Comment désactiver le protocole d'authentification NTLM dans Active Directory 2026

Avant de désactiver NTLM, vous devez comprendre où il est utilisé dans votre environnement. Windows 11 24H2 et Windows Server 2025 incluent des capacités de journalisation NTLM améliorées qui rendent ce processus beaucoup plus efficace.

Ouvrez la Console de gestion des stratégies de groupe et accédez à votre stratégie de domaine ou créez un nouveau GPO :

gpmc.msc

Accédez à Configuration de l'ordinateur > Stratégies > Paramètres Windows > Paramètres de sécurité > Stratégies locales > Options de sécurité. Configurez ces stratégies d'audit :

Pour Windows 11 24H2 et Server 2025, activez également les nouvelles stratégies de journalisation améliorées au même emplacement.

Vérification : Forcez la mise à jour de la stratégie de groupe et vérifiez le Visualiseur d'événements :

gpupdate /force
# Vérifiez les événements NTLM dans le journal de sécurité
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624,4625} | Where-Object {$_.Message -like '*NTLM*'} | Select-Object TimeCreated, Id, LevelDisplayName, Message

Après avoir collecté les données d'audit, analysez les résultats pour identifier les applications et services qui dépendent de l'authentification NTLM. Cette étape est cruciale pour prévenir les interruptions de service.

Utilisez PowerShell pour extraire et analyser les événements NTLM :

# Extraire les événements d'authentification NTLM des 7 derniers jours
$StartTime = (Get-Date).AddDays(-7)
$NTLMEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    ID=4624,4625
    StartTime=$StartTime
} | Where-Object {$_.Message -match 'NTLM'}

# Grouper par poste de travail source et cible
$NTLMEvents | ForEach-Object {
    $Event = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        SourceWorkstation = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'WorkstationName'} | Select-Object -ExpandProperty '#text'
        TargetUser = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'TargetUserName'} | Select-Object -ExpandProperty '#text'
        AuthenticationPackage = $Event.Event.EventData.Data | Where-Object {$_.Name -eq 'AuthenticationPackageName'} | Select-Object -ExpandProperty '#text'
    }
} | Group-Object SourceWorkstation, TargetUser | Sort-Object Count -Descending

Vérifiez les dépendances communes de NTLM :

# Vérifier les applications utilisant NTLM
Get-WmiObject -Class Win32_Process | Where-Object {$_.CommandLine -like '*ntlm*' -or $_.CommandLine -like '*negotiate*'}

# Vérifier les méthodes d'authentification IIS
if (Get-WindowsFeature -Name IIS-WebServer | Where-Object {$_.InstallState -eq 'Installed'}) {
    Import-Module WebAdministration
    Get-WebConfiguration -Filter 'system.webServer/security/authentication/*' | Where-Object {$_.enabled -eq $true}
}

Vérification : Documentez toutes les applications et services utilisant NTLM. Créez un plan de remédiation pour chaque dépendance identifiée avant de procéder aux restrictions.

Comme mesure de sécurité de base, désactivez le protocole NTLMv1 hérité tout en maintenant la compatibilité NTLMv2. NTLMv1 a été supprimé de Windows 11 24H2 et Windows Server 2025, mais cette politique garantit que les systèmes plus anciens sont protégés.

Dans la console de gestion des stratégies de groupe, accédez au même emplacement Options de sécurité et configurez :

Politique : Sécurité réseau : niveau d'authentification du gestionnaire LAN
Paramètre : Envoyer uniquement la réponse NTLMv2. Refuser LM & NTLM

Cela peut également être configuré via le registre :

# Définir le niveau d'authentification du gestionnaire LAN pour refuser LM et NTLM
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name 'LmCompatibilityLevel' -Value 3 -Type DWord

# Vérifier le paramètre
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa' -Name 'LmCompatibilityLevel'

Appliquez la politique et forcez une mise à jour :

gpupdate /force
# Un redémarrage peut être nécessaire pour certains systèmes
Restart-Computer -Confirm

Testez l'authentification après le changement :

# Tester l'authentification Kerberos
klist tgt

# Tester l'authentification réseau vers une ressource de domaine
Test-NetConnection -ComputerName 'domaincontroller.domain.com' -Port 88

# Vérifier les échecs d'authentification
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4625} -MaxEvents 10

Vérification : Confirmez que l'authentification fonctionne toujours pour les ressources de domaine et qu'aucun événement NTLMv1 n'apparaît dans le journal de sécurité.

