Tutoriel 📝 Configuration de l'authentification Kerberos pour protéger les sessions administratives

[Sylvain*]

Configuration de l'authentification Kerberos pour protéger les sessions administratives

Introduction

Dans ce tutoriel, nous allons configurer l'authentification Kerberos sur un environnement Windows pour sécuriser les sessions administratives. Kerberos est un protocole réseau qui offre un mécanisme d’authentification solide en utilisant des tickets pour protéger les données échangées.

---

Prérequis

• Un contrôleur de domaine Active Directory configuré.

• Un poste Windows (client ou serveur) intégré au domaine.

• Droits administratifs sur les systèmes concernés.

• Connaissances de base en gestion des rôles AD DS et Kerberos.

---

Méthodologie

Introduction

• Nous utiliserons deux approches :

• Méthode 1 : Configuration via l'interface graphique de l'Active Directory.

• Méthode 2 : Configuration via PowerShell pour une gestion automatisée.

---

Avantages des 2 méthodes

Avantage de la méthode 1:

Approche visuelle et intuitive, idéale pour les administrateurs débutants.

Avantage de la méthode 2:

Automatisation et gestion à grande échelle pour des environnements complexes.

---

Inconvénients des 2 méthodes

Inconvénient de la méthode 1:

Moins adaptée pour les modifications massives ou répétitives.

Inconvénient de la méthode 2:

Nécessite une connaissance approfondie des commandes PowerShell.

---

Étapes à suivre pour la méthode 1

Accédez à l'Active Directory Users and Computers sur votre contrôleur de domaine.

Sélectionnez le compte utilisateur administrateur à sécuriser.

Cliquez sur Propriétés, puis accédez à l'onglet Compte.

Activez l'option Account is sensitive and cannot be delegated.

Appliquez les modifications et fermez les fenêtres.

---

Étapes à suivre pour la méthode 2

Ouvrez PowerShell avec des droits administratifs.

Utilisez la commande suivante pour activer la sensibilité du compte :

Set-ADUser -Identity "NomUtilisateur" -AccountNotDelegated $true

Pour vérifier les paramètres appliqués, utilisez :

Get-ADUser -Identity "NomUtilisateur" -Properties AccountNotDelegated

Testez l'authentification pour confirmer les modifications.

---

Astuce

Créez une GPO dédiée pour appliquer des restrictions Kerberos à tous les comptes administratifs d’un domaine, simplifiant la gestion centralisée.

---

Mise en garde

Ne désactivez jamais les options Kerberos par défaut à moins de comprendre pleinement leurs implications, car cela pourrait compromettre la sécurité du domaine.

---

Conseil

Utilisez des comptes administrateurs dédiés pour les tâches critiques et évitez de réutiliser des comptes à usage général.

---

Solution alternative

Envisagez l'utilisation d'une solution comme Microsoft Defender for Identity pour surveiller les authentifications Kerberos dans votre environnement.

Références

• Github

• Support Microsoft

• Microsoft Learn

• Recherche Google

---

Conclusion

Kerberos renforce la sécurité des sessions administratives dans un environnement Windows. Ce tutoriel vous a guidé dans sa configuration avec des approches GUI et PowerShell.

Source: Tutoriaux-Excalibur, merci de partager.