parallels-awingu

Corel acquiert Awingu pour accélérer son offre d'espace de travail à distance sécurisé. Lire la suite

La mise à jour de sécurité de Microsoft désactive les connexions LDP non sécurisées - comment les corriger et pourquoi ?

Comme l'a annoncé Microsoft dans un récent avis de sécurité (ADV190023), deux mises à jour de sécurité seront publiées pour permettre la liaison des canaux LDAP (lightweight directory access protocol) et les changements de durcissement de la signature LDAP. Le premier correctif (mars 2020) ajoute de nouveaux événements d'audit et le remap GPV qui permet ce durcissement.

Le plus important, cependant, est le deuxième patch (H2 2020) : lorsque cette mise à jour est appliquée, Microsoft Active Directory rejettera les liaisons simples LDAP - ce qui vous empêchera de vous connecter à tout service qui utilise un trafic LDAP non crypté. Si vous n'avez pas activé LDAP over SSL dans Awingu, vous risquez également de rencontrer ce problème.

Bien que le correctif ne soit pas encore disponible dans quelques mois, il est déjà conseillé d'activer LDAP sur SSL aujourd'hui pour de nombreuses raisons, comme l'explique cet article de blog. Voici comment vous pouvez le faire, ou comment vous pouvez résoudre tous les problèmes que vous pouvez rencontrer avec ce correctif en quelques clics.

LDAP et LDAPS

Qu'est-ce que LDAP ?

LDAP (Lightweight Directory Access Protocol) est un protocole par lequel les services d'annuaire communiquent entre eux pour envoyer, entre autres, les noms d'utilisateur et les mots de passe, l'adresse e-mail, les tentatives de connexion, etc. Cela signifie donc que LDAP stocke les noms d'utilisateur et les mots de passe, et que les applications et les services peuvent ainsi valider les utilisateurs avec ces données pour leur donner accès.

LDAP et Active Directory : Quelle est la différence ?

Il ne doit pas être confondu avec Active Directory, qui est le service d'annuaire disponible sur les serveurs Windows qui supportent le protocole LDAP. Pour fonctionner, il faut un contrôleur de domaine Microsoft et il est inclus dans divers systèmes Windows Operating.

Bien que Microsoft Active Directory soit le service d'annuaire standard du secteur, vous entendrez peut-être des gens dire qu'ils "utilisent LDAP" à la place - ce qu'ils disent en fait, c'est qu'ils utilisent un autre annuaire qui utilise également le protocole LDAP.

Trafic LDAP non sécurisé

LDAP en lui-même envoie ses données au service d'annuaire "en texte clair". On peut donc dire que le raisonnement de Microsoft derrière l'introduction de ces changements est solide : le trafic LDAP non sécurisé contient des données très sensibles qui ne sont pas cryptées, et donc une cible facile pour les attaquants et les pirates. Ou, comme le dit Extrahop, "l'authentification LDAP n'est pas sûre en soi. Une oreille indiscrète pourrait apprendre votre mot de passe LDAP en écoutant le trafic en vol."

Qu'est-ce que les LDAP ?

Il existe une version du Lightweight directory access protocol appelée Secure LDAP, qui crypte le transfert de données. Elle est plus souvent connue sous le nom de " LDAPS " ou " LDAP sur SSL ", tout comme HTTP sur SSL est également appelé HTTPS. "LDAPS utilise son propre port réseau distinct pour connecter les clients et les serveurs", explique ExtraHop, et "le port par défaut pour LDAP est le port 389, mais LDAPS utilise le port 636 et établit TLS/SSL lors de la connexion avec un client." Ainsi, la connexion est plus sécurisée et protégée contre le vol de données.

Conseils et changements de Microsoft

Dans le document ADV190023, "Microsoft Guidance for Enabling LDAP Channel Binding and LDAP Signing", Microsoft a récemment annoncé que les changements se feront en 2 étapes :

  1. Les mises à jour Windows de mars 2020 ajoutent de nouveaux événements d'audit, une journalisation supplémentaire et un remappage des valeurs de stratégie de groupe qui permettront de renforcer la liaison de canal LDAP et la signature LDAP. Les mises à jour de mars 2020 n'apportent pas de modifications aux stratégies de signature LDAP ou de liaison de canal ou à leur équivalent dans le registre sur les contrôleurs de domaine nouveaux ou existants.

  2. Une autre mise à jour mensuelle future, dont la sortie est prévue pour le second semestre de l'année civile 2020, permettra la signature LDAP et la liaison de canal sur les contrôleurs de domaine configurés avec des valeurs par défaut pour ces paramètres.

Microsoft déplace ses échéances. Néanmoins, il vaut la peine de prendre cette mesure le plus tôt possible.

Quel est l'impact du changement de LDAP sur Awingu ?

Qu'est-ce que l'Awingu ?

Awingu est un espace de travail unifié qui fournit aux utilisateurs un accès hautement sécurisé, contrôlé et audité à tous les fichiers et applications legacy, web et SaaS de votre entreprise dans un espace de travail basé sur un navigateur, accessible depuis n'importe quel appareil. Les administrateurs système n'ont pas besoin d'installer quoi que ce soit sur l'appareil de l'utilisateur final, car Awingu fonctionne entièrement dans le navigateur.