Après la remédiation, commencez à mettre en œuvre progressivement les restrictions NTLM. Commencez par les systèmes les plus sécurisés et élargissez progressivement la couverture.

Configurez ces politiques dans les Options de sécurité, en les appliquant à différentes UO en fonction de vos niveaux de sécurité :

Pour les ordinateurs clients (Niveau 1/2) :

Sécurité réseau : Restreindre NTLM : Trafic NTLM sortant vers les serveurs distants
Paramètre : Refuser tout

Pour les serveurs membres (Niveau 1) :

Sécurité réseau : Restreindre NTLM : Trafic NTLM entrant
Paramètre : Refuser tous les comptes de domaine

Pour les contrôleurs de domaine (Niveau 0) - Appliquer EN DERNIER :

Sécurité réseau : Restreindre NTLM : Authentification NTLM dans ce domaine
Paramètre : Refuser pour les comptes de domaine vers les serveurs de domaine

Utilisez PowerShell pour configurer ces paramètres de manière programmatique :

# Configurer les restrictions NTLM sortantes
$OutgoingNTLM = @{
    Path = 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0'
    Name = 'RestrictSendingNTLMTraffic'
    Value = 2  # Refuser tout
    Type = 'DWord'
}
Set-ItemProperty @OutgoingNTLM

# Configurer les restrictions NTLM entrantes (éviter les problèmes de boucle locale)
$IncomingNTLM = @{
    Path = 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0'
    Name = 'RestrictReceivingNTLMTraffic'
    Value = 1  # Refuser tous les comptes de domaine
    Type = 'DWord'
}
Set-ItemProperty @IncomingNTLM

# Pour les contrôleurs de domaine uniquement - restreindre NTLM de domaine
if ((Get-WmiObject -Class Win32_ComputerSystem).DomainRole -ge 4) {
    Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters' -Name 'RestrictNTLMInDomain' -Value 1 -Type DWord
}

Vérification : Testez l'authentification et surveillez les échecs :

# Forcer la mise à jour de la politique
gpupdate /force

# Tester l'acquisition de ticket Kerberos
klist purge
klist tgt

# Surveiller les événements de restriction NTLM (ID d'événement 4004, 4005)
Get-WinEvent -FilterHashtable @{LogName='System'; ID=4004,4005} -MaxEvents 20

Certains systèmes hérités peuvent nécessiter des exceptions NTLM temporaires pendant que vous travaillez sur une remédiation à long terme. Configurez ces exceptions avec soin pour maintenir la sécurité.

Créez des listes d'exceptions pour les systèmes qui doivent continuer à utiliser NTLM :

Dans la stratégie de groupe, accédez au même emplacement des options de sécurité et configurez :

Stratégie : Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur distant pour l'authentification NTLM
Paramètre : Liste de serveurs spécifiques (noms FQDN ou NetBIOS)

Exemple de configuration d'exception :

legacyapp01.domain.com
backupserver.domain.com
192.168.1.100

Pour les exceptions au niveau du domaine sur les contrôleurs de domaine :

Stratégie : Sécurité réseau : Restreindre NTLM : Ajouter des exceptions de serveur dans ce domaine
Paramètre : Liste des serveurs pouvant recevoir NTLM à partir de comptes de domaine

Configurez les exceptions via le registre si nécessaire :

# Créer une liste d'exceptions pour le trafic NTLM sortant
$ExceptionList = @(
    'legacyapp01.domain.com',
    'backupserver.domain.com',
    '192.168.1.100'
)

