service Pack 2

Windows Vista, Windows Vista Service Pack 1 et Windows Vista Service Pack 2
Windows Vista pour systèmes x64, Windows Vista pour systèmes x64 Service Pack 1 et Windows Vista pour systèmes x64 Service Pack 2

Windows Server 2008 pour systèmes 32 bits et Windows Server 2008 pour systèmes 32 bits Service Pack 2
Windows Server 2008 pour systèmes x64 et Windows Server 2008 pour systèmes x64 Service Pack 2
Windows Server 2008 pour systèmes Itanium et Windows Server 2008 pour systèmes Itanium Service Pack 2

Logiciels non concernés

Windows 7 pour systèmes 32 bits
Windows 7 pour systèmes x64

Windows Server 2008 R2 pour systèmes x64
Windows Server 2008 R2 pour systèmes Itanium

Forum aux questions

Quelle est la portée de cet Avis ?
Microsoft a publié cet Avis pour annoncer la publication d'une nouvelle fonctionnalité, la Protection étendue de l'authentification, en tant que mise à jour de Windows SSPI pour traiter le transfert d'informations d'identification.

Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une mise à jour de sécurité ?
Non, cette vulnérabilité de sécurité ne nécessite pas la publication par Microsoft d'une mise à jour de sécurité. Cette fonctionnalité nécessite une configuration facultative que certains clients peuvent déployer s'ils le souhaitent. L'activation de cette fonctionnalité n'est pas appropriée pour tous nos clients. Pour plus d'informations sur cette fonctionnalité et sur la manière de la configurer correctement, consultez l'Article 973811 de la Base de connaissances Microsoft. Cette fonctionnalité est déjà incluse dans Windows 7 et Windows Server 2008 R2.

Qu'est-ce que la protection étendue de l'authentification Windows ?
La mise à jour de l'Article 968389 de la Base de connaissances Microsoft modifie l'interface SSPI de manière à améliorer les tâches d'authentification de Windows pour que les informations d'identification ne soient pas facilement transmises lorsque l'authentification Windows intégrée (IWA) est activée.

Lorsque la protection étendue de l'authentification est activée, les requêtes d'authentification sont limitées au Nom de Principal du service (SPN) du serveur auquel le client tente de se connecter et au canal extérieur TLS (Transport Layer Security) dans lequel s'exécute l'authentification IWA. Il s'agit d'une mise à jour de base qui permet aux applications d'activer la nouvelle fonctionnalité.

Les futures mises à jour modifieront des composants système individuels qui exécutent l'authentification IWA pour que les composants utilisent ce mécanisme de protection. Les clients doivent installer la mise à jour de l'Article 968389 de la Base de connaissances Microsoft et les mises à jour spécifiques respectives des applications client et des serveurs sur lesquels la protection étendue de l'authentification doit être activée. Lors de l'installation, la protection étendue de l'authentification est contrôlée sur le client à l'aide des clés de Registre. Sur le serveur, la configuration est spécifique à l'application.

Quelles autres actions Microsoft entreprend-il pour implémenter cette fonctionnalité ?

Les modifications doivent être apportées aux serveurs et aux applications client spécifiques utilisant l'authentification Windows intégrée (IWA) pour garantir l'utilisation de cette nouvelle technologie de protection.

Les mises à jour publiées par Microsoft le 11 août 2009 sont :

L'Article 968389 de la Base de connaissances Microsoft implémente la protection étendue de l'authentification dans l'interface Windows SSPI. Cette mise à jour permet aux applications de choisir de bénéficier de la protection étendue de l'authentification.
Bulletin de sécurité Microsoft MS09-042 : Mise à jour non relative à la sécurité de défense en profondeur qui active la protection étendue de l'authentification sur le client Telnet et le serveur.

La mise à jour publiée par Microsoft le 13 octobre 2009 est :

Bulletin de sécurité Microsoft MS09-054 : Mise à jour non relative à la sécurité de défense en profondeur qui active la protection étendue de l'authentification sur WinINET.

Microsoft a l'intention d'étendre la couverture en publiant de futures mises à jour qui incluront des applications client et des serveurs Microsoft supplémentaires dans ces mécanismes de protection. Cet Avis de sécurité sera mis à jour pour inclure des informations mises à jour à la publication des mises à jour.

Comment les développeurs peuvent-ils intégrer cette technologie de protection dans leurs applications ?

Les développeurs peuvent en savoir plus sur la façon d'utiliser la technologie de protection étendue de l'authentification dans l'article MSDN sur l'authentification Windows intégrée avec protection étendue (en anglais).

