L'envoi d'informations d'identification Windows sur le réseau peut être lu par des tiers si le réseau n'est pas correctement protégé. C'est pourquoi toute partie de cet article qui ne fait pas partie d'un fichier de configuration DocuWare doit toujours être approuvée et soigneusement personnalisée par votre service de sécurité.
Problème :
Cependant, la fenêtre de connexion de Windows s'affiche toujours. Que faut-il faire pour authentifier un utilisateur via NTLM ?
Réponse :
DocuWare attend pendant ce processus l'approbation de l'hôte pour savoir si le client est autorisé à voir la ressource ou non.
NTLM ne fonctionne par défaut que pour les sites intranet, mais HTTPS n'est pas reconnu comme un site intranet d'après l'expérience.
- Navigateur
Le navigateur est autorisé à transférer le nom d'utilisateur Windows à l'hôte :
Emplacement : Ordinateur du client
Edge, Chrome : (Options Internet > Sécurité > Intranet local > Personnaliser le niveau : Authentification de l'utilisateur - Connexion automatique avec nom d'utilisateur et mot de passe. En outre, le site Web DocuWare (a*) doit être ajouté à la zone intranet locale.
Voir la capture d'écran
Edge extra : Par défaut, Microsoft Edge utilise la zone intranet comme liste d'autorisation pour l'authentification intégrée de Windows (WIA). Vous pouvez également personnaliser la liste des serveurs autorisés pour l'authentification intégrée en utilisant la stratégie AuthServerAllowlist.
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-identity
Firefox : about:config > network.automatic-ntlm-auth.trusted-uris > La page web DocWare (a*) est saisie ici.
Voir la capture d'écran
a* Pour tous les navigateurs : L'URL avec le protocole est saisi ici. Si DocuWare est appelé via https://docuware.de/DocuWare, la valeur est https://docuware.de. - Client
Le client est autorisé à transférer l'identifiant Windows à l'hôte
Emplacement : Ordinateur du client
Windows empêche les attaques par réflexion par défaut=
(b*) Une clé doit être introduite dans le registre. Elle définit vers quel hôte l'identifiant Windows peut être transféré.
Chemin d'accès au registre sur le client : Ordinateur\CKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0
Type de clé : valeur multi-chaîne
Nom de la clé : BackConnectionHostNames
Contenu de la clé : N'importe quelle URL (sans protocole https et sans chemin d'accès). Si DocuWare est appelé via https://docuware.de/DocuWare, la valeur est docuware.de
Voir la capture d'écran - ID réseau
L'utilisateur DocuWare possède l'ID réseau correct (ID utilisateur Windows).
Emplacement : /DocuWare/Paramètres/ - Fournisseur d'identité
NTLM est choisi comme méthode de connexion SSO.
Emplacement : /DocuWare/Paramètres/
b* nous vous recommandons d'en parler d'abord à votre service de sécurité informatique, car vous envoyez les informations d'identification Windows sur le réseau, ce qui peut ne pas être sûr. - SSO basé sur WIA avec ADFS
Pour supporter le SSO basé sur WIA sur Microsoft Edge (version 77 et suivantes), vous devrez peut-être aussi faire un peu de configuration côté serveur. Vous devrez probablement configurer la propriété WiaSupportedUserAgents des services de fédération de l'Active Directory (AD FS) pour ajouter la prise en charge de la nouvelle chaîne d'agent utilisateur Microsoft Edge
Sources d'information externes :
https://learn.microsoft.com/en-us/deployedge/microsoft-edge-security-identity
https://www.crowdstrike.de/cybersecurity-101/ntlm-windows-new-technology-lan-manager/ (allemand)
https://www.crowdstrike.com/cybersecurity-101/ntlm-windows-new-technology-lan-manager/ (anglais)
https://www.crowdstrike.com/ search for NTLM pour trouver d'autres articles de blog de ce site web
Capture d'écran Intranetzone :
Capture d'écran Clé de registre :
Sécurité du réseau Niveau d'authentification du gestionnaire de réseau local
Assurez-vous que vous avez défini le niveau d'authentification correct. Nous avons eu des cas où NTLM était interdit globalement
Veuillez noter : Cet article est une traduction de l'anglais. Les informations contenues dans cet article sont basées sur la ou les versions originales des produits en langue anglaise. Il peut y avoir des erreurs mineures, notamment dans la grammaire utilisée dans la version traduite de nos articles. Bien que nous ne puissions pas garantir l'exactitude complète de la traduction, dans la plupart des cas, vous la trouverez suffisamment informative. En cas de doute, veuillez revenir à la version anglaise de cet article.