Avertissement : Appareils macOS liés à Active Directory et vulnérabilité CVE-2021-42287

Détails de la vulnérabilité :

Durant l'automne 2021, Microsoft a identifié un problème de sécurité dans Active Directory Domain Services (ADDS), désigné sous le numéro CVE-2021-42287. Cette vulnérabilité peut permettre à des pirates de prendre l'apparence de contrôleurs de domaine. Elle touche le certificat PAC (Privilege Attribute Certificate) de Kerberos et permet de contourner la sécurité.

Microsoft a publié des informations supplémentaires à son sujet et des instructions de correction sur son site d'assistance. Cependant, les administrateurs ont immédiatement découvert que celles-ci entraînaient un autre problème : les serveurs corrigés n'autorisaient plus les machines macOS à se lier à Active Directory.

Mesures à prendre immédiatement :

• Évaluez votre environnement : si le parc macOS de votre entreprise n'a pas besoin d'être lié à des contrôleurs de domaine Active Directory, aucune autre démarche n'est nécessaire. De nombreuses organisations utilisent toutefois la liaison à AD pour assurer la gestion centralisée des comptes utilisateurs lorsqu'elles ont des machines partagées.

• Prenez des mesures pour sécuriser Active Directory : dans les étapes de correction suggérées par Microsoft, définissez la clé de registre PacRequestorEnforcement sur « 1 » et vérifiez que les appareils macOS peuvent bel et bien communiquer avec le contrôleur de domaine.

• Signalez le problème à Apple : si votre workflow impose une liaison à AD, envoyez un commentaire à Apple en indiquant clairement le nombre d'appareils concernés, le cas d'utilisation et l'impact sur votre organisation.

• Préparez la suite : Microsoft commence à appliquer la validation des contrôleurs de domaine le 12 juillet 2022 D'ici là, les contrôleurs de domaine entreront dans la phase d'application, ce qui pourrait rendre inaccessibles les appareils macOS dont l'authentification repose sur ADDS, selon l'infrastructure de votre organisation. Nous conseillons aux organisations de trouver des solutions alternatives pour assurer la continuité de leurs activités.

Un avenir sans liaison :

Quelles que soient les mesures prises par Microsoft, des changements dans la mise en œuvre de la liaison peuvent compliquer la prise en charge des workflows. Gardons cependant en tête que les environnements de travail distants et hybrides sont aujourd'hui largement adoptés : de nombreuses entreprises s'orientent vers le cloud pour la gestion des appareils, leurs applications et leurs services, mais aussi pour les services d'accès et d'identité. Avec la transition des organisations, des ressources et des infrastructures vers le cloud, la fonctionnalité offerte par la liaison à un domaine devient souvent superflue.

Jamf Connect permet aux ordinateurs Apple sous macOS de provisionner des comptes d'utilisateurs à l'aide d'identifiants cloud, de sécuriser l'accès à ces comptes grâce à des droits d'administration centralisés et de maintenir la synchronisation des identifiants (sur site ou hors site) sans liaison avec AD.

Lorsqu'ils sont en télétravail, les utilisateurs peuvent se connecter à leur Mac avec les identifiants professionnels – nom d'utilisateur et mot de passe – qu'ils utilisent au bureau. Les administrateurs informatiques attribuent des droits d'administration sur les comptes locaux en s'appuyant sur le service d'annuaire cloud du fournisseur d'identité (IdP). Et grâce à l'authentification unique (SSO), les services d'assistance reçoivent moins de demandes de réinitalisation de mot passe, car les utilisateurs n'en ont qu'un seul à retenir pour accéder à tous les appareils et services gérés.

Au bureau, Jamf Connect utilise les mêmes identifiants pour obtenir des certificats Kerberos sans liaison Active Directory. Les tickets Kerberos permettent ensuite de bénéficier d'un accès fluide et sécurisé aux ressources partagées sur site.

Limites :

Utilisateurs gérés ou sous MDM

Supprimer la liaison nécessite une certaine organisation. Les administrateurs doivent prendre en compte que tous les utilisateurs qui s'authentifient sur un Mac avec un compte AD ont accès aux profils de configuration du canal utilisateur. En l'absence de liaison, l'accès aux profils de configuration de niveau utilisateur sera réservé au premier compte local créé lors de l'inscription automatisée des appareils. En cas de processus d'enrôlement initié par l'utilisateur, l'accès aux profils de configuration de niveau utilisateur sera réservé à l'utilisateur qui a enrôlé l'appareil dans le MDM.

Pour identifier les profils couverts par le niveau utilisateur, vous trouverez sur votre serveur MDM une liste complète des profils de configuration appliqués au parc informatique de votre organisation.

Évaluez comment ces profils de configuration sont utilisés au sein de votre parc informatique. Dans le cas où chaque utilisateur a son appareil, l'application d'un profil au niveau de l'ordinateur ne devrait pas poser de problème. Pour utiliser une analogie : si vous êtes la seule personne à avoir les clés de votre voiture, votre permis de conduire peut aussi bien se trouver dans votre voiture que dans votre portefeuille, cela ne fait pas vraiment de différence. L'essentiel est que vous en ayez un.

Certains produits de sécurité réseau Cisco permettent de suivre les utilisateurs individuellement sur le réseau grâce à un accès basé sur un certificat de niveau utilisateur. Aux administrateurs ensuite de déterminer si un tel degré de suivi est nécessaire, ou bien d'opter pour des produits de sécurité réseau modernes et basés sur le cloud, comme Jamf Private Access.

Réseaux RADIUS 802.1x

Avec Jamf Connect, il faut une connectivité réseau à l'écran de connexion pour s'authentifier auprès de l'IdP basé sur le cloud. L'accès à un réseau RADIUS 802.1x (via la saisie d'un nom d'utilisateur et d'un mot de passe, ou avec un certificat) n'est pas possible dans ce cas de figure.

L'écran de connexion appartient à l'utilisateur root. Par souci de sécurité, l'utilisateur root ne dispose d'aucun stockage ni trousseau macOS permettant de conserver des identifiants ou des certificats de manière sécurisée : il ne peut donc pas utiliser d'identifiants de niveau utilisateur.

Un appareil géré doit utiliser un certificat géré pour accéder à des réseaux gérés. Dans ce cas, les administrateurs doivent définir des profils de configuration au niveau de l'ordinateur afin de fournir un accès aux réseaux RADIUS via un certificat SCEP résidant sur la machine. De cette manière, un appareil reste accessible aux administrateurs et aux commandes MDM même si aucun utilisateur n'est connecté, ce qui ajoute une couche supplémentaire de sécurité.