Vue d’ensemble
Le niveau d’authentification LanMan doit être configuré pour utiliser uniquement NTLMv2 et refuser LM et NTLM.
Description
Cette règle détermine le protocole d’authentification pour les connexions réseau. Par défaut, Active Directory utilise Kerberos, mais peut utiliser LM, NTLM ou NTLMv2 si nécessaire. NTLM est moins sécurisé et conservé pour la compatibilité.
Impact
La modification peut affecter la compatibilité avec certains appareils clients qui ne supportent pas NTLMv2.
Solution
Il est recommandé de configurer la stratégie avec une valeur correcte. Suivez les étapes ci-dessous pour configurer le paramètre (choisissez l’une des méthodes suggérées) :
- Correction via la console : Cette vulnérabilité peut être corrigée automatiquement via la console. Consultez l’exemple de mise en œuvre du flux de remédiation automatisé.
- Utilisation de l’Éditeur de stratégie de groupe : Appuyez sur les touches Windows+R, tapez ‘gpedit.msc’ et appuyez sur OK.
Accéder à la stratégie de sécurité pour configurer le niveau d’authentification LanMan
- Accédez à Stratégie de l’ordinateur local > Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité.
- Dans le volet de droite, sélectionnez Sécurité réseau : Niveau d’authentification Lan Manager.
Configurer le niveau d’authentification LanMan
- Double-cliquez sur l’option et sélectionnez Envoyer uniquement une réponse NTLMv2. Refuser LM & NTLM.
- Cliquez sur OK.
Utilisation de l’Éditeur du Registre Windows
- Appuyez sur les touches Windows + R.
- Tapez `regedit` dans la fenêtre Exécuter.
- Cliquez sur OK pour ouvrir l’Éditeur du Registre.
Configurer le niveau d’authentification LanMan via le Registre
- Accédez à la clé suivante dans l’Éditeur du Registre : `HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa`.
- Dans le menu Édition, sélectionnez Nouvelle valeur DWORD et nommez-la `LmCompatibilityLevel`.
- Double-cliquez sur cette valeur et définissez-la à 5.
