Comment activer la signature LDAP dans Windows Server et les machines clientes

La signature LDAP(LDAP signing) est une méthode d'authentification dans Windows Server qui peut améliorer la sécurité d'un serveur d'annuaire. Une fois activé, il rejettera toute demande qui ne demande pas de signature ou si la demande utilise un chiffrement non SSL/TLS. Dans cet article, nous expliquerons comment vous pouvez activer la signature LDAP sur (LDAP)Windows Server et les machines clientes. LDAP signifie   Lightweight Directory Access Protocol (LDAP).

Comment activer la signature LDAP sur les ordinateurs Windows

Pour s'assurer que l'attaquant n'utilise pas un client LDAP falsifié pour modifier la configuration et les données du serveur, il est essentiel d'activer la signature LDAP . Il est également important de l'activer sur les machines clientes.

  1. Définir(Set) l' exigence de signature LDAP du serveur
  2. Définir(Set) l' exigence de signature LDAP du client à l'aide de la stratégie de l'ordinateur local
  3. Définir(Set) l' exigence de signature LDAP du client à l'aide de l' objet de stratégie de groupe de domaine(Domain Group Policy Object)
  4. Définir(Set) l' exigence de signature LDAP du client à l'aide des clés de registre(Registry)
  5. Comment vérifier les changements de configuration
  6. Comment trouver des clients qui n'utilisent pas l'option « Exiger(Require) une signature »

La dernière section vous aide à identifier les clients pour lesquels Exiger la signature n'est pas activé(do not have Require signing enabled) sur l'ordinateur. C'est un outil utile pour les administrateurs informatiques pour isoler ces ordinateurs et activer les paramètres de sécurité sur les ordinateurs.

1] Définir(Set) l' exigence de signature LDAP du serveur

Comment activer la signature LDAP dans Windows Server et les machines clientes

  1. Ouvrez la console de gestion Microsoft(Microsoft Management Console) (mmc.exe)
  2. Sélectionnez Fichier >  Ajouter(Add) /Supprimer un composant logiciel enfichable > sélectionnez  Éditeur d'objets de stratégie de groupe(Group Policy Object Editor) , puis sélectionnez  Ajouter(Add) .
  3. Il ouvrira l' assistant de stratégie de groupe(Group Policy Wizard) . Cliquez(Click) sur le bouton  Parcourir et sélectionnez (Browse)Stratégie de domaine par défaut(Default Domain Policy) au lieu de Ordinateur local
  4. Cliquez(Click) sur le bouton OK, puis sur le bouton Terminer(Finish) et fermez-le.
  5. Sélectionnez  Default Domain Policy > Computer Configuration > Windows Settings > Security Settings > Local Policies , puis sélectionnez Options de sécurité.
  6. Cliquez avec le bouton droit sur  Contrôleur de domaine : exigences de signature du serveur LDAP(Domain controller: LDAP server signing requirements) , puis sélectionnez Propriétés.
  7. Dans la   boîte de dialogue  Propriétés(Properties) du contrôleur de domaine(Domain) : exigences de signature du serveur LDAP , activez (LDAP)Définir(Define) ce paramètre de stratégie, sélectionnez  Exiger la signature dans la liste Définir ce paramètre de stratégie,(Require signing in the Define this policy setting list,) puis sélectionnez OK.
  8. Revérifiez les paramètres et appliquez-les.

2] Définir(Set) l' exigence de signature LDAP du client en utilisant la politique de l'ordinateur local

Comment activer la signature LDAP dans Windows Server et les machines clientes

  1. Ouvrez l'invite Exécuter(Run) , tapez gpedit.msc et appuyez sur la touche Entrée(Enter) .
  2. Dans l'éditeur de stratégie de groupe, accédez à Stratégie de Local Computer Policy > Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies , puis sélectionnez  Options de sécurité.(Security Options.)
  3. Cliquez avec le bouton droit sur Sécurité réseau : exigences de signature du client LDAP(Network security: LDAP client signing requirements) , puis sélectionnez Propriétés.
  4. Dans la   boîte de dialogue  Sécurité réseau : (Network)propriétés(Properties) requises pour la signature du client LDAP , sélectionnez (LDAP)Exiger la signature(Require signing) dans la liste, puis choisissez OK.
  5. Confirmez les modifications et appliquez-les.