# Définir la liste d'exceptions (séparée par des points-virgules)
$ExceptionString = $ExceptionList -join ';'
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0' -Name 'ClientAllowedNTLMServers' -Value $ExceptionString -Type String

# Vérifier la liste d'exceptions
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0' -Name 'ClientAllowedNTLMServers'

Surveiller l'utilisation des exceptions :

# Vérifier l'utilisation de NTLM vers les serveurs d'exception
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Where-Object {
    $_.Message -match 'NTLM' -and 
    ($_.Message -match 'legacyapp01' -or $_.Message -match 'backupserver')
} | Select-Object TimeCreated, Message

Vérification : Confirmez que les exceptions fonctionnent comme prévu et que NTLM est toujours bloqué pour les systèmes non exceptionnels.

Après avoir mis en œuvre les restrictions NTLM, testez minutieusement l'authentification Kerberos et résolvez tous les problèmes qui surviennent.

Testez la fonctionnalité Kerberos dans votre environnement :

# Effacer les tickets existants et en demander de nouveaux
klist purge
klist tgt

# Tester l'authentification à divers services
Test-NetConnection -ComputerName 'fileserver.domain.com' -Port 445
Test-NetConnection -ComputerName 'webserver.domain.com' -Port 80
Test-NetConnection -ComputerName 'sqlserver.domain.com' -Port 1433

# Vérifier les tickets Kerberos pour des services spécifiques
klist

Étapes courantes de dépannage pour les problèmes Kerberos :

# Vérifier la synchronisation de l'heure (critique pour Kerberos)
w32tm /query /status
w32tm /resync

# Vérifier la résolution DNS pour les contrôleurs de domaine
nslookup _kerberos._tcp.domain.com
nslookup _ldap._tcp.domain.com

# Vérifier l'enregistrement SPN pour les services
setspn -L serviceaccount
setspn -Q HTTP/webserver.domain.com

# Tester l'authentification Kerberos avec un chiffrement spécifique
klist -e

Surveiller les échecs d'authentification et les tentatives de repli NTLM :

# Vérifier les échecs d'authentification Kerberos
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4768,4769,4771} -MaxEvents 50 | Where-Object {$_.LevelDisplayName -eq 'Error'}

# Vérifier les événements de restriction NTLM
Get-WinEvent -FilterHashtable @{LogName='System'; ID=4004,4005,4006,4007} -MaxEvents 20

# Rechercher les rétrogradations de package d'authentification
Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624} | Where-Object {$_.Message -match 'NTLM' -and $_.Message -notmatch 'SYSTEM'}

Si vous rencontrez des problèmes persistants, utilisez l'escalade recommandée par Microsoft :

# Collecter des journaux d'authentification détaillés pour le support Microsoft
wevtutil el | findstr -i auth
wevtutil qe Security /q:"*[System[(EventID=4624 or EventID=4625)]]" /f:text /rd:true /c:100

Vérification : Confirmez que tous les services critiques s'authentifient avec succès en utilisant Kerberos et qu'aucune utilisation inattendue de NTLM ne se produit.

Établir une surveillance continue pour s'assurer que les restrictions NTLM restent efficaces et pour détecter toute nouvelle dépendance qui pourrait apparaître.

Créer un script de surveillance pour suivre l'utilisation de NTLM :

# Créer un script de surveillance NTLM
$MonitoringScript = @'
# Script de surveillance NTLM
$LogPath = "C:\Logs\NTLM-Monitor.log"
$Date = Get-Date -Format "yyyy-MM-dd HH:mm:ss"

# Vérifier les événements d'authentification NTLM
$NTLMEvents = Get-WinEvent -FilterHashtable @{
    LogName='Security'
    ID=4624,4625
    StartTime=(Get-Date).AddHours(-1)
} | Where-Object {$_.Message -match 'NTLM'}

if ($NTLMEvents) {
    "$Date - Authentification NTLM détectée :" | Out-File -FilePath $LogPath -Append
    $NTLMEvents | ForEach-Object {
        "  ID de l'événement : $($_.Id), Heure : $($_.TimeCreated), Message : $($_.Message.Substring(0,200))..." | Out-File -FilePath $LogPath -Append
    }
}

