2. 27 octobre 2022 - PARIS
Mise en œuvre du passwordless dans un
environnement hybride AD / Azure AD
Loïc VEIRMAN
Guillaume MATHIEU
Identity Days 2022
3. 27 octobre 2022 - PARIS
AGENDA DE LA CONFÉRENCE
Loïc VEIRMAN
Guillaume MATHIEU
• Présentation de la communauté Harden
• AD : mécanisme d’authentification
• AD : authentification par certificat
• AD : peut-on faire du passwordless ?
• Azure AD : mécanismes d’authentification
• Azure AD : 2FA et MFA
• Passwordless en environnement hybride
• Authentification Hybride : les risques
• Recommandation sur l’hybridation et le
passwordless
4. 27 octobre 2022 - PARIS
La communauté Harden
Identity Days 2022
27 octobre 2022 - PARIS
5. 27 octobre 2022 - PARIS
L’authentification sur Active Directory
Identity Days 2022
27 octobre 2022 - PARIS
6. 27 octobre 2022 - PARIS
Identity Days 2022
LES MÉCANISMES
SUPPORTÉS
NTLM KERBEROS
Cryptographie Symétrique Symétrique et/ou asymétrique
Tiers de confiance Contrôleur de domaine Contrôleur de domaine avec KDC
Contrôleur de domaine
CA d’entreprise
Clients pris en charge Windows 9x
Windows Millenium
Windows NT4
Windows 2000 et ultérieur
Windows 2000 et ultérieur
Caractéristiques Authentification lente (pass thru)
Pas d’authentification mutuel
Pas de délégation
Protocole propriétaire Microsoft
Lamer Data Protection
Tickets
Authentification mutuelle
Délégationmais
Standard ouvert
Protection des données cryptographiques
Deux mécanismes entrent en jeux lors d’une
authentification sur Active Directory.
Kerberos est le protocole par défaut depuis
Windows 2000.
Les deux protocoles nécessitent l’utilisation
du mot de passe de l’utilisateur pour valider
les échanges :
Kerberos crypte le premier échange avec
un hash spécifique à l’utilisateur depuis le
KDC (username+password)
NTLM utilise le mot de passe pour créer
un challenge entre le client et le serveur.
Le challenge pourra être déchiffré par le
contrôleur de domaine qui utilisera le
hash du mot de passe stocké en base.
Identity Days 2022
27 octobre 2022 - PARIS
Note à l’attention des bretons : non, Ker Beros n’est pas de chez vous !
7. 27 octobre 2022 - PARIS
Identity Days 2022
RISQUE LIÉ À L’UTILISATION DU MOT DE PASSE
L’aspect technologique
• Le mot de passe est l’unique contrôle
de sécurité pour valider un accès
• Le choix du mot de passe n’est pas
« contrôler » par défaut
• Un mot de passe ne vérifie pas qui
l’utilise (uniquement que la personne
connait le secret)
• Stockage du mot de passe en mémoire
(empreinte / hash pour SSO)
L’aspect humain
• Réutilisation de mot de passe par
l’utilisateur, souvent entre plusieurs
applications
• Carrousel de mot de passe, car à
court d’idée (« on verra bien plus
tard »)
• Post-it, clavier et cahier sont de la
partie…
8. 27 octobre 2022 - PARIS
Identity Days 2022
SURFACE D’ATTAQUE
Interception
• Le MdP est capturé au travers des
échanges réseaux
Brute Force
• Le MdP est deviné au travers de
millions de combinaison testées
Searching
• Le mot de passe est trouvé dans un
fichier ou une base accessible
Stealing Passwords
• Le mot de passe a été volé, que ce soit
un format papier ou un hack
numérique
Manual Guessing
• Utilisation de son nom, de date
connue ou d’un produit de
l’entreprise, …
Shoulder Surfing
• Mot de passe obtenu en regardant
quelqu’un le saisir
Social Engineering
• Les réseaux sociaux sont utilisés pour
abuser de la confiance de l’utilisateur
et récupérer le mot de passe
Key Logging
• Un élément installé sur le système
permet de capturer le mot de passe
lors de sa capture
9. 27 octobre 2022 - PARIS
AD : authentification par certificat
(smartcard logon)
10. 27 octobre 2022 - PARIS
Identity Days 2022
COMMENT CELA FONCTIONNE
01
02
03
04
05
06
07
08
09
11
10
• Le certificat remplace le mot
de passe.
