Savez-vous combien d'authentifications Windows Logon sont effectuées chaque jour ? Des centaines de milliers d'employés dans le monde l'utilisent quotidiennement pour accéder à leurs ordinateurs portables, de bureau et à leurs environnements virtuels afin d'effectuer leurs tâches. Cependant, malgré l'adoption généralisée de l'authentification multifacteur, Authentification (MFA) pour les applications cloud, cette couche critique reste souvent non protégée.
Bien que ce défi de sécurité soit bien connu, la véritable raison réside dans la difficulté de le faire respecter. authentification multi-facteur dans différents types d'environnements. Les solutions natives, comme Windows Hello Entreprise, peuvent nécessiter une infrastructure supplémentaire, tandis que de nombreuses plateformes de bureaux virtuels ne prennent souvent pas en charge l'authentification multifacteur (MFA) intégrée. Dans les environnements opérationnels et distants, la mise en œuvre de l'authentification multifacteur (MFA) peut s'avérer encore plus complexe en raison d'une connectivité limitée ou de l'impossibilité d'utiliser des appareils mobiles.
Dans ce blog, nous explorerons pourquoi l’application MFA pour Windows La connexion est si difficile et comment Silverfort La solution Windows Logon permet de combler ces lacunes.
Avant de commencer tout travail : la première étape est la connexion Windows
Nous voyons généralement deux principaux types de connexion Windows dans les organisations : la connexion Windows locale et la connexion au bureau virtuel :
Ouverture de session Windows locale
Il s'agit du processus de connexion directe à une machine Windows individuelle à l'aide d'un locales ou compte basé sur un domaine. Il est couramment utilisé sur les appareils individuels, les ordinateurs portables professionnels, les terminaux partagés dans le commerce de détail ou la santé, et les ordinateurs des environnements OT.
Ces machines fonctionnent souvent en dehors de la visibilité des systèmes d’identité centralisés, y compris Active Directory (AD) ou IdP modernes. Par conséquent, l'application de l'authentification multifacteur est très incohérente, en particulier pour les comptes locaux non connectés à un domaine, exposant ces machines à une compromission des identifiants.
Connexion au bureau virtuel
Dans ce processus, les utilisateurs s'authentifient dans des environnements virtuels tels qu'Azure Virtual Desktop, Citrix ou des sessions RDP (Remote Desktop Protocol). Bien que ces environnements soient gérés de manière centralisée, le processus de connexion initiale repose toujours sur la couche d'authentification Windows avant toute authentification multifacteur.
De nombreuses infrastructures de postes de travail virtuels ne prennent pas en charge l'authentification multifacteur (MFA) native à ce stade, ce qui crée une faille de sécurité exploitable par les attaquants lors des accès à distance. Sans l'application de l'authentification multifacteur (MFA), les entreprises exposent leurs données et applications critiques aux attaques se connectant depuis des appareils non gérés ou externes.
Pourquoi l'application de l'authentification multifacteur pour la connexion Windows n'est pas si simple
L'application de l'authentification multifacteur (MFA) à l'ouverture de session Windows peut paraître simple, mais en pratique, il ne s'agit pas d'une simple case à cocher technique pour les équipes de sécurité. Si les applications SaaS, les charges de travail cloud et les VPN peuvent être protégés par des fournisseurs d'identité centralisés (IdP), l'ouverture de session Windows est souvent laissée pour compte, sans surveillance ni protection.
Contrairement aux applications cloud qui s'appuient sur des plateformes SSO centralisées, l'authentification Windows Logon s'effectue au niveau du terminal, où l'application et la visibilité de l'authentification multifacteur dépendent de l'infrastructure sous-jacente. Dans de nombreux cas, notamment sur des machines locales ou hors ligne, cela complique l'application de politiques cohérentes ou le suivi des activités d'authentification par les équipes de sécurité.
Il introduit un ensemble différent de défis basés sur exigences supplémentaires en matière d'infrastructures, manque de support natif pour les environnements virtuels et la réalité des scénarios d'utilisation hors ligne. Avec ces risques à l'esprit, les attaquants recherchent souvent la présence de l'authentification Windows Logon dans l'environnement pour compromettre les informations d'identification et commencer à se déplacer latéralement avec les déplacements verticaux et élévations de privilèges après.
Examinons de plus près pourquoi la protection de la connexion Windows avec MFA est plus difficile qu’il n’y paraît.
- Exigences supplémentaires en matière d'infrastructures : un obstacle au déploiement
La protection des connexions Windows par MFA nécessite souvent le déploiement d'infrastructures supplémentaires, notamment l'authentification par certificat, l'infrastructure à clé publique (PKI) ou l'inscription d'appareils biométriques. Ces composants complexifient la configuration et limitent la capacité d'adaptation de la MFA à divers environnements. Pour les organisations disposant de peu d'effectifs ou ne disposant pas d'infrastructure de certification, cela constitue un goulot d'étranglement qui retarde, voire empêche, toute mise en œuvre de la MFA. Par conséquent, la couche d'authentification critique reste exposée en raison du coût et des efforts de déploiement trop élevés.
