Procédure d’activation de la signature LDAP dans Windows Server

Cet article explique comment activer la signature LDAP dans Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 et Windows 10.

Version du produit d’origine :   Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10-toutes les éditions
Numéro de la base de connaissances initiale :   935834

Résumé

Vous pouvez considérablement améliorer la sécurité d’un serveur d’annuaire en configurant le serveur de sorte qu’il rejette les liaisons LDAP SASL (Simple Authentication and Security Layer) qui ne demandent pas de signature (vérification de l’intégrité) ou pour rejeter les liaisons simples LDAP effectuées sur une connexion en texte clair (non-SSL/TLS). Les liaisons SASL peuvent inclure des protocoles tels que Negotiate, Kerberos, NTLM et Digest.

Le trafic réseau non signé est sensible aux attaques de relecture.Dans ce type d’attaque, un intrus intercepte la tentative d’authentification et l’émission d’un ticket. L’intrus peut réutiliser le ticket pour emprunter l’identité de l’utilisateur légitime. De plus, le trafic réseau non signé est sensible aux attaques de l’intercepteur (MIM) dans lesquelles un intrus capture des paquets entre le client et le serveur, modifie les paquets, puis les transfère au serveur... Si cela se produit sur un serveur LDAP, un agresseur peut entraîner un serveur à prendre des décisions basées sur des demandes falsifiées du client LDAP.

Comment découvrir les clients qui n’utilisent pas l’option exiger la signature

Une fois cette modification de configuration apportée, les clients qui s’appuient sur des liaisons LDAP non signées (Negotiate, Kerberos, NTLM ou Digest) ou sur des liaisons simples LDAP sur une connexion non-SSL/TLS cessent de fonctionner. Pour faciliter l’identification de ces clients, le serveur d’annuaire des services de domaine Active Directory (AD DS) ou du serveur d’annuaire LDAP (LDS) enregistre un résumé de l’ID d’événement 2887 1 fois toutes les 24 heures afin d’indiquer le nombre de liaisons de ce type. Nous vous recommandons de configurer ces clients pour qu’ils n’utilisent pas ces liaisons. Une fois que des événements de ce type ne sont pas observés pendant une période prolongée, nous vous recommandons de configurer le serveur pour qu’il rejette ces liaisons.

Si vous avez besoin d’informations supplémentaires pour identifier de tels clients, vous pouvez configurer le serveur d’annuaire pour fournir des journaux plus détaillés. Cette journalisation supplémentaire consigne un ID d’événement 2889 lorsqu’un client tente de créer une liaison LDAP non signée. L’entrée du journal affiche l’adresse IP du client et l’identité que le client a essayé d’utiliser pour s’authentifier. Vous pouvez activer cette journalisation supplémentaire en définissant le paramètre de diagnostic 16 événements de l’interface LDAP sur 2 (de base). Pour plus d’informations sur la modification des paramètres de diagnostic, voir Comment configurer la journalisation des événements de diagnostic Active Directory et AD LDS.

Si le serveur d’annuaire est configuré pour rejeter les liaisons LDAP non signées ou les liaisons simples LDAP sur une connexion autre que SSL/TLS, le serveur d’annuaire enregistre un ID d’événement de synthèse 2888 1 fois toutes les 24 heures lorsque de telles tentatives de liaison se produisent.

Procédure de configuration du répertoire pour exiger la signature de serveur LDAP pour AD DS

Pour plus d’informations sur les incidences possibles de la modification des paramètres de sécurité, consultez la rubrique problèmes liés aux clients, aux services et aux programmes si vous modifiez les paramètres de sécurité et les attributions des droits utilisateur.

Notes

Anomalie de journalisation de l’ID d’événement 2889

Les applications qui utilisent des clients LDAP tiers peuvent entraîner la génération d’entrées d’ID d’événement 2889 incorrectes. Cela se produit lorsque vous journalisez des événements d’interface LDAP et si la valeur LDAPServerIntegrity est égale à 2. L’utilisation de la fermeture (chiffrement) répond à la protection contre l’attaque MIM, mais l’ID d’événement 2889 est quand même utilisé.

Cela se produit lorsque les clients LDAP utilisent uniquement le scellage avec SASL. Nous avons vu cela dans le domaine en association avec des clients LDAP tiers.

Lorsqu’une connexion n’utilise pas à la fois la signature et la fermeture, la vérification des exigences en matière de sécurité de connexion utilise correctement les indicateurs et se déconnecte. La vérification génère une erreur 8232 (ERROR_DS_STRONG_AUTH_REQUIRED).

