Microsoft reste fidèle à son cycle habituel de mises à jour majeures de Windows Server tous les trois ans, avec Windows Server 2025 dont la sortie est prévue d'ici la fin de l'année. Cette nouvelle version apportera diverses modifications au système d'exploitation, notamment la possibilité tant attendue d'appliquer des correctifs sans nécessiter de redémarrage - une fonctionnalité particulièrement précieuse pour les charges de travail critiques.

Du point de vue de l'optimisation des performances, plusieurs changements sont à noter :
  • La possibilité d'augmenter la taille des pages de base de données de 8 Ko à 32 Ko (nécessite FFL 2025)

  • Active Directory (AD) exploite désormais pleinement le matériel compatible NUMA en utilisant les processeurs de tous les groupes

  • La réplication AD bénéficie d'un nouveau système de priorité accrue, particulièrement utile lors du déploiement de nouveaux contrôleurs de domaine

  • Des améliorations de la logique DC Locator permettent la correspondance entre le nom NetBios d'un domaine et son nom DNS

  • De nouveaux compteurs de performance (Client LDAP, DC Locator, recherches LSA)
Dans cet article, je souhaite me pencher plus particulièrement sur les améliorations de sécurité d'Active Directory (AD) qu'apportera Windows Server 2025, cette mise à jour marquant les premières évolutions significatives en matière de sécurité AD
depuis Windows Server 2016.

Les six principales améliorations de sécurité d'Active Directory dans Windows Server 2025

La nécessité de renforcer la sécurité d'AD est depuis longtemps pressante. Ce service d'annuaire essentiel, utilisé par près de 90 % des organisations dans le monde, contrôle la gestion des utilisateurs et des autorisations pour les applications et données critiques, ce qui en fait une cible privilégiée pour les attaquants.

Aujourd'hui, il est très courant que les cybercriminels ciblent AD, l'utilisant comme un outil pour élever leurs privilèges et se déplacer latéralement dans le réseau de leur victime après avoir obtenu un accès initial par hameçonnage ou d'autres vulnérabilités.

Les attaques par ransomware, qui paralysent l'infrastructure complète d'une entreprise par chiffrement, ont considérablement augmenté ces dix dernières années. Dans ces attaques, AD est presque systématiquement exploité, ce qui a poussé Microsoft à agir pour mieux protéger cette technologie centrale de son système d'exploitation serveur.

Quelles sont donc les principales améliorations de sécurité qu'apportera Windows Server 2025 ? En bref, six points sont à retenir :
  1. Un nouveau type de compte : les comptes de service gérés délégués

  2. Diverses améliorations de la sécurité LDAP

  3. Support d'AES SHA256/385 pour Kerberos

  4. Prise en charge de l'agilité cryptographique pour Kerberos et PKINT

  5. Désactivation des mail slots (par exemple pour le service Messenger NET SEND)

  6. Possibilité de désactiver la connexion utilisant un identifiant de confiance de domaine/forêt
Malgré ces avancées prometteuses, Microsoft a manqué une opportunité majeure : l'entreprise n'a pas renforcé les paramètres de sécurité par défaut des droits d'accès lors de l'installation d'un nouvel AD. Ces paramètres, qui restent inchangés lors de la création d'une nouvelle forêt AD, laissent toujours la porte ouverte aux cybercriminels.

Les autorisations standard pour la lecture des identifiants privilégiés (comme les administrateurs de domaine) restent inchangées : le groupe "Pre-Windows 2000 compatible access" et les "Utilisateurs authentifiés" conservent leurs permissions complètes de lecture pour tous les utilisateurs dans un nouveau domaine 2025. Microsoft a ainsi manqué une occasion importante d'améliorer la sécurité standard des nouvelles installations AD.

Cela dit, les deux premières améliorations de sécurité de la liste sont particulièrement intéressantes et offrent potentiellement plus de sécurité pour votre AD.

Les dMSA : une nouvelle solution pour la gestion des comptes de service

Examinons maintenant le nouveau type de compte de service géré délégué (dMSA) qu'introduira Windows Server 2025 :

Pour contextualiser, il est important de comprendre que le concept original du domaine Windows NT ne faisait pas la distinction entre les identifiants "humains" et "techniques". En conséquence, les applications nécessitant des identifiants techniques pour l'authentification AD et l'accès aux ressources recevaient souvent des identifiants utilisateur normaux, couplés à une option "mot de passe n'expire jamais".

À l'époque, cette configuration était une solution de contournement nécessaire. Ces "comptes de service" permettaient l'intégration d'applications professionnelles importantes avec AD, les applications modernes utilisant également le "Service Principal Name" (SPN) pour l'intégration Kerberos. Cependant, la gestion de ces comptes de service posait problème en raison de leur utilisation souvent non documentée sur plusieurs systèmes, rendant difficiles les changements périodiques recommandés des mots de passe.

