Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).

Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.

 

Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.

 

Pour paramétrer les postes clients Windows, vous pouvez utiliser le paramètre suivant dans les options de sécurité à l'aide des stratégies de groupe (gpmc.msc). Il est nécessaire de configurer le client pour utiliser la signature, avant l'exigence de la signature sur les DCs.

Créer une nouvelle stratégie de groupe, lié au niveau du domaine. Dans cette stratégie, activez le paramètre suivant :

Configuration ordinateur (activée)masquer

Stratégiesmasquer

Paramètres Windowsmasquer

Paramètres de sécuritémasquer

Stratégies locales/Options de sécuritémasquer

Sécurité réseaumasquer

 

 

Prévoyez un peu d'attente avant d'activer le paramètre suivant dans une stratégie de groupe appliquée sur vos contrôleurs de domaine (attention à la priorité des stratégies de groupe !).

 

 

 

Configuration ordinateur (activée)masquer

Stratégiesmasquer

Paramètres Windowsmasquer

Paramètres de sécuritémasquer

Stratégies locales/Options de sécuritémasquer

Contrôleur de domainemasquer

 

Après un GPupdate / Force, vous pourrez refaire le test avec le client LDAP (ldp.exe) et constatez que les connexions en mot de passe en clair ou non signer ne fonctionne plus.

 

 

Si vous utilisez l'outil Microsoft Security & Compliance Toolkit, vous constaterez que la recommandation dans les ligne de base est bien d'exiger la signature LDAP.