{"id":338,"date":"2024-01-09T15:52:00","date_gmt":"2024-01-09T14:52:00","guid":{"rendered":"https:\/\/networkjon.fr\/blog\/?p=338"},"modified":"2025-01-09T16:07:32","modified_gmt":"2025-01-09T15:07:32","slug":"fr-windows-credential-guard-vers-une-disparition-de-eap-peap-mschapv2","status":"publish","type":"post","link":"https:\/\/www.networkjon.fr\/blog\/fr-windows-credential-guard-vers-une-disparition-de-eap-peap-mschapv2\/","title":{"rendered":"[FR] Windows Credential Guard : vers une disparition de EAP-PEAP MSCHAPv2 ?"},"content":{"rendered":"\n

Dans cette note d\u2019information, je souhaite vous partager un sujet d\u2019actualit\u00e9 qui peut avoir un impact \u00e0 court terme sur les infrastructures Wi-Fi et filaires 802.1x.<\/p>\n\n\n\n

Qu\u2019est-ce que Credential Guard ?<\/h2>\n\n\n\n

Windows Defender Credential Guard est une fonctionnalit\u00e9 de s\u00e9curit\u00e9 introduit par Microsoft pour la premi\u00e8re fois sur Windows 10 et Windows 2016 Server. Elle permet de prot\u00e9ger les informations d\u2019identification de domaine. Avant Credential Guard, les identifiants de connexion d\u2019un ordinateur Windows \u00e9taient stock\u00e9es dans la RAM directement. De ce fait, ils \u00e9taient accessibles par n\u2019importe quel utilisateur du poste, qu\u2019il soit administrateur du poste ou non. Avec Credential Guard, ces identifiants sont d\u00e9sormais stock\u00e9s dans un conteneur virtuel s\u00e9curis\u00e9 auquel le syst\u00e8me d\u2019exploitation ne peut pas directement acc\u00e9der. L\u2019int\u00e9r\u00eat de cette fonctionnalit\u00e9 est de s\u00e9curiser l\u2019acc\u00e8s \u00e0 ces donn\u00e9es critiques qui pouvaient auparavant \u00eatre obtenues facilement par un attaquant (via l\u2019utilisation d\u2019outil comme Mimikatz<\/a> par exemple). Le sch\u00e9ma ci-dessous illustre le fonctionnement de Credentials Guard et on y voit le conteneur s\u00e9curis\u00e9 dans lequel les identifiants \u00ab\u00a0single sign-on\u00a0\u00bb (les identifiants d\u2019ouverture de session) sont d\u00e9sormais stock\u00e9s :<\/p>\n\n\n

\n
\"\"
Conteneurs Windows<\/figcaption><\/figure>\n<\/div>\n\n\n

Microsoft a acc\u00e9l\u00e9r\u00e9 l\u2019adoption de cette fonctionnalit\u00e9. Ainsi, \u00e0 partir de la version Windows 11 22H2<\/strong> (20 septembre 2022), Credential Guard est d\u00e9sormais activ\u00e9 par d\u00e9faut<\/strong>.<\/p>\n\n\n\n

Quels probl\u00e8mes Credential Guard pose-t-il pour nos infrastructures 802.1x Wi-Fi et filaire\u00a0?<\/h2>\n\n\n\n

Cette fonctionnalit\u00e9 a pour effet de \u00ab\u00a0casser\u00a0\u00bb la connexion automatique des machines Windows en 802.1x lorsqu\u2019elles utilisent une authentification par utilisateur et mot de passe. Plus pr\u00e9cis\u00e9ment, on parle dans ce cas des authentifications en EAP-PEAP MS-CHAPv2 (ou protocoles de s\u00e9curit\u00e9 inf\u00e9rieures) qui utilisent le compte utilisateur ou le compte machine. Apr\u00e8s l\u2019ouverture de session, Credential Guard emp\u00eache Windows d\u2019acc\u00e9der aux identifiants \u00ab\u00a0single sign-on\u00a0\u00bb stock\u00e9s d\u00e9sormais dans le conteneur virtualis\u00e9, for\u00e7ant ainsi l\u2019utilisateur \u00e0 saisir manuellement son identifiant et mot de passe<\/strong> lorsqu\u2019il souhaite se connecter au r\u00e9seau Wi-Fi (ou filaire) s\u00e9curis\u00e9 par 802.1x.<\/p>\n\n\n\n

M\u00eame si EAP-PEAP MS-CHAPv2 n\u2019est pas l\u2019authentification la plus s\u00e9curis\u00e9e qui existe, elle est encore largement utilis\u00e9e dans de nombreux r\u00e9seaux. La g\u00e9n\u00e9ralisation de Credential Guard va donc entrainer des probl\u00e8mes de connexion pour les utilisateurs sur ces r\u00e9seaux.<\/p>\n\n\n\n

Notons que les authentifications plus s\u00e9curis\u00e9es comme EAP-TLS (authentification par certificat) ne sont pas affect\u00e9es par l\u2019activation de Credential Guard.<\/p>\n\n\n\n

Comment pr\u00e9venir et corriger ce probl\u00e8me\u00a0?<\/h2>\n\n\n\n

Avec l\u2019activation par d\u00e9faut de Credential Device \u00e0 partir de la version Windows 11 22H2, la vision de Microsoft est claire\u00a0: il souhaite voir disparaitre les m\u00e9thodes d\u2019authentification moins s\u00e9curis\u00e9es au profit des m\u00e9thodes plus s\u00e9curis\u00e9es comme l\u2019authentification par certificat avec EAP-TLS. D\u2019un point de vue s\u00e9curit\u00e9, la vision de Microsoft est la bonne car EAP-TLS a plusieurs avantages :<\/p>\n\n\n\n