Pour répondre à ce défi, Microsoft a introduit les "Group Managed Service Accounts" (gMSAs) dans Windows Server 2012. Les gMSA peuvent être utilisés pour un groupe de serveurs et disposent d'un mot de passe complexe de 256 caractères qui est automatiquement renouvelé et prend en charge l'attribution automatique des SPN.

Le problème était que de nombreux administrateurs AD n'étaient pas immédiatement prêts à lancer ou à achever un projet d'envergure pour remplacer tous les comptes de service existants par des gMSA plus sécurisés, en raison de contraintes budgétaires, de compétences et de ressources. En fait, même plus d'une décennie après l'introduction des gMSA, il existe encore de nombreux comptes de service mal entretenus dans les Active Directory du monde entier, restant vulnérables aux attaques.

Cette situation s'est aggravée depuis 2014, lorsque les attaquants ont commencé à utiliser les comptes de service avec SPN pour élever leurs droits dans AD. Les attaquants peuvent demander un ticket de service (TGS) sans jamais se connecter au système cible du service en connaissant le SPN, qu'ils peuvent facilement interroger dans AD. Cette technique d'attaque est devenue connue sous le nom de "Kerberoasting".

De ce fait, de nombreux comptes de service "hérités" encore existants représentent une menace majeure pour les installations AD actuelles. Heureusement, il semble que le nouveau compte de service géré délégué (dMSA) que Microsoft introduit avec Windows Server 2025 vise à résoudre ce problème.

Le dMSA utilise les avantages de sécurité des gMSA tout en étant plus facile à mettre en œuvre dans les environnements où de nombreux services sont encore configurés avec des comptes de service classiques. La fonction des anciens comptes de service est simplement reprise (ou déléguée) aux nouveaux comptes de service gérés, les anciens comptes étant ensuite désactivés pour qu'ils ne puissent plus causer de dommages futurs.

Cependant, il est important de noter que la fonction du nouveau dMSA nécessite également une adaptation du client Kerberos dans les systèmes d'exploitation où les comptes de service hérités sont actifs. On espère, et on s'attend à ce que Microsoft adapte également le client Kerberos de certains systèmes d'exploitation plus anciens avec cette fonction pour garantir que la solution puisse être plus largement utile à l'avenir.

L'importance des améliorations de la sécurité LDAP

Il est également important de souligner les diverses améliorations apportées à la protection du LDAP lui-même, compte tenu de leur valeur significative dans la lutte contre les risques de relais LDAP et d'attaques homme du milieu pour l'accès LDAP.

Les améliorations clés peuvent être résumées comme suit :
  • La signature LDAP est désormais requise par défaut

  • La liaison de canal LDAP est active par défaut si le client la prend en charge

  • Le chiffrement du client LDAP est privilégié par défaut

  • La lecture des attributs confidentiels nécessite une connexion chiffrée
Les administrateurs doivent savoir que les trois premiers points ne sont pas nouveaux. Windows Server 2025 a simplement modifié les paramètres par défaut, laissant les clients qui ne mettent pas en œuvre ces paramètres eux-mêmes moins vulnérables.

Il reste possible de désactiver ces améliorations en cas de problèmes avec les applications. Cependant, l'approche "sécurisée par défaut" est certainement la bonne. La liaison de canal LDAP en particulier devrait toujours rester activée, empêchant les attaques de relais LDAP devenues de plus en plus populaires.

Quant au quatrième point, c'est un autre changement sécurisé par défaut : pour lire les clés de récupération BitLocker ou le mot de passe LAPS d'un ordinateur, une connexion chiffrée sera nécessaire à l'avenir.

Conclusion : une mise à jour qui va dans la bonne direction

Dans l'ensemble, il est encourageant de voir que Microsoft n'a pas abandonné Active Directory. La mise à jour de Windows Server 2025 est un engagement clair envers la pérennité de ce service on-premise critique. Les nouveaux paramètres par défaut pour la sécurité LDAP sont particulièrement prometteurs, et de nombreuses petites améliorations ont également été ajoutées pour rendre AD globalement plus sécurisé.

Dans le cas des très prometteurs comptes de service gérés délégués, nous devrons attendre de voir quand Microsoft adaptera le client Kerberos des systèmes d'exploitation existants – espérons-le jusqu'à Server 2016. Si et quand cela se produira, les nombreux comptes de service existants et malheureusement non sécurisés pourront enfin être remplacés par les comptes techniques que nous avons toujours souhaités.

C'est certainement un domaine à surveiller, et il est définitivement encourageant de voir que Microsoft semble enfin prendre des mesures significatives.

Par Guido Grillenmeier, Principal Technologist chez Semperis

ARTICLES SIMILAIRESPLUS DE L'AUTEUR