La version de maintenance d'Awingu 5.2.4 est maintenant disponible !

La mise à jour de sécurité de Microsoft désactive les connexions LDP non sécurisées - comment les corriger et pourquoi ?

Comme l'a annoncé Microsoft dans un récent avis de sécurité (ADV190023), deux mises à jour de sécurité seront publiées afin d'activer la liaison des canaux LDAP et les changements de durcissement de la signature LDAP. Le premier patch (mars 2020) ajoute de nouveaux événements d'audit et un GPV de remappage qui permet ce durcissement. Le deuxième correctif (H2 2020) est toutefois plus important : lorsque cette mise à jour sera appliquée, Microsoft AD rejettera les liaisons simples LDAP, ce qui vous empêchera de vous connecter à tout service utilisant un trafic LDAP non crypté. Si vous n'avez pas activé LDAP over SSL dans Awingu, vous risquez également de rencontrer ce problème. Bien que le correctif soit encore dans quelques mois, c'est déjà une bonne idée d'activer LDAP sur SSL aujourd'hui pour de nombreuses raisons, comme expliqué dans cet article de blog - voici comment vous pouvez le faire, ou comment vous pouvez corriger tous les problèmes que vous pouvez avoir avec ce correctif en quelques clics.

LDAP et LDAPS

LDAP (Lightweight Directory Access Protocol) est un protocole par lequel les services d'annuaire communiquent entre eux pour envoyer, entre autres, les noms d'utilisateur, les mots de passe, les tentatives de connexion, etc. Il ne faut pas le confondre avec Active Directory, qui est le serveur d'annuaire qui utilise le protocole LDAP. Bien que Microsoft Active Directory soit le service d'annuaire standard de l'industrie, vous entendrez peut-être des gens dire qu'ils "utilisent LDAP" à la place - ce qu'ils disent en fait, c'est qu'ils utilisent un autre annuaire qui utilise également le protocole LDAP.

LDAP en lui-même envoie ses données au service d'annuaire "en texte clair". On peut donc dire que le raisonnement de Microsoft derrière l'introduction de ces changements est solide : le trafic LDAP non sécurisé contient des données très sensibles qui ne sont pas cryptées, et donc une cible facile pour les attaquants et les pirates. Ou, comme le dit Extrahop, "l'authentification LDAP n'est pas sûre en soi. Une oreille indiscrète pourrait apprendre votre mot de passe LDAP en écoutant le trafic en vol."

Il existe une version de LDAP appelée Secure LDAP, qui crypte le transfert de données. Elle est plus souvent connue sous le nom de " LDAPS " ou " LDAP sur SSL ", tout comme HTTP sur SSL est également appelé HTTPS. "LDAPS utilise son propre port réseau distinct pour connecter les clients et les serveurs", indique ExtraHop, et "le port par défaut pour LDAP est le port 389, mais LDAPS utilise le port 636 et établit TLS/SSL lors de la connexion avec un client."

Orientations et changements de Microsoft

Sur ADV190023Dans le document "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft a récemment annoncé que les changements se feront en deux étapes :

      1. Les mises à jour Windows de mars 2020 ajoutent de nouveaux événements d'audit, une journalisation supplémentaire et un remappage des valeurs de stratégie de groupe qui permettront de renforcer la liaison de canal LDAP et la signature LDAP. Les mises à jour de mars 2020 n'apportent pas de modifications aux stratégies de signature LDAP ou de liaison de canal ou à leur équivalent dans le registre sur les contrôleurs de domaine nouveaux ou existants.
      2. Une autre mise à jour mensuelle future, dont la sortie est prévue pour le second semestre de l'année civile 2020, permettra la signature LDAP et la liaison de canal sur les contrôleurs de domaine configurés avec des valeurs par défaut pour ces paramètres.

Microsoft déplace ses échéances. Néanmoins, il vaut la peine de prendre cette mesure le plus tôt possible.

Impact sur l'Awingu

Si votre domaine Awingu est configuré pour passer par LDAP, vos utilisateurs ne seront plus en mesure de se connecter directement après l'arrivée du patch de mars 2020. L'erreur suivante sera affichée lorsque les utilisateurs essaieront de se connecter à leur espace de travail :

Il est fortement recommandé de préparer votre Active Directory pour permettre la connexion LDAPS à partir d'Awingu, non seulement pour assurer la possibilité de connexion pour vos utilisateurs, mais aussi pour ajouter une couche de sécurité (à faible effort, hautement récompensé) sur votre environnement. Heureusement, il suffit de quelques clics pour régler ce problème dans votre AD :

      • Assurez-vous que le port 636 est ouvert entre Awingu et l'Active Directory.
      • Installez le rôle suivant sur votre Active Directory : Gestionnaire de serveur -> Gérer -> Ajouter des rôles et des fonctionnalités -> Installation basée sur des rôles ou des fonctionnalités -> Services de certificats Active Directory. Seule l'autorité de certification doit être installée (aucun redémarrage n'est nécessaire).
      • Après l'installation, vous recevrez une popup pour configurer les services de certificats :
      • Sélectionnez le rôle d'autorité de certification :
      • Sélectionnez Enterprise CA
      • Sélectionnez Root CA
      • Sélectionnez "Créer une nouvelle clé privée" et laissez tout par défaut.
      • Enfin, cliquez sur "configurer".
      • Redémarrer le serveur Active Directory

Après avoir redémarré votre serveur Active Directory, vous serez heureux de constater que l'activation de LDAP sur SSL est une option prête à l'emploi dans Awingu, avec un simple "interrupteur marche/arrêt" :

Activation de SSL sur HTTP dans Awingu

La méthode ci-dessus est utilisée pour activer LDAP sur SSL avec Awingu. Cependant, notre espace de travail unifié offre également la possibilité d'activer HTTP sur SSL, pour crypter tous les transferts de données de l'appareil à votre appliance Awingu et aux serveurs d'applications/fichiers. C'est mieux illustré avec le diagramme ci-dessous :

Pour s'assurer que le trafic entre l'utilisateur et Awingu est crypté, vous pouvez activer HTTPS en suivant ces étapes, comme indiqué par notre COO Steven Dewinter :

A propos de l'auteur
karel
Karel Van Ooteghem
Responsable du marketing
Table des matières
Vous voulez en savoir plus sur l'Awingu ?
Ce site web utilise des cookies. Lisez notre transparent politique en matière de cookies!