Architecture de l'Awingu

Awingu s'appuie sur l'architecture actuelle de votre entreprise et est déployé en tant qu'appliance virtuelle sur la plupart des hyperviseurs. Cela peut être un cloud privé ou public. De là, Awingu se connectera à un environnement classique de back-end. Il sera lié à un service d'annuaire (Active Directory), LDAP ou un IdP externe pour la gestion des utilisateurs.

Il se connectera aux serveurs d'applications exécutant Microsoft RDP pour les applications ou les bureaux legacy. Les applications Web (par exemple l'intranet) peuvent être connectées via le "Awingu Reverse Proxy". Enfin, il se connectera aux systèmes de fichiers classiques via WebDAV et CIFS et avec les environnements de stockage cloud tels que le OneDrive de Microsoft.

Capacités intégrées d'Awingu

Awingu est livré avec des capacités (de sécurité) intégrées intéressantes. Jetons un coup d'oeil à certaines d'entre elles

  • MFA inclus : Permet une authentification et une sécurité simples lorsque les utilisateurs veulent accéder.

  • Contrôle granulaire de l'utilisation : Une couche de sécurité supplémentaire car les administrateurs système peuvent contrôler les droits des utilisateurs ou des groupes d'utilisateurs de manière très granulaire.

  • Prise en compte du contexte : Définissez des emplacements géographiques et/ou des adresses IP comme zones de sécurité par compte utilisateur ou groupe d'utilisateurs. Dans ces zones de sécurité, les utilisateurs peuvent accéder à toutes les applications et à tous les partages de fichiers.

  • Tirer parti des fournisseurs d'identité (externes) (IdP) : Vous utilisez déjà un fournisseur d'identité externe (par exemple, Azure AD, Okta, Google Identity) ? Vous pouvez configurer une connexion SAML ou OpenID Connect à ce service (les modèles de SSO complet ou de pré-authentification sont tous deux pris en charge) pour tirer parti de tous les services de sécurité offerts par le service externe.

Awingu & LDAP

Si votre domaine Awingu est configuré pour passer par LDAP, vos utilisateurs ne seront plus en mesure d'accéder directement à Awingu après le patch de mars 2020. L'erreur suivante sera affichée lorsque les utilisateurs essaieront de se connecter à leur espace de travail :

message d'erreur de l'écran de connexion

Il est fortement recommandé de préparer votre Active Directory pour permettre la connexion LDAPS à partir d'Awingu, non seulement pour assurer la possibilité de connexion pour vos utilisateurs, mais aussi pour ajouter une couche de sécurité (à faible effort, hautement récompensé) sur votre environnement. Heureusement, cette opération dans votre Active Directory ne prend que quelques clics :

  • Assurez-vous que le port 636 est ouvert entre Awingu et l'Active Directory.

  • Installez le rôle suivant sur votre Active Directory : Gestionnaire de serveur -> Gérer -> Ajouter des rôles et des fonctionnalités -> Installation basée sur des rôles ou des fonctionnalités -> Services de certificats Active Directory. Seule l'autorité de certification doit être installée (aucun redémarrage n'est nécessaire).

  • Après l'installation, vous recevrez une popup pour configurer les services de certificats :

popup configurer la version du certificat
  • Sélectionnez le rôle d'autorité de certification :

  • Sélectionnez Enterprise CA

  • Sélectionnez Root CA

  • Sélectionnez "Créer une nouvelle clé privée" et laissez tout par défaut.

  • Enfin, cliquez sur "configurer".

  • Redémarrer le serveur Active Directory

Après avoir redémarré votre serveur Active Directory, vous serez heureux de constater que l'activation de LDAP sur SSL est une option prête à l'emploi dans Awingu, avec un simple "interrupteur marche/arrêt" :

Activation de SSL sur HTTP dans Awingu

La méthode ci-dessus est utilisée pour activer LDAP sur SSL avec Awingu. Cependant, notre espace de travail unifié offre également la possibilité d'activer HTTP sur SSL, pour crypter tous les transferts de données de l'appareil à votre appliance Awingu et aux serveurs d'applications/fichiers. C'est mieux illustré avec le diagramme ci-dessous :

Pour s'assurer que le trafic entre l'utilisateur et Awingu est crypté, vous pouvez activer HTTPS en suivant ces étapes, comme indiqué par notre COO Steven Dewinter dans la vidéo ci-dessous :

A propos de l'auteur
karel
Karel Van Ooteghem

Responsable du marketing

Linkedin Twitter Facebook Youtube Enveloppe
  • https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/ADV190023
  •  
Table des matières
Vous voulez en savoir plus sur l'Awingu ?
COMMENCEZ VOTRE ESSAI GRATUIT
CONTACTEZ-NOUS
parallels-awingu
À PROPOS DE
PRODUIT
RESSOURCES
JURIDIQUE
CONTACTEZ-NOUS !
Facebook Youtube Twitter

2022 - Awingu NV

Ce site web utilise des cookies. Lisez notre transparent politique en matière de cookies!
Accepter et fermer