Question authentification Windows
Résolu/Fermé
A voir également:
- Question authentification Windows
- Clé windows 10 gratuit - Guide
- Windows 10 gratuit - Guide
- Windows 12 - Guide
- Windows ne démarre pas - Guide
- Windows 10 iso - Guide
4 réponses
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
Modifié le 12 nov. 2020 à 11:32
Modifié le 12 nov. 2020 à 11:32
Hello,
Il va falloir se forcer pour lire en anglais ;-)
ça prend du temps, mais il vaut mieux commencer maintenant.
Le souci en français : les traductions peuvent être mauvaises et on a du mal à trouver de l'info.
https://answers.microsoft.com/en-us/msoffice/forum/all/ntlm-vs-kerberos/d8b139bf-6b5a-4a53-9a00-bb75d4e219eb
https://blog.varonis.fr/explication-de-lauthentification-kerberos/
Rapidement ce qu'il faut retenir :
- Si Kerberos n'est pas possible, alors ça bascule sur NTLM. Cela se traduit par un popup qui demande un compte et un mot de passe.
On a souvent le cas du popup lorsqu'on utilise les IP dans les accès aux serveurs par exemple : \\192.168.10.10 au lieu de \\serveur01.domain.local.
Cela est du au Service Principal Name (SPN), l'adresse IP n'y est pas inscrite pour l'objet machine Serveur01.
D'où l'importance d'utiliser des noms longs FQDN pour Kerberos.
--> Notion à chercher : SPN.
- NTLM : le client qui s'authentifie n'a pas besoin d'avoir accès aux Domain Controllers (DC). C'est le serveur en face qui contactera les DCs pour vérifier l'authent.
Alors qu'en Kerberos, le client doit avoir accès direct aux DCs ; cela a un impact sur les flux réseaux.
- On dit que Kerberos est plus sécurisé que NTLM. Et de plus NTLM expose le mot de passe, puisque l'on doit en saisir un à chaque nouvelle authentification.
- NTLM est un protocole propriétaire de Microsoft, alors que Kerberos est un protocole Standard (on en fait sur Unix/Linux aussi).
-
Pour le cas des machines en Workgroup, ça sera du NTLM. Le serveur en cible va vérifier dans sa base locale, les infos compte/mot de passe. (on parle de base SAM).
-
Le processus à regarder pour l'authentification : LSASS coté Domain Controller
Le service Netlogon s'occupe de faire les authentifications en "gros" ; à regarder aussi winlogon.exe ...
Il va falloir se forcer pour lire en anglais ;-)
ça prend du temps, mais il vaut mieux commencer maintenant.
Le souci en français : les traductions peuvent être mauvaises et on a du mal à trouver de l'info.
https://answers.microsoft.com/en-us/msoffice/forum/all/ntlm-vs-kerberos/d8b139bf-6b5a-4a53-9a00-bb75d4e219eb
https://blog.varonis.fr/explication-de-lauthentification-kerberos/
Rapidement ce qu'il faut retenir :
- Si Kerberos n'est pas possible, alors ça bascule sur NTLM. Cela se traduit par un popup qui demande un compte et un mot de passe.
On a souvent le cas du popup lorsqu'on utilise les IP dans les accès aux serveurs par exemple : \\192.168.10.10 au lieu de \\serveur01.domain.local.
Cela est du au Service Principal Name (SPN), l'adresse IP n'y est pas inscrite pour l'objet machine Serveur01.
D'où l'importance d'utiliser des noms longs FQDN pour Kerberos.
--> Notion à chercher : SPN.
- NTLM : le client qui s'authentifie n'a pas besoin d'avoir accès aux Domain Controllers (DC). C'est le serveur en face qui contactera les DCs pour vérifier l'authent.
Alors qu'en Kerberos, le client doit avoir accès direct aux DCs ; cela a un impact sur les flux réseaux.
- On dit que Kerberos est plus sécurisé que NTLM. Et de plus NTLM expose le mot de passe, puisque l'on doit en saisir un à chaque nouvelle authentification.
- NTLM est un protocole propriétaire de Microsoft, alors que Kerberos est un protocole Standard (on en fait sur Unix/Linux aussi).
-
Pour le cas des machines en Workgroup, ça sera du NTLM. Le serveur en cible va vérifier dans sa base locale, les infos compte/mot de passe. (on parle de base SAM).
-
Le processus à regarder pour l'authentification : LSASS coté Domain Controller
Le service Netlogon s'occupe de faire les authentifications en "gros" ; à regarder aussi winlogon.exe ...
Merci pour ces infos, je vais regarder tout ça en profondeur.
Quelque chose qui me chipote énormément et que je n'arrive pas à comprendre avant toute chose c'est cette notion de protocole... Ceux-ci n'interviennent que lors des communications réseau ou bien également localement ? Par exemple, dans le cas d'une machine qui se connecte purement localement (mon pc à la maison par exemple), il va y avoir vérification de mon mot de passe dans la base SAM mais cela se fait-il via un protocole ou pas ? Je cale réellement là-dessus...
Ce qui me fait tellement douter c'est que chaque fois que je regarde ce qu'est un protocole, ça parle de protocole réseau donc cela me fait supposer que localement, il n'y a pas de protocole utilisé (en imaginant par exemple que je n'ai pas de carte réseau)
Quelque chose qui me chipote énormément et que je n'arrive pas à comprendre avant toute chose c'est cette notion de protocole... Ceux-ci n'interviennent que lors des communications réseau ou bien également localement ? Par exemple, dans le cas d'une machine qui se connecte purement localement (mon pc à la maison par exemple), il va y avoir vérification de mon mot de passe dans la base SAM mais cela se fait-il via un protocole ou pas ? Je cale réellement là-dessus...
Ce qui me fait tellement douter c'est que chaque fois que je regarde ce qu'est un protocole, ça parle de protocole réseau donc cela me fait supposer que localement, il n'y a pas de protocole utilisé (en imaginant par exemple que je n'ai pas de carte réseau)
kelux
Messages postés
3065
Date d'inscription
vendredi 18 juin 2004
Statut
Contributeur
Dernière intervention
20 janvier 2023
432
12 nov. 2020 à 18:45
12 nov. 2020 à 18:45
Hello,
Localement une machine dispose de "localhost" (127.0.0.0/8) ; carte réseau ou pas, cette "boucle locale" existe... et donc les services et/ou protocoles fonctionnent aussi localement sur la machine elle même.
Vous pouvez très bien avec un serveur Web installé sur la machine, qui écoute sur 127.0.0.1 port 80 et y aller avec un navigateur... Il n'y a pas d'échange avec un réseau extérieur, mais ça reste une communication réseau.
il va y avoir vérification de mon mot de passe dans la base SAM mais cela se fait-il via un protocole ou pas ?
C'est la même cinématique, au lieu de viser une ressource externe, on vise une base locale, avec les mêmes composants (services/protocoles).
Localement une machine dispose de "localhost" (127.0.0.0/8) ; carte réseau ou pas, cette "boucle locale" existe... et donc les services et/ou protocoles fonctionnent aussi localement sur la machine elle même.
Vous pouvez très bien avec un serveur Web installé sur la machine, qui écoute sur 127.0.0.1 port 80 et y aller avec un navigateur... Il n'y a pas d'échange avec un réseau extérieur, mais ça reste une communication réseau.
il va y avoir vérification de mon mot de passe dans la base SAM mais cela se fait-il via un protocole ou pas ?
C'est la même cinématique, au lieu de viser une ressource externe, on vise une base locale, avec les mêmes composants (services/protocoles).
