Compatibilité de l'authentification du pare-feu Zyxel avec Windows Server 2025

Création - Mise à jour
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Vous avez d’autres questions ? Envoyer une demande

Avis important :
Cher client, veuillez noter que nous utilisons la traduction automatique pour fournir des articles dans votre langue locale. Il se peut que certains textes ne soient pas traduits correctement. En cas de questions ou de divergences sur l'exactitude des informations contenues dans la version traduite, veuillez consulter l'article original ici: Version originale

Avec les changements introduits dans Microsoft Windows Server 2025, la prise en charge de l'authentification NTLM a été supprimée au profit de protocoles d'authentification plus modernes et plus sûrs. Par conséquent, les méthodes d'authentification reposant sur MSCHAPv2, telles que celles utilisées dans les environnements Active Directory (AD) et RADIUS, peuvent rencontrer des problèmes de compatibilité lors de l'interface avec les appliances de pare-feu Zyxel fonctionnant avec les versions actuelles du firmware.

Remarque : à partir d'avril 2025, Windows Server 2025 continue de prendre en charge MS-CHAPv2 pour l'authentification.
Cependant, il est important de noter que Windows Defender Credential Guard, activé par défaut dans Windows Server 2025, peut interférer avec les méthodes d'authentification basées sur MS-CHAPv2, telles que PEAP-MSCHAPv2 et EAP-MSCHAPv2.
Cette interférence peut entraîner des échecs d'authentification dans des scénarios tels que l'authentification Active Directory (AD) sur votre pare-feu Zyxel et l'authentification par serveur RADIUS.

Si vous cherchez à intégrer votre pare-feu Zyxel avec Windows Server 2025 Active Directory en utilisant LDAPS (port TCP 636) sur ZLD 5.40 ou uOS 1.32, veuillez vous référer à cet article dédié :
👉 Zyxel Firewall - Windows Server 2025 Active Directory et Zyxel Firewall ZLD 5.40/uOS 1.32

Remarque : cet article se concentre sur les problèmes de compatibilité d'authentification (par exemple, MS-CHAPv2, dépréciation de NTLM) avec Windows Server 2025. Si vous recherchez des étapes d'intégration AD à l'aide de LDAPS, veuillez vous référer à l'article lié en bas de page.

Comportement observé

Lors d'une tentative d'authentification d'utilisateurs via AD ou NPS (Network Policy Server) à l'aide de MSCHAPv2, les pare-feux Zyxel peuvent ne pas recevoir de réponse valide, ce qui entraîne l'échec des tentatives d'authentification. Ce comportement est dû à la suppression de la prise en charge de NTLM dans Windows Server 2025, qui est un composant nécessaire au fonctionnement de MSCHAPv2.

Solution recommandée par Zyxel

Pour garantir une authentification continue et ininterrompue des utilisateurs, Zyxel recommande la solution de contournement suivante jusqu'à ce que la compatibilité totale soit introduite :

  • Créez des comptes d'utilisateurs locaux sur le pare-feu Zyxel à des fins d'authentification.
  • Cela permet de contourner la dépendance à l'égard de NTLM et d'assurer une expérience de connexion fluide pour les utilisateurs tout en maintenant la sécurité du réseau.

Solution de contournement (avec prudence)

Solution de contournement 1 : Activation de SSL (LDAPS) sur le pare-feu Zyxel

Cette solution de contournement consiste essentiellement à utiliser LDAP sur SSL, qui s'aligne sur les nouvelles politiques de sécurité de Microsoft et remplace l'ancien protocole NTLM.

Étapes de configuration:

  1. Connectez-vous à l'interface du pare-feu Zyxel et naviguez jusqu'à :
    Authentification > Paramètres du serveur > Paramètres avancés
  2. Activez l'option SSL.

Assurez-vous que:

  • Le contrôleur de domaine dispose d'un certificat SSL valide.
  • Ce certificat est installé dans le magasin des autorités de certification racine de confiance sur le pare-feu.

Risques et limitations:

  • Sans un certificat correctement installé et approuvé, le pare-feu ne pourra pas se connecter au serveur AD via LDAPS.
  • Une gestion manuelle des certificats est nécessaire : exportation, importation et vérification de la chaîne de confiance.

Solution 2 : Assouplissement de la politique de sécurité sur Windows Server 2025

La deuxième approche consiste à modifier la stratégie de groupe sur le contrôleur de domaine afin d'autoriser par défaut un comportement non sécurisé. Cela permet au pare-feu Zyxel de se connecter à l'aide du protocole LDAP standard (non sécurisé).

Marche à suivre:

  1. Exécutez gpedit.msc sur le contrôleur de domaine Windows Server 2025.
  2. Naviguez jusqu'à :
    Éditeur de stratégie de groupe local → Configuration de l'ordinateur → Paramètres Windows →
    Paramètres de sécurité → Stratégies locales → Options de sécurité →
    Contrôleur de domaine : Exigences de signature du serveur LDAP
  3. Réglez le paramètre "Enforcement" sur "Disabled" (désactivé).

Ce que cela fait:

  • Permet au contrôleur de domaine de répondre aux demandes LDAP ordinaires (non cryptées) de clients tels que Zyxel Firewall.
  • Contourne l'obligation d'utiliser LDAPS.

Risques:

  • Les mots de passe et autres données sensibles sont transmis en clair, ce qui est particulièrement dangereux dans les réseaux publics ou non sécurisés.
  • Vulnérabilité potentielle aux attaques de type "man-in-the-middle".
  • Viole les politiques de sécurité recommandées par Microsoft et peut déclencher des alertes dans les systèmes de surveillance.

Conclusion:

Il s'agit d'une solution de contournement rapide, mais qui réduit considérablement la sécurité. Ne l'utilisez que dans des environnements restreints et isolés, et revenez-y dès qu'une solution officielle est disponible.

Regarder vers l'avenir

Chez Zyxel, nous travaillons activement pour nous assurer que nos solutions évoluent en même temps que les changements de l'industrie. Nos équipes suivent de près les développements de Microsoft avec Windows Server 2025, et nous explorons déjà les options d'intégration pour prendre en charge les protocoles de sécurité améliorés qu'il introduit.

Bien que les versions actuelles des microprogrammes ne prennent pas encore en charge les méthodes d'authentification actualisées, soyez assurés qu'il s'agit d'une priorité majeure de notre feuille de route de développement. Nos ingénieurs s'engagent à offrir une expérience transparente à nos clients, et la prise en charge de l'authentification Windows Server 2025 est en cours d'examen.

Nous vous remercions de la confiance que vous continuez à accorder à Zyxel. Ensemble, nous construisons un avenir plus sûr et plus résilient.

Nous apprécions votre compréhension et vous recommandons de rester connecté à notre communauté Zyxel et au portail de support pour les dernières nouvelles et conseils.

Articles dans cette section

Afficher plus
Cet article vous a-t-il été utile ?
Utilisateurs qui ont trouvé cela utile : 0 sur 0
Partager

Commentaires

0 commentaire

Vous devez vous connecter pour laisser un commentaire.