L’utilisation de Kerberos ou NTLM pour l’authentification dépend des besoins spécifiques de votre infrastructure et des niveaux de sécurité requis.
Kerberos tire son nom du chien à 3 têtes de la mythologie grecque — symbolisant les 3 acteurs du protocole : client, serveur, KDC. |
Protocole plus récent (introduit avec Windows 2000).
Basé sur des tickets et une architecture client-serveur sécurisée.
Utilise un serveur KDC (Key Distribution Center) qui est généralement le contrôleur de domaine (Active Directory).
Plus sécurisé et rapide que NTLM.
Moins sensible aux attaques de type rejeu ou brute force.
Protocole plus ancien (présent depuis Windows NT 4.0).
Basé sur un mécanisme de défi-réponse.
Utilisé principalement pour la compatibilité avec des systèmes ou applications plus anciens.
Moins sécurisé que Kerberos, car il est vulnérable à certaines attaques (ex. pass-the-hash).
NTLM est encore largement présent malgré ses faiblesses (pass-the-hash, relay attacks). À désactiver dès que possible. |
| Caractéristique | Kerberos |
|---|---|
NTLM | Sécurité |
Plus sécurisé (chiffrement symétrique, tickets temporaires) | Moins sécurisé (vulnérable aux attaques "pass-the-hash"). |
| Performance | Moins de charge réseau, mécanisme de tickets |
|---|---|
Plus de charge réseau (authentifications multiples). | Compatibilité |
Applications modernes, Active Directory | Applications anciennes ou non-Windows. |
| Fonctionnement | Basé sur un KDC pour distribuer des tickets |
|---|
Vous utilisez Active Directory (AD).
Vous avez un réseau moderne, sécurisé et bien configuré.
Vos applications prennent en charge Kerberos (la plupart des solutions modernes le supportent).
Vous avez des systèmes ou applications hérités qui ne supportent pas Kerberos.
Vous avez des dispositifs dans la DMZ ou des environnements sans connexion directe à un contrôleur de domaine.
Port 88 (UDP/TCP) : Kerberos.
Port 464 (TCP/UDP) : Kerberos (changement de mot de passe).
Port 389 (UDP/TCP) : LDAP.
Les services dans la DMZ utilisent des SPN (Service Principal Names) correctement configurés.
Vous configurez un pare-feu pour limiter l’accès depuis la DMZ au contrôleur de domaine.
Kerberos : Si l’intranet peut interagir avec l’AD via Kerberos, configurez un SPN pour le serveur web et limitez l’accès inter-VLAN aux ports nécessaires.
NTLM : Si Kerberos n’est pas pris en charge ou que l’accès direct au KDC est restreint, utilisez NTLM comme solution temporaire.
Préférez Kerberos si le DNS/DHCP est intégré à l’AD.
Si vous utilisez des services DNS non liés à l’AD, NTLM ou aucune authentification peut suffire.
Utilisez Kerberos par défaut si possible.
Conservez NTLM uniquement pour la compatibilité avec des systèmes ou applications plus anciens.
Allez dans Group Policy Management → Computer Configuration → Policies → Windows
Settings → Security Settings → Local Policies → Security Options.
Restrict NTLM pour limiter ou bloquer NTLM.
Kerberos est le standard moderne d’authentification dans Active Directory. NTLM ne devrait subsister que pour des compatibilités héritées strictement nécessaires. |
Voir aussi : Active Directory · 802.1X · SSH · TOTP · Moindre privilège |