Utilisation de la stratégie de groupe

Procédure de définition de l’exigence de signature LDAP du serveur

  1. Sélectionnez Démarrerl' > exécution, tapez mmc.exe, puis cliquez sur OK.
  2. Sélectionnez fichier > Ajouter/supprimer un composant logiciel enfichable, sélectionnez éditeur de gestion des stratégies de groupe, puis Ajouter.
  3. Sélectionnez Explorateur d' objets de stratégie de groupe > Browse.
  4. Dans la boîte de dialogue Rechercher un objet de stratégie de groupe , sélectionnez stratégie de contrôleur de domaine par défaut sous domaines, unités d’organisation et objets de stratégie de groupe liés , puis sélectionnez OK.
  5. Sélectionnez Terminer.
  6. Sélectionnez OK.
  7. Sélectionnez stratégie de contrôleur de domaine par défaut > stratégies deconfigurationdes > Policies > Paramètres Windowsparamètres de > sécurité   > stratégies locales, puis sélectionnez options de sécurité.
  8. Cliquez avec le bouton droit sur contrôleur de domaine : conditions requises pour la signature de serveur LDAP, puis sélectionnez Propriétés.
  9. Dans la boîte de dialogue contrôleur de domaine : propriétés des conditions requises pour la signature de serveur LDAP , activer définir ce paramètre de stratégie, sélectionnez exiger la signature dans la liste définir ce paramètre de stratégie , puis cliquez sur OK.
  10. Dans la boîte de dialogue confirmer la modification du paramètre , sélectionnez Oui.

Procédure de définition de l’exigence de signature LDAP du client à l’aide de la stratégie de l’ordinateur local

  1. Sélectionnez Démarrerl'   > exécution, tapez mmc.exe, puis cliquez sur OK.
  2. Sélectionnez fichier > Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , sélectionnez éditeur d’objets de stratégie de groupe, puis Ajouter.
  4. Sélectionnez Terminer.
  5. Sélectionnez OK.
  6. Sélectionnez stratégie de l’ordinateur local > stratégies deconfigurationdes > Policies > Paramètres Windowsparamètres de > sécurité > stratégies locales, puis sélectionnez options de sécurité.
  7. Cliquez avec le bouton droit sur sécurité réseau : conditions requises pour la signature de client LDAP, puis sélectionnez Propriétés.
  8. Dans la boîte de dialogue sécurité réseau : propriétés des conditions requises pour la signature de client LDAP , sélectionnez exiger la signature dans la liste, puis cliquez sur OK.
  9. Dans la boîte de dialogue confirmer la modification du paramètre , sélectionnez Oui.

Procédure de définition de l’exigence de signature LDAP du client à l’aide d’un objet de stratégie de groupe de domaine

  1. Sélectionnez Démarrerl'   > exécution, tapez mmc.exe, puis cliquez sur OK.
  2. Sélectionnez fichier > Ajouter/supprimer un composant logiciel enfichable.
  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables , sélectionnez éditeur d’objets de stratégie de groupe, puis Ajouter.
  4. Sélectionnez Parcourir, puis sélectionnez stratégie de domaine par défaut (ou l’objet de stratégie de groupe pour lequel vous souhaitez activer la signature LDAP client).
  5. Sélectionnez OK.
  6. Sélectionnez Terminer.
  7. Sélectionnez Fermer.
  8. Sélectionnez OK.
  9. Sélectionnez Configuration de l’ordinateur de la stratégie de domaine par défautparamètres Windows paramètres de > Computer Configuration > Windows Settings > sécurité > stratégies locales, puis sélectionnez options de sécurité.
  10. Dans la boîte de dialogue sécurité réseau : propriétés des conditions requises pour la signature de client LDAP , sélectionnez exiger la signature dans la liste, puis cliquez sur OK.
  11. Dans la boîte de dialogue confirmer la modification du paramètre , sélectionnez Oui.

Procédure de définition de l’exigence de signature LDAP du client à l’aide de clés de Registre

Important

Suivez attentivement les étapes de cette section. Des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Avant de modifier le Registre, sauvegardez-le pour restauration en cas de problèmes.

Par défaut, la clé de Registre n’est pas disponible pour les services AD LDS (Active Directory Lightweight Directory Services). Par conséquent, vous devez créer une LDAPServerIntegrity entrée de Registre du type de REG_DWORD sous la sous-clé de Registre suivante :

HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Services \ <*InstanceName> * \Parameters

Notes

L’espace réservé <InstanceName> représente le nom de l’instance AD LDS que vous souhaitez modifier.

Procédure de vérification des modifications de configuration

  1. Connectez-vous à un ordinateur sur lequel les outils d’administration AD DS sont installés.

  2. Sélectionnez Démarrerl' > exécution, tapez ldp.exe, puis cliquez sur OK.

  3. Sélectionnez Connection > Connect.

  4. Dans serveur et dans port, tapez le nom du serveur et le port non-SSL/TLS de votre serveur d’annuaire, puis cliquez sur OK.

    Notes

    Pour un contrôleur de domaine Active Directory, le port applicable est 389.

  5. Une fois la connexion établie, sélectionnez Connection > liaisonde connexion.

  6. Sous type de liaison, sélectionnez liaison simple.

  7. Tapez le nom d’utilisateur et le mot de passe, puis sélectionnez OK.

    Si vous recevez le message d’erreur suivant, vous avez réussi à configurer votre serveur d’annuaire :

    Échec de Ldap_simple_bind_s () : authentification forte requise

Références