RENFORCER LA SECURITE DES PROTOCOLES D’AUTHENTIFICATION

‫ مثل‬LDAP ‫ لالتصال بوحدة تحكم المجال وتشغیل أوامر‬LDP.EXE ‫ لذلك یمكن للمستخدم استخدام أداة مثل‬.LDAP annuaire ‫ھو‬
Active Directory
‫طریقتین لتقدیم طلب‬. Active Directory ‫ یدعم‬.)‫ إضافة (إضافة كائن جدید‬، )‫ البحث (البحث عن كائنات‬، )‫) مصادقة المستخدم‬
Bind

LDAP Simple Bind : Cette méthode consiste à envoyer le login et le mot de passe de l’utilisateur
en clair par le
réseau
LDAP SASL Bind : SASL est l’acronyme de Simple Authentication and Security Layer. Cette
méthode permet
d’utiliser des protocoles comme Kerberos, NTLM V2, NTLM, LM ou DIGEST pour s’authentifier sur un
serveur LDAP. Elle
permet d’éviter l’envoi du login / mot de passe en clair sur le réseau.
PRESENTATION DU PROTOCOLE NTLM V2
Dans l’exemple ci-dessous on part du principe que le LMHASH est désactivé. L’utilisateur
s’est déjà
authentifié avec le contrôleur de domaine à l’aide du protocole NTLM.
Une fois que l’utilisateur est authentifié sur sa station (ouverture de session locale), comment
arrive-t-il à
accéder à des ressources situées sur d’autres machines sans devoir s’authentifier de
nouveau à chaque fois
(sans demande du login / mot de passe) ?
Le processus Lsass.exe va générer un HASH à partir du mot de passe de l’utilisateur (le
NTHASH) et le
stocker en mémoire une fois l’ouverture de session effectuée.
Pour accéder à des ressources réseaux, l’utilisateur fait une ouverture de session réseau.
Avec le protocole
NTLM, cette ouverture de session réseau nécessite uniquement que la machine dispose du
NTHASH (le
Hash du mot de passe de l’utilisateur) pour chiffrer le challenge envoyé par le serveur..