• Le code PIN protège l’accès au
certificat
• Le code PIN requiert une
présence physique devant la
machine
• Le certificat est une identité
que l’on peut partager
Découvre du lecteur de carteà puce
01
Affiche les certificats sur l écran (LogonUI)
02
Saisidu code PIN par l utilisateur
03
Windows utilisele code PIN pour déverrouiller la
carte
04
Un lien sécurisé est établit entre le client et le DC avec
le certificat d authentification du DC
05
Le certificat d authentification de l utilisateur est
transmis au DC
06
Le DC retrouve le compte utilisateur dans la base de
compte (MAPPING)
07
Le certificat est vérifiépar leservice CAPI (chemin et
validité pour toutela chaine)
08
Le DC vérifie que la source d émission est validepour
l authentification par smartcard (NTAuth)
09
Le DC envoieau client les permissions de l utilisateur
et un jeton d autorisation d ouverture de session
10
Le client enregistre dans son cacheletoken de
l utilisateur pour unefuture connexion hors-réseau
11
11. 27 octobre 2022 - PARIS
Identity Days 2022
RÉDUCTION DE LA SURFACE D’ATTAQUE
Interception
• Le MdP est capturé au travers des
échanges réseaux
Brute Force
• Le MdP est deviné au travers de
millions de combinaison testées
Searching
• Le mot de passe est trouvé dans un
fichier ou une base accessible
Stealing Passwords
• Le mot de passe a été volé, que ce soit
un format papier ou un hack
numérique
Manual Guessing
• Utilisation de son nom, de date
connue ou d’un produit de
l’entreprise, …
Shoulder Surfing
• Mot de passe obtenu en regardant
quelqu’un le saisir
Social Engineering
• Les réseaux sociaux sont utilisés pour
abuser de la confiance de l’utilisateur
et récupérer le mot de passe
Key Logging
• Un élément installé sur le système
permet de capturer le mot de passe
lors de sa capture
12. 27 octobre 2022 - PARIS
Identity Days 2022
AVANTAGE ET INCONVÉNIENT
FORCE
• Code PIN : facile à retenir
• nombre d’essai du PIN limité
• Possibilité de forcer l’utilisation
du certificat (par machine ou
par utilisateur)
• Possibilité de partager une
identité avec plusieurs
personne sans risque (no more
shared account/password)
FAIBLESSE
• Nécessite une PKI et les
compétences associées
• Utilisateurs nomades : que
faire en cas de panne ?
• Investissement en cartes à
puces nécessaire
13. 27 octobre 2022 - PARIS
AD : peut-on faire du passwordless ?
15. 27 octobre 2022 - PARIS
Identity Days 2022
DÉFINIR LE
PASSWORDLESS
Objectif : remplacer le mot de passe par
d’autres facteurs d’identification considérés
comme intrinsèquement plus sécurisé.
• Système OTP (authenticator)
• Email et code unique (OTP, …)
• Téléphone :
• Appel téléphonique
• SMS
• Notification application (Azure MFA, Google
Authenticator, Okta Verify)
• Authentification biométrique
• Caméra
• Détecteur d’empreinte
• Authentification avec un accès limité dans le
temps via un lien unique (reçu par mail, …)
16. 27 octobre 2022 - PARIS
Identity Days 2022
IT CAN HAPPENS… OR NOT.
Oui, si…
Vous utilisez un OS récent
(Windows 10+, Windows
Server 2016+)
Vous disposez d’un capteur
biométrique (empreinte,
visage, …)
Vous avez un bon budget
pour ajouter une solution
tier
Non, si…
Vous utilisez des OS
obsolètes
Vous cherchez une solution
« gratuite » ou native
Vous disposez d’application
qui impose la saisie d’un mot
de passe
Méthode Disponible nativement
OTP – Tokens
OTP – SMS
OTP – Mail
Solutions tierces
(Inwebo, RSA Secure ID, Okta MFA,
Multi OTP, …)
Clé de Sécurité Solutions tierces
(Yubikey, Google Titan, Inwebo …)
Cartes à Puce (SCL) Oui
Lien unique – Mail Non
Notification Push Solution tier
Biométrie Oui
17. 27 octobre 2022 - PARIS
Identity Days 2022
SOLUTION DE PASSWORDLESS ON-PREMISE
Windows
Hello
For
Business
TOKEN
SMARTCARD
PIN CODE
BIOMÉTRIE
User Station Non-User Station
SMARTCARD
BIOMÉTRIE
PIN CODE
PASSWORD
FALLBACK
PASSWORD
FALLBACK
TOKEN
PASSWORD
FALLBACK
18. 27 octobre 2022 - PARIS
Identity Days 2022
Démonstrations
Démo 1 :
Windows Hello for Business avec code PIN
Démo 2 :
Windows Hello avec reconnaissance faciale
20. 27 octobre 2022 - PARIS
Identity Days 2022
Authentification par login / mot de passe
Authentification Legacy vs Modern
Login mot de passe + Azure MFA sans règle d’accès conditionnelle (MFA activité
sur le compte Azure AD)
Login mot de passe + Azure MFA via règle d’accès conditionnelle
Authentification avec clé de sécurité Yubikey (FIDO 2)
21. 27 octobre 2022 - PARIS
Identity Days 2022
MFA sans règle d’accès conditionnelle
22. 27 octobre 2022 - PARIS
Identity Days 2022
Démonstration
MFA sans accès conditionnelle
(notification Microsoft Authenticator)
23. 27 octobre 2022 - PARIS
Identity Days 2022
MFA avec les règles d’accès conditionnelles
24. 27 octobre 2022 - PARIS
Identity Days 2022
Démonstration
MFA avec accès conditionnelle
(Microsoft Authenticator)
Pas de MFA si accès à SharePoint / Exchange Online
MFA si accès au portail d’administration
25. 27 octobre 2022 - PARIS
Identity Days 2022
Authentification avec clé de sécurité (FIDO 2)
26. 27 octobre 2022 - PARIS
Identity Days 2022
Démonstration
Authentification par clé de sécurité (Yubikey)
27. 27 octobre 2022 - PARIS
Passwordless en environnement
hybride AD / AAD
28. 27 octobre 2022 - PARIS
Identity Days 2022
Jusqu’à présent...