# Vérifier les violations des restrictions NTLM
$RestrictionEvents = Get-WinEvent -FilterHashtable @{
    LogName='System'
    ID=4004,4005,4006,4007
    StartTime=(Get-Date).AddHours(-1)
} -ErrorAction SilentlyContinue

if ($RestrictionEvents) {
    "$Date - Événements de restriction NTLM :" | Out-File -FilePath $LogPath -Append
    $RestrictionEvents | ForEach-Object {
        "  ID de l'événement : $($_.Id), Heure : $($_.TimeCreated), Niveau : $($_.LevelDisplayName)" | Out-File -FilePath $LogPath -Append
    }
}
'@

# Enregistrer et planifier le script de surveillance
$MonitoringScript | Out-File -FilePath "C:\Scripts\NTLM-Monitor.ps1" -Encoding UTF8

# Créer une tâche planifiée pour une surveillance horaire
$Action = New-ScheduledTaskAction -Execute "PowerShell.exe" -Argument "-ExecutionPolicy Bypass -File C:\Scripts\NTLM-Monitor.ps1"
$Trigger = New-ScheduledTaskTrigger -Once -At (Get-Date) -RepetitionInterval (New-TimeSpan -Hours 1)
$Principal = New-ScheduledTaskPrincipal -UserId "SYSTEM" -LogonType ServiceAccount
Register-ScheduledTask -TaskName "NTLM-Monitor" -Action $Action -Trigger $Trigger -Principal $Principal

Configurer des alertes pour une utilisation inattendue de NTLM :

# Créer un script d'alerte pour les événements NTLM critiques
$AlertScript = @'
Param([string]$EventLogName, [int]$EventID)

$Event = Get-WinEvent -FilterHashtable @{LogName=$EventLogName; ID=$EventID} -MaxEvents 1
if ($Event -and $Event.TimeCreated -gt (Get-Date).AddMinutes(-5)) {
    # Envoyer une alerte par email (configurer les paramètres SMTP)
    $EmailParams = @{
        To = "admin@domain.com"
        From = "ntlm-monitor@domain.com"
        Subject = "Alerte NTLM : Authentification inattendue détectée"
        Body = "Événement NTLM détecté : $($Event.Message)"
        SmtpServer = "mail.domain.com"
    }
    Send-MailMessage @EmailParams
}
'@

$AlertScript | Out-File -FilePath "C:\Scripts\NTLM-Alert.ps1" -Encoding UTF8

Tâches de maintenance régulières :

# Rapport hebdomadaire sur l'état de NTLM
$WeeklyReport = @'
# Générer un rapport hebdomadaire sur l'état de NTLM
$StartDate = (Get-Date).AddDays(-7)
$Report = @()

# Compter les événements NTLM par type
$NTLMCount = (Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624; StartTime=$StartDate} | Where-Object {$_.Message -match 'NTLM'}).Count
$KerberosCount = (Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4624; StartTime=$StartDate} | Where-Object {$_.Message -match 'Kerberos'}).Count

$Report += "Événements d'authentification NTLM : $NTLMCount"
$Report += "Événements d'authentification Kerberos : $KerberosCount"
$Report += "Pourcentage NTLM : $([math]::Round(($NTLMCount / ($NTLMCount + $KerberosCount)) * 100, 2))%"

$Report | Out-File -FilePath "C:\Reports\NTLM-Weekly-$(Get-Date -Format 'yyyy-MM-dd').txt"
'@

Vérification : Examiner régulièrement les journaux de surveillance et enquêter sur toute utilisation inattendue de NTLM. Assurez-vous que votre surveillance capture à la fois les tentatives d'authentification réussies et échouées.