Comment activer la signature LDAP dans Windows Server

  • 09/08/2020
  • 6 minutes de lecture
    • D
    • s
  • Cet article décrit comment activer la signature LDAP dans Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows 10.

    Version originale du produit : Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10 – toutes les éditions
    Numéro de KB original : 935834

    Summary

    Vous pouvez améliorer considérablement la sécurité d’un serveur d’annuaire en configurant le serveur pour qu’il rejette les liaisons LDAP SASL (Simple Authentication and Security Layer) qui ne demandent pas de signature (vérification de l’intégrité), ou pour qu’il rejette les liaisons simples LDAP qui sont effectuées sur une connexion en texte clair (non-SSL/TLS-cryptée). Les binds SASL peuvent inclure des protocoles tels que Negotiate, Kerberos, NTLM et Digest.

    Le trafic réseau non signé est susceptible de subir des attaques par rejeu. Dans ces attaques, un intrus intercepte la tentative d’authentification et l’émission d’un ticket. L’intrus peut réutiliser le ticket pour se faire passer pour l’utilisateur légitime. En outre, le trafic réseau non signé est susceptible de subir des attaques de type « man-in-the-middle » (MIM) dans lesquelles un intrus capture les paquets entre le client et le serveur, modifie les paquets, puis les transmet au serveur. Si cela se produit sur un serveur LDAP, un attaquant peut faire en sorte qu’un serveur prenne des décisions basées sur des demandes falsifiées provenant du client LDAP.

    Comment découvrir les clients qui n’utilisent pas l’option Require signing

    Après avoir effectué cette modification de configuration, les clients qui s’appuient sur des liaisons LDAP SASL (Negotiate, Kerberos, NTLM ou Digest) non signées ou sur des liaisons LDAP simples sur une connexion non-SSL/TLS cessent de fonctionner. Pour aider à identifier ces clients, le serveur d’annuaire d’Active Directory Domain Services (AD DS) ou Lightweight Directory Server (LDS) enregistre un événement récapitulatif ID 2887 une fois toutes les 24 heures pour indiquer le nombre de ces liaisons. Nous vous recommandons de configurer ces clients pour qu’ils n’utilisent pas ces liaisons. Après qu’aucun événement de ce type n’ait été observé pendant une période prolongée, nous vous recommandons de configurer le serveur pour qu’il rejette ces liaisons.

    Si vous devez disposer de plus d’informations pour identifier ces clients, vous pouvez configurer le serveur d’annuaire pour qu’il fournisse des journaux plus détaillés. Cette journalisation supplémentaire enregistre un ID d’événement 2889 lorsqu’un client tente d’effectuer un bind LDAP non signé. L’entrée du journal affiche l’adresse IP du client et l’identité que le client a essayé d’utiliser pour s’authentifier. Vous pouvez activer cette journalisation supplémentaire en définissant le paramètre de diagnostic 16 LDAP Interface Events sur 2 (Basic). Pour plus d’informations sur la modification des paramètres de diagnostic, consultez la section Comment configurer la journalisation des événements de diagnostic Active Directory et LDS.

    Si le serveur d’annuaire est configuré pour rejeter les liaisons LDAP SASL non signées ou les liaisons simples LDAP sur une connexion non-SSL/TLS, le serveur d’annuaire enregistre un événement récapitulatif ID 2888 une fois toutes les 24 heures lorsque de telles tentatives de liaison se produisent.

    Comment configurer l’annuaire pour exiger la signature du serveur LDAP pour AD DS

    Pour plus d’informations sur les effets possibles de la modification des paramètres de sécurité, voir Des problèmes de client, de service et de programme peuvent se produire si vous modifiez les paramètres de sécurité et les affectations de droits d’utilisateur.

    Note

    Anomalie de journalisation de l’événement ID 2889

    Les applications qui utilisent des clients LDAP tiers peuvent amener Windows à générer des entrées d’événement ID 2889 incorrectes. Cela se produit lorsque vous enregistrez des événements d’interface LDAP et si LDAPServerIntegrity est égal à 2. L’utilisation du scellement (cryptage) satisfait la protection contre l’attaque MIM, mais Windows enregistre tout de même l’ID d’événement 2889.