3] Définir(Set) l' exigence de signature LDAP du client à l'aide d'un objet de stratégie de groupe de domaine(Group Policy Object)

  1. Ouvrez la console de gestion Microsoft (mmc.exe)(Open Microsoft Management Console (mmc.exe))
  2. Sélectionnez  Fichier(File)  >  Add/Remove Snap-in >  sélectionnez  Éditeur d'objets de stratégie de groupe(Group Policy Object Editor) , puis sélectionnez  Ajouter(Add) .
  3. Il ouvrira l' assistant de stratégie de groupe(Group Policy Wizard) . Cliquez(Click) sur le bouton  Parcourir et sélectionnez (Browse)Stratégie de domaine par défaut(Default Domain Policy) au lieu de Ordinateur local
  4. Cliquez(Click) sur le bouton OK, puis sur le bouton Terminer(Finish) et fermez-le.
  5. Sélectionnez  Stratégie de domaine par défaut(Default Domain Policy)  >  Configuration ordinateur(Computer Configuration)  >  Paramètres Windows(Windows Settings)  >  Paramètres de sécurité(Security Settings)  >  Stratégies locales(Local Policies) , puis sélectionnez  Options de sécurité(Security Options) .
  6. Dans la  boîte de dialogue  Propriétés de Sécurité réseau : exigences de signature du client LDAP  , sélectionnez (Network security: LDAP client signing requirements Properties )Exiger la signature (Require signing ) dans la liste, puis choisissez  OK .
  7. Confirmez(Confirm) les modifications et appliquez les paramètres.

4] Définissez(Set) l' exigence de signature LDAP du client à l'aide des clés de registre

La première chose à faire est de faire une sauvegarde de votre base de registre

  • Ouvrir l'Éditeur du Registre
  • Accédez aux HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ <InstanceName> \Parameters
  • Faites un clic(Right-click) droit sur le volet de droite et créez un nouveau DWORD avec le nom LDAPServerIntegrity
  • Laissez-le à sa valeur par défaut.

<InstanceName > : nom de l' instance AD ​​LDS que vous souhaitez modifier.

5] Comment(How) vérifier si les changements de configuration nécessitent maintenant une connexion

Pour s'assurer que la politique de sécurité fonctionne, voici comment vérifier son intégrité.

  1. Connectez-vous à un ordinateur sur lequel les outils d'administration AD DS(AD DS Admin Tools) sont installés.
  2. Ouvrez l'invite Exécuter(Run) , tapez ldp.exe et appuyez sur la touche Entrée(Enter) . Il s'agit d'une interface utilisateur utilisée pour naviguer dans l' espace de noms Active Directory
  3. Sélectionnez Connexion > Connecter.
  4. Dans  Serveur(Server)  et  port , tapez le nom du serveur et le port non-SSL/TLS de votre serveur d'annuaire, puis sélectionnez OK.
  5. Une fois la connexion établie, sélectionnez Connexion > Lier.
  6. Sous  Type(Bind) de liaison , sélectionnez  Liaison simple(Simple) .
  7. Tapez le nom d'utilisateur et le mot de passe, puis sélectionnez OK.

Si vous recevez un message d'erreur disant  Ldap_simple_bind_s() failed: Strong Authentication Required , alors vous avez configuré avec succès votre serveur d'annuaire.

6] Comment(How) trouver les clients qui n'utilisent pas l'option " Exiger(Require) la signature"

Chaque fois qu'un ordinateur client se connecte au serveur à l'aide d'un protocole de connexion non sécurisé, il génère l'ID d'événement 2889(Event ID 2889) . L'entrée de journal contiendra également les adresses IP des clients. Vous devrez l'activer en définissant le  paramètre de diagnostic  16  LDAP Interface Events sur (LDAP Interface Events)2 (Basic). Découvrez comment configurer la journalisation des événements de diagnostic AD et LDS ici chez Microsoft(here at Microsoft) .

La signature LDAP(LDAP Signing) est cruciale et j'espère qu'elle a pu vous aider à comprendre clairement comment vous pouvez activer la signature LDAP dans (LDAP)Windows Server et sur les machines clientes.



Claire Pesquet

About the author

Je suis un réviseur de logiciels et un expert en productivité. Je révise et rédige des critiques de logiciels pour diverses applications logicielles, telles qu'Excel, Outlook et Photoshop. Mes critiques sont bien informées et fournissent des informations objectives sur la qualité de l'application. J'écris des critiques de logiciels depuis 2007.


Related posts