Serveur d'impression

Microsoft suggère de désactiver les anciens protocoles avec Exchange Server 2019 – Redmondmag.com – Bien choisir son serveur d impression

Le 17 août 2019 - 5 minutes de lecture

Nouvelles

Microsoft suggère de désactiver les anciens protocoles avec Exchange Server 2019

Dans une annonce vendredi, l'équipe Exchange a expliqué comment Exchange Server 2019 avec Cumulative Update 2 (CU2) peut aider les organisations à se débarrasser des anciens protocoles d'authentification, qui constituent un risque potentiel pour la sécurité.

CU2, publié cette semaine, apporte notamment la possibilité de désactiver les anciens protocoles d’authentification à l’échelle de l’organisation, ce qui est une nouvelle fonctionnalité. L'idée est d'utiliser à la place ce que l'on appelle "l'authentification moderne hybride", ce qui est considéré comme étant plus sécurisé.

Par "hybride", Microsoft signifie généralement que les serveurs d'une entreprise se connectent d'une manière ou d'une autre aux services de Microsoft "en nuage", généralement le service de fournisseur d'identité Azure Active Directory. La partie "moderne" de "l'authentification moderne hybride" est une référence aux applications clientes qui utilisent la bibliothèque ADAL (Active Directory Authentication Library) pour les connexions.

Vieux protocoles

Les protocoles d’authentification anciens ou "hérités" que Microsoft souhaite que les organisations suppriment incluent les éléments suivants, selon l’annonce:

  • Authentification de base
  • Authentification Digest
  • Authentification Windows (NTLM et Kerberos)

"Authentification de base" est simplement la nécessité d'un nom d'utilisateur et d'un mot de passe pour vérifier l'accès au courrier électronique Exchange. L'authentification de base doit être bloquée car elle est soumise à «des attaques par force brute ou par pulvérisation de mot de passe», a expliqué Microsoft. Une attaque par pulvérisation de mots de passe est une méthode permettant d’essayer des mots de passe faibles (tels que "mot de passe" ou "12345678") dans une organisation pour prendre pied sur le réseau.

"Authentification Digest" est un ancien protocole de vérification de l'identité des utilisateurs, selon le glossaire de Microsoft. Le protocole d'authentification "NT LAN Manager" (NTLM) est un autre protocole de contestation et de réponse utilisé avec Exchange, mais il a récemment été annoncé comme potentiellement attaqué par des attaquants distants. Kerberos est un système d'authentification basé sur des tickets permettant l'échange d'informations.

L'annonce a répertorié un ensemble d'anciens protocoles à bloquer lors de l'utilisation d'Exchange Server 2019, notamment Exchange Active Sync, IMAP et POP3. Les informaticiens peuvent utiliser les applets de commande PowerShell pour appliquer le blocage de protocole.

Exigences modernes

Contrairement à ces anciens protocoles, l'authentification moderne hybride dépend de la fiabilité de la fédération avec le service de fournisseur d'identité Azure Active Directory pour les utilisateurs finaux. De plus, cela implique l'échange de jetons basés sur le protocole standard OAuth (Open Authentication).

Voici comment Greg Taylor, responsable de programme principal pour Office 365, l'a décrit dans un article de blog de l'équipe Exchange sur l'authentification moderne hybride (HMA):

HMA permet à Outlook d'obtenir des jetons d'accès et d'actualisation OAuth auprès d'Azure AD (soit directement pour les identités de synchronisation de mot de passe ou d'authentification simplifiée, soit à partir de leurs propres STS pour les identités fédérées) et Exchange sur site les acceptera et fournira un accès aux boîtes aux lettres.

Les organisations souhaitant utiliser l'authentification moderne hybride doivent utiliser au minimum Exchange Server 2013 avec CU19 ou une version ultérieure installée et / ou Exchange Server 2016 avec CU8 et / ou Exchange Server 2019. Cela ne fonctionne pas avec Exchange Server 2010.

Les clients de messagerie doivent prendre en charge ADAL pour l'authentification moderne hybride, ce qui leur permet en outre "d'utiliser des fonctionnalités de connexion telles que l'authentification multi-facteurs (MFA), l'authentification par carte à puce et par certificat", selon ce document Microsoft. L'authentification multifactorielle est une approche recommandée par Microsoft qui nécessite un moyen secondaire de vérifier l'identité d'un utilisateur en plus d'un mot de passe. Le moyen secondaire peut être une réponse de l'utilisateur à un message texte ou un appel téléphonique automatisé, ou l'utilisation d'un code PIN.

Compte tenu de l'exigence ADAL, des clients de messagerie spécifiques doivent être en place pour utiliser l'authentification moderne hybride avec Exchange Server. Selon l'annonce, ces clients comprennent:

  • Outlook 2013 ou version ultérieure (Outlook 2013 nécessite un changement de clé de registre)
  • Outlook 2016 pour Mac ou version ultérieure
  • Outlook pour iOS et Android
  • Mail pour iOS 11.3.1 ou version ultérieure

Pour passer à l'authentification hybride moderne, vous devez effectuer de nombreuses étapes, comme indiqué par Taylor. Même Microsoft a tout gâché, il a avoué:

Comme tous les changements, ça [modern hybrid authentication] nécessite une planification et une exécution minutieuses, et particulièrement lorsque vous jouez avec auth, soyez très prudent, s'il vous plaît. Si les gens ne peuvent pas se connecter, c'est mauvais. Cela fait des mois que nous courons comme ça chez Microsoft, et nous avons aussi raté un SPN quand nous l'avons fait pour la première fois, donc ça peut arriver.

Microsoft recommande de tester d'abord l'authentification moderne hybride dans un environnement de laboratoire avant d'essayer de l'activer.

A propos de l'auteur

Kurt Mackie est producteur d'actualités principal pour le 1105 Enterprise Computing Group.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.