    Cela se produit lorsque les clients LDAP utilisent uniquement le scellement conjointement avec SASL. Nous l’avons constaté sur le terrain en association avec des clients LDAP tiers.

    Lorsqu’une connexion n’utilise pas à la fois la signature et le scellement, la vérification des exigences de sécurité de la connexion utilise les drapeaux correctement et se déconnecte. La vérification génère l’erreur 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

    Utilisation de la stratégie de groupe

    Comment définir l’exigence de signature LDAP du serveur

  1. Sélectionnez Démarrer > Exécuter, tapez mmc.exe, puis sélectionnez OK.
  2. Sélectionnez File > Add/Remove Snap-in, sélectionnez Group Policy Management Editor, puis sélectionnez Add.
  3. Sélectionnez Group Policy Object > Browse.
  4. Dans la boîte de dialogue Rechercher un objet de stratégie de groupe, sélectionnez la stratégie de contrôleur de domaine par défaut dans la zone Domaines, OU et objets de stratégie de groupe liés, puis sélectionnez OK.
  5. Sélectionnez Terminer.
  6. Sélectionnez OK.
  7. Sélectionnez Politique de contrôleur de domaine par défaut > Configuration de l’ordinateur > Politiques > Paramètres Windows > Paramètres de sécurité > Politiques locales, puis sélectionnez Options de sécurité.
  8. Cliquez avec le bouton droit de la souris sur Contrôleur de domaine : Exigences de signature du serveur LDAP, puis sélectionnez Propriétés.
  9. Dans la boîte de dialogue Contrôleur de domaine : LDAP server signing requirements Properties, activez Define this policy setting, sélectionnez Require signing dans la liste Define this policy setting, puis sélectionnez OK.
  10. Dans la boîte de dialogue Confirm Setting Change, sélectionnez Yes.

How to set the client LDAP signing requirement by using local computer policy

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Finish.
  5. Select OK.
  6. Select Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies, and then select Security Options.
  7. Right-click Network security: LDAP client signing requirements, and then select Properties.
  8. In the Network security: LDAP client signing requirements Properties dialog box, select Require signing in the list, and then select OK.
  9. In the Confirm Setting Change dialog box, select Yes.

How to set the client LDAP signing requirement by using a domain Group Policy Object

  1. Select Start > Run, type mmc.exe, and then select OK.
  2. Select File > Add/Remove Snap-in.
  3. In the Add or Remove Snap-ins dialog box, select Group Policy Object Editor, and then select Add.
  4. Select Browse, and then select Default Domain Policy (or the Group Policy Object for which you want to enable client LDAP signing).
  5. Select OK.
  6. Select Finish.
  7. Select Close.
  8. Select OK.
  9. Sélectionnez Politique de domaine par défaut > Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Politiques locales, puis sélectionnez Options de sécurité.
  10. Dans la sécurité du réseau : Exigences de signature du client LDAP Propriétés, sélectionnez Exiger la signature dans la liste, puis sélectionnez OK.
  11. Dans la boîte de dialogue Confirmer la modification des paramètres, sélectionnez Oui.

Comment définir l’exigence de signature du client LDAP en utilisant les clés de registre

Important

Suivez attentivement les étapes de cette section. De graves problèmes peuvent survenir si vous modifiez le registre de manière incorrecte. Avant de le modifier, sauvegardez le registre pour le restaurer en cas de problèmes.

Par défaut, pour les services d’annuaire léger Active Directory (AD LDS), la clé de registre n’est pas disponible. Therefore, you must create a LDAPServerIntegrity registry entry of the REG_DWORD type under the following registry subkey:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\<InstanceName>\Parameters

Note

The placeholder <InstanceName> represents the name of the AD LDS instance that you want to change.

How to verify configuration changes

  1. Sign in to a computer that has the AD DS Admin Tools installed.

  2. Select Start > Run, type ldp.exe, and then select OK.

  3. Select Connection > Connect.

  4. In Server and in Port, type the server name and the non-SSL/TLS port of your directory server, and then select OK.

    Note

    For an Active Directory Domain Controller, the applicable port is 389.

  5. After a connection is established, select Connection > Bind.

  6. Under Bind type, select Simple bind.

  7. Type the user name and password, and then select OK.

    If you receive the following error message, you have successfully configured your directory server:

    Ldap_simple_bind_s() failed: Strong Authentication Required

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.