Aperçu
Le système doit être configuré pour atteindre le niveau de signature du client LDAP requis.
Description
Le paramètre de stratégie détermine le niveau de signature des données pour les requêtes LDAP. Il doit être défini sur « Négocier la signature » ou « Exiger la signature » selon l’environnement.
Impact
Une mauvaise configuration peut entraîner des pertes de données ou des problèmes de sécurité. Le trafic non signé est vulnérable aux attaques de type « homme du milieu », ce qui peut amener le serveur LDAP à prendre des décisions basées sur des données fausses.
Solution
Pour rendre les attaques de type « homme du milieu » extrêmement difficiles, il est nécessaire d’exiger des signatures numériques sur tous les paquets réseau à l’aide des en-têtes d’authentification IPsec. Pour éviter l’utilisation de trafic non signé, configurez le client pour exiger la signature. Suivez les étapes ci-dessous pour configurer ce paramètre (choisissez l’une des méthodes suggérées) :
- Correction via la console
Cette vulnérabilité peut être corrigée automatiquement dans la console. Consultez l’exemple de mise en œuvre du flux de remédiation automatisé. - Utilisation de l’Éditeur de stratégie de groupe
Appuyez sur les touches Windows+R, tapez « gpedit.msc » et appuyez sur OK.
Accéder aux paramètres de signature LDAP
Accédez