Microsoft Security Update désactive les connexions LDAP non sécurisées - Comment y remédier et pourquoi
- Crédit photos: © Awingu
Microsoft Security Update désactive les connexions LDAP non sécurisées !
Comme l'a annoncé Microsoft dans un récent avis de sécurité (ADV190023), deux mises à jour de sécurité seront publiées pour permettre les changements de durcissement de la liaison de canal LDAP et de la signature LDAP. Le premier correctif (mars 2020) ajoute de nouveaux événements d'audit et un remappage GPV qui permet ce durcissement. Mais le plus important est le second correctif (H2 2020) : lorsque cette mise à jour sera appliquée, Microsoft Active Directory rejettera les liens LDAP simples - ce qui vous empêchera de vous connecter à tout service utilisant un trafic LDAP non crypté. Si vous n'avez pas activé LDAP over SSL dans Awingu, vous pourriez également être confronté à ce problème. Bien que le correctif ne soit pas encore disponible avant quelques mois, il est déjà judicieux d'activer LDAP over SSL aujourd'hui pour de nombreuses raisons, comme l'explique ce post de blog - voici comment vous pouvez le faire, ou comment vous pouvez résoudre les problèmes que vous pourriez avoir avec ce correctif en quelques clics.
LDAP contre LDAPS
LDAP (Lightweight Directory Access Protocol) est un protocole par lequel les services d'annuaire communiquent entre eux pour envoyer, entre autres, des noms d'utilisateur, des mots de passe, des tentatives de connexion, etc. Il ne doit pas être confondu avec Active Directory, qui est le serveur d'annuaire qui utilise le protocole LDAP. Bien que Microsoft Active Directory soit le service d'annuaire standard de l'industrie, vous entendrez peut-être des gens dire qu'ils utilisent plutôt le protocole LDAP - ce qu'ils disent en fait, c'est qu'ils utilisent un annuaire différent qui utilise également le protocole LDAP.
LDAP envoie lui-même ses données au service d'annuaire "en texte clair". On peut donc affirmer que le raisonnement de Microsoft derrière ces changements est solide : le trafic LDAP non sécurisé contient des données hautement sensibles qui ne sont pas cryptées, et donc une cible facile pour les attaquants et les pirates. Ou, comme le dit Extrahop, "l'authentification LDAP n'est pas sûre en soi. Un auditeur passif pourrait apprendre votre mot de passe LDAP en écoutant le trafic en vol".
Il existe une version de LDAP appelée Secure LDAP, qui crypte le transfert de données. Elle est plus souvent appelée "LDAPS" ou "LDAP over SSL", tout comme HTTP over SSL est également appelé HTTPS. "LDAPS utilise son propre port réseau distinct pour connecter les clients et les serveurs", explique ExtraHop, et "le port par défaut pour LDAP est le port 389, mais LDAPS utilise le port 636 et établit TLS/SSL lors de la connexion avec un client".
Orientations et modifications de Microsoft
Dans ADV190023, "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft a récemment annoncé que les changements se dérouleront en deux étapes :
Les mises à jour de Windows en mars 2020 ajoutent de nouveaux événements d'audit, une journalisation supplémentaire et une nouvelle mise en correspondance des valeurs de la politique de groupe qui permettra de renforcer la liaison des canaux LDAP et la signature LDAP. Les mises à jour de mars 2020 n'apportent pas de changements aux politiques de signature LDAP ou de channel binding ou leur équivalent de registre sur les contrôleurs de domaine nouveaux ou existants. Une autre mise à jour mensuelle, prévue pour le second semestre de l'année civile 2020, permettra la signature LDAP et le channel binding sur les contrôleurs de domaine configurés avec des valeurs par défaut pour ces paramètres. Microsoft reporte ses échéances. Néanmoins, il est utile de prendre cette mesure dès que possible.
Impact sur Awingu
Si votre domaine Awingu est configuré pour passer par LDAP, vos utilisateurs ne pourront plus se connecter directement après la mise en place du patch de mars 2020. L'erreur suivante sera affichée lorsque les utilisateurs essaieront de se connecter à leur espace de travail :
Il est fortement recommandé de préparer votre Active Directory pour permettre la connexion LDAPS depuis Awingu, non seulement pour assurer la possibilité de connexion à vos utilisateurs mais aussi pour ajouter une couche de sécurité (peu exigeante et très récompensée) au-dessus de votre environnement. Heureusement, la correction de cette couche dans votre AD ne prend que quelques clics :
Assurez-vous que le port 636 est ouvert entre Awingu et l'Active Directory. Installez le rôle suivant sur votre Active Directory : Gestionnaire de serveur -> Gérer -> Ajouter des rôles et des fonctionnalités -> Installation basée sur les rôles ou les fonctionnalités -> Services de certificats Active Directory. Seule l'autorité de certification doit être installée (aucun redémarrage n'est nécessaire). Après l'installation, vous recevrez un popup pour configurer les services de certificat :
Sélectionnez le rôle de l'autorité de certification (Certificate Authority role) :
- Sélectionnez Enterprise CA
- Sélectionnez Root CA
- Sélectionnez “Create new private key” et laissez tout par défaut
- Enfin, cliquez sur “configure”
- Redémarrez le serveur Active Directory
Après le redémarrage de votre serveur Active Directory, vous serez heureux d'apprendre que l'activation de LDAP via SSL est une option prête à l'emploi dans Awingu qui dispose d'un simple bouton "marche/arrêt" :
Activation du SSL sur HTTP à Awingu
La méthode ci-dessus est utilisée pour activer le LDAP sur SSL avec Awingu. Cependant, notre espace de travail unifié offre également la possibilité d'activer HTTP sur SSL, pour crypter tous les transferts de données de l'appareil vers votre appareil Awingu et vos serveurs d'applications/de fichiers. Le diagramme ci-dessous en est la meilleure illustration :
Pour vous assurer que le trafic entre l'utilisateur et Awingu est crypté, vous pouvez activer le HTTPS en suivant ces étapes, comme indiqué par le directeur technique d’Awingu Steven Dewinter :
> LIEN POUR VISIONNER LA VIDEO <
© Awingu
Awingu, Attitude SI, Microsoft, mises à jour
- Vues : 3372