- Manque de support natif dans les environnements virtuels : une faille de sécurité pour l'accès à distance
Dans les environnements de postes de travail virtuels, l'application de l'authentification multifacteur (MFA) est souvent absente au niveau initial de l'identité. Ces plateformes peuvent prendre en charge l'authentification multifacteur à des étapes ultérieures, comme l'accès aux applications ou l'ouverture de session, ce qui crée un angle mort où les utilisateurs peuvent s'authentifier sur le poste de travail sans vérification supplémentaire. Pour les attaquants, il s'agit d'une faille critique dans les scénarios d'accès à distance, permettant une compromission basée sur les identifiants ou mouvements latéraux sans aucun déclencheur MFA.
- Environnements hors ligne et OT : pas de connectivité, pas d'authentification multifacteur
Dans de nombreuses organisations, les machines Windows fonctionnent dans des environnements où la connectivité réseau est limitée ou restreinte. Il s'agit notamment des systèmes OT des usines, des salles de contrôle industrielles, des entrepôts et des sites distants. Dans ces environnements, les employés ne peuvent utiliser aucune méthode MFA traditionnelle, y compris les notifications push. Par conséquent, les authentifications Windows Logon restent totalement non protégées et non observées, laissant les ressources critiques vulnérables aux compromissions.
Ces défis laissent la couche de connexion Windows exposée, ce qui en fait une cible de choix pour attaques basées sur l'identitéC'est pourquoi, pour de nombreuses organisations, l'application de l'authentification multifacteur à ce niveau n'est plus facultative. Les politiques d'assurance cyber et les cadres de conformité, comme CJIS, nécessitent désormais une authentification sécurisée au niveau de la machine pour protéger les données sensibles.
Comment Silverfort étend l'authentification multifacteur pour la connexion Windows
Silverfort permet aux organisations d'appliquer l'authentification multifacteur (MFA) à tous les types de scénarios de connexion Windows sans nécessiter le déploiement d'une infrastructure supplémentaire dans l'environnement. s'intégrant directement au niveau du protocole d'authentification, Silverfort applique l'authentification multifacteur en temps réel aux authentifications basées sur le domaine et locales, que ce soit sur un périphérique physique, une machine virtuelle ou un système hors ligne.
Explorons comment Silverfort aide les organisations à répondre à différents cas d’utilisation de l’authentification Windows Logon.
Application de l'authentification multifacteur pour les points de terminaison Windows locaux
Silverfort pour Windows Logon (S4WL) fournit un contrôle d'accès et une analyse des risques en temps réel pour tous les points de terminaison Windows afin de permettre aux utilisateurs de s'authentifier auprès du domaine AD local ou de Microsoft Entra ID. Lorsqu'un utilisateur tente de se connecter, Silverfort évalue la demande via son moteur de politique et peut déclencher une notification push via Entra ID, garantissant que l'identité de l'utilisateur est vérifiée avant que l'accès ne soit accordé.
Protection de la connexion au bureau virtuel
Silverfort Sécurise les sessions RDP en appliquant l'authentification multifacteur (MFA) directement au niveau de la couche d'ouverture de session Windows. Dans cette configuration, lorsqu'un utilisateur établit une connexion RDP, il est invité à saisir un code d'accès à usage unique (OTP) qui fournit une couche de vérification d'identité supplémentaire avant d'accorder l'accès aux machines ou serveurs distants.
Sécurisation des environnements hors ligne et OT
Dans les environnements où la connectivité Internet est limitée ou indisponible, comme les systèmes OT dans les usines ou les sites de terrain, Silverfort prend en charge la connexion Windows hors ligne en évaluant les tentatives d'authentification localement et en invitant les utilisateurs à s'authentifier avec un jeton matériel FIDO2 ou un code TOTP.
Prévenir les attaques basées sur l'identité dès la première connexion
La connexion Windows est l'un des premiers points d'accès les plus courants dans toute organisation. Sans protection à ce niveau critique, les attaquants peuvent facilement exploiter les identifiants pour se déplacer latéralement et élever leurs privilèges sans être détectés. Silverfort contribue à combler cet angle mort en appliquant des contrôles MFA stricts sur le processus d'authentification. Grâce à une visibilité de bout en bout sur chaque tentative d'authentification et à un contrôle d'accès basé sur des politiques, Silverfort peut enfin aider les équipes de sécurité à prévenir les attaques basées sur l’identité.
Vous cherchez à sécuriser vos authentifications Windows Logon ? Planifier un appel avec l'un de nos experts pour voir comment Silverfort peut vous aider à sécuriser votre environnement.