Configuration de PKI
complexe :
Déploiement de certificat
pour les DCs
Déploiement de certificats
pour les utilisateurs
Déploiement d’une CRL
accessible sur le Web
Temps de synchronisation
AADC :
Synchronisation des clés
publiques entre AD et AAD
29. 27 octobre 2022 - PARIS
Identity Days 2022
Et depuis octobre 2022…
Utilisation de WhfB
DC en 2016 minimum
Supprime le besoin d’un
KeyTrust entre AD et AAD
Ne requiert plus la distribution
de certificat pour les
utilisateurs finaux
Ne requiert plus ADCS
Nouvelle méthode recommandée par Microsoft
30. 27 octobre 2022 - PARIS
Identity Days 2022
Implémentation
Prérequis
• MFA activé sur AAD
• Windows 10 21H2 +
• KB5010415 installé (Win10)
• KB5010414 installé (Win11)
• Windows Server 2016 +
• KB3534307 installé (WinSrv16)
• KB4534321 installé (WinSrv19)
• Module PowerShell AzureAD Kerberos
• Device Management activé (par GPO ou
par MDM)
Scénario non-supporté
Déploiement en mode AD uniquement
Scénarios RDP/VDI utilisant les
informations d'identification fournies
Scénarios nécessitant un certificat pour
l'authentification
Utilisation de Kerberos Trust avec la
fonction "Exécuter en tant que"
Connexion avec Kerberos Trust Cloud sur
un appareil joint Azure AD hybride sans
connexion préalable avec un DC
31. 27 octobre 2022 - PARIS
Authentification Hybride : les risques
32. 27 octobre 2022 - PARIS
Identity Days 2022
Démonstration
Démonstration :
Récupération du mot de passe des comptes de services d’Azure AD Connect avec
AADINternals (ou script PowerShell) + attaques DCSYNC
Remédiation :
Azure AD Connect est une machine Tier 0 (aussi critique qu’un DC)
33. 27 octobre 2022 - PARIS
Le Passwordless : vraiment infaillible ?
34. 27 octobre 2022 - PARIS
Identity Days 2022
Démonstration finale
Récupération des logins / mot de passe + code unique via phishing / Man in the
middle avec EVILGINX
35. 27 octobre 2022 - PARIS
Identity Days 2022
Nos recommandations
• Implémenter les modèles de sécurité (standards de sécurité) de la communauté Harden :
• AD
• AD CS
• Microsoft 365
• RDS
• Veeam Backup & Replication
• Sensibiliser les utilisateurs
• Activer un modèle Zéro Trust (pare-feu NextGen, EDR, XDR, Web filter …)
Le mot de passe est donc indispensable pour établir une authentification sur un domaine Active Directory.
Préciser qu’il existe des moyens pour minimiser le risque dans l’utilisation d’un mot de passe (logiciel, azure password protection).
Question : comment s’affranchir du mot de passe ou le renforcer avec un second facteur d’authentification ?
L’utilisation de certificat réduit drastiquement le risque de vol d’identification. Toutefois, il ne l’annule pas complètement et reste donc exposé aux dump du hash et au rejeu de jeton lorsqu’une machine est compromise.
SCL : Smart Card Logon
Dans tous les cas de figure, vous ne pourrez pas avoir un AD 100% Passwordless : il existera toujours un cas de figure ou le mot de passe sera nécessaire !
Les solutions tier : RSA SecurID, Okta MFA, …
La carte à puce est considérée comme passwordless dès lors qu’elle implique un support physique unique (clé de sécurité ou média).
Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM
Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM
Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM
Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows
Windows Hello for Business avec code PIN : démonstration Hyper-V avec vTPM
Windows Hello for Business avec reconnaissance faciale : démonstration via le PC de Loic via cache Windows