Comment puis-je activer cette fonctionnalité ?

Sur le client, les clients doivent implémenter les paramètres de clé de Registre suivants.

Des instructions détaillées sur l'activation de cette clé de Registre sont disponibles dans l'Article 968389 de la Base de connaissances Microsoft.

Définissez la clé HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\SuppressExtendedProtection sur 0 pour activer la technologie de protection. Par défaut, cette clé est définie sur 1 lors de l'installation, ce qui désactive la protection.
Définissez la clé HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\LmCompatibilityLevel sur 3. Il ne s'agit pas de la valeur par défaut sur Windows XP et Windows Server 2003. C'est une clé actuelle qui active l'authentification NTLMv2. La protection étendue de l'authentification Windows s'applique seulement aux protocoles d'authentification NTLMv2 et Kerberos et ne s'applique pas à NTLMv1. Plus d'informations sur l'application de l'authentification NTLMv2 et sur cette clé sont disponibles dans l'Article 239869 de la Base de connaissances Microsoft.

Sur le serveur, la protection étendue de l'authentification doit être activée pour chaque service. La présentation suivante montre comment activer la protection étendue de l'authentification sur les protocoles courants pour lesquels elle est actuellement disponible :

Telnet (KB960859)

Pour Telnet, la protection étendue de l'authentification peut être activée sur le serveur en créant la clé de Registre DWORD HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\TelnetServer\1.0\ExtendedProtection. La valeur par défaut de cette clé est Legacy (héritée). Définissez la clé sur l'une des valeurs suivantes :

Legacy : Si la valeur DWORD est définie sur 0, la protection étendue de l'authentification est désactivée sur le serveur et aucune connexion, y compris celles de clients mis à jour et correctement configurés, ne sera protégée contre les attaques de transfert d'informations d'identification.
Allow Extended Protection (autoriser la protection étendue) : Si la valeur DWORD est définie sur 1, le serveur protège les ordinateurs clients configurés pour utiliser le mécanisme de protection étendue de l'authentification contre les attaques de relai d'informations d'identification. Les clients n'ayant pas été mis à jour et configurés correctement ne sont pas protégés.
Require Extended Protection (protection étendue requise) : Si la valeur DWORD est définie sur 2, le serveur exige que les clients prennent en charge la protection étendue de l'authentification ou refusera l'authentification. Les clients où la protection étendue n'est pas activée ne pourront être authentifiés auprès du serveur.

Des instructions détaillées sur la création de cette clé de Registre sont disponibles dans l'Article 960859 de la Base de connaissances Microsoft.

Quels sont les éléments dont je dois avoir connaissance lors du déploiement de la protection étendue de l'authentification ?

Les clients doivent installer la mise à jour proposée dans l'Article 968389 de la Base de connaissances Microsoft, installer les mises à jour d'application respectives sur le client et le serveur et configurer correctement les deux ordinateurs pour utiliser le mécanisme de protection afin d'être protégés contre les attaques de transfert d'informations d'identification..

Lorsque la protection étendue de l'authentification est activée côté de client, elle est activée pour toutes les applications utilisant l'authentification intégrée Windows (IWA). Cependant, elle doit être activée sur le serveur pour chaque application.

Pourquoi cette mise à jour de sécurité n'est-elle pas annoncée dans un Bulletin de sécurité ? Cette mise à jour implémente une nouvelle fonctionnalité dont l'activation peut ne pas être appropriée pour tous les clients. Elle fournit un composant de sécurité supplémentaire que les clients peuvent choisir de déployer en fonction de leur situation spécifique**.**

Il s'agit d'un Avis de sécurité décrivant une mise à jour non relative à la sécurité. N'est-ce pas une contradiction ? Les Avis de sécurité Microsoft abordent les modifications de sécurité qui ne requièrent pas obligatoirement la publication d'un Bulletin, mais qui peuvent tout de même avoir des conséquences sur la sécurité générale. Les Avis de sécurité permettent à Microsoft de communiquer à ses clients des informations relatives à la sécurité concernant des problèmes n'étant pas nécessairement des vulnérabilités et pouvant ne pas nécessiter de Bulletin de sécurité ou concernant des problèmes pour lesquels aucun Bulletin de sécurité n'a été publié. Dans ce cas, nous communiquons la disponibilité d'une mise à jour qui ne corrige pas une vulnérabilité de sécurité spécifique, mais qui améliore votre sécurité générale.

Comment cette mise à jour est-elle proposée ? Ces mises à jour sont disponibles sur le Centre de téléchargement Microsoft. Des liens directs vers les mises à jour pour les logiciels spécifiques affectés sont répertoriés dans le tableau « Logiciels concernés » de la section « Présentation ». Pour plus d'informations sur cette mise à jour et sur les modifications de comportement, consultez l'Article 968389 de la Base de connaissances Microsoft.

Cette mise à jour est-elle distribuée par le biais des mises à jour automatiques ? Oui. Ces mises à jour sont distribuées par le biais des mises à jour automatiques.

Quelles versions de Microsoft Windows cet avis concerne-t-il ? La fonctionnalité corrigée dans cet Avis est mise à disposition pour toutes les plates-formes indiquées dans la synthèse « Logiciels concernés ». Cette fonctionnalité est présente dans toutes les versions de Windows 7 et Windows Server 2008 R2.

Actions suggérées

Consultez l'Article de la Base de connaissances Microsoft relatif à cet avis.

Les clients désireux d'en savoir plus sur cette fonctionnalité peuvent consulter l'Article 973811 de la Base de connaissances Microsoft.
Appliquez les mises à jour associées au Bulletin de sécurité MS09-042.

Les clients dont les systèmes sont affectés peuvent télécharger la mise à jour de l'Article 968389 de la Base de connaissances Microsoft. Cette mise à jour modifie la façon dont le service Telnet valide les réponses d'authentification pour empêcher le relai d'informations d'identification.
Protégez votre PC

Nous encourageons nos clients à suivre les conseils de la section Protégez votre ordinateur concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Sécurité à la maison.
Pour plus d'informations sur la manière d'utiliser Internet en toute sécurité, rendez-vous sur le site Web Microsoft Sécurité.
Maintenez Windows à jour

Si vous utilisez Windows, vous devriez installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum votre ordinateur. Pour ce faire, rendez-vous sur Windows Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé la fonction Mises à jour automatiques, les mises à jour vous seront fournies dès leur publication ; toutefois, il vous appartiendra de veiller à les installer.

Solutions de contournement

Plusieurs solutions de contournement sont à votre disposition pour protéger les systèmes contre la réflexion d'informations d'identification ou le transfert d'informations d'identification. Microsoft a testé les solutions de contournement ci-dessous. Elles ne corrigent pas la vulnérabilité sous-jacente, mais elles permettent de bloquer les vecteurs d'attaque connus. Lorsqu'une solution de contournement réduit une fonctionnalité, elle est identifiée dans la section suivante :

Activer la signature SMB

L'activation de la signature SMB sur le serveur empêche l'attaquant d'accéder au serveur dans le contexte de l'utilisateur connecté. Ceci protège contre le transfert d'informations d'identification au service SMB. Microsoft recommande d'utiliser les Stratégies de groupe afin de configurer la signature SMB.

Pour obtenir des instructions détaillées sur l'utilisation des Stratégies de groupe afin d'activer ou de désactiver la signature SMB pour Windows 2000, Windows XP et Windows Server 2003, consultez l'Article 887429 de la Base de connaissances. Les instructions de l'Article 887429 de la Base de connaissances pour Windows XP et Windows Server 2003 s'appliquent également à Windows Vista et Windows Server 2008.

Impact de cette solution de contournement : L'utilisation de la signature de paquets SMB peut diminuer les performances sur les transactions du service de fichiers avec SMBv1. Les ordinateurs qui ont cette stratégie activée ne pourront pas communiquer avec des ordinateurs qui n'ont pas la signature de paquets activée côté client. Pour plus d'informations sur la signature SMB et ses impacts potentiels, consultez l'article MSDN « Serveur réseau Microsoft : Signer numériquement les communications (toujours) ».

Autres informations

Ressources :

Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web Aide et de support Microsoft : Contactez-nous.
En cas de problème, contactez les services de support sécurité Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web Aide et de support Microsoft.
Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web Support international.
TechNet sécurité fournit des informations complémentaires sur la sécurité dans les produits Microsoft.

Dédit de responsabilité :

Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l'éventualité de tels dommages. Certains pays n'autorisent pas l'exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la restriction mentionnée ci-dessus peut ne pas vous concerner.

Révisions :

V1.0 (11 août 2009) : Avis publié.
V1.1 (14 octobre 2009) : Mise à jour du Forum aux questions avec des informations sur une mise à jour non relative à la sécurité incluse dans le Bulletin MS09-054 à propos de WinINet.

Built at 2014-04-18T13:49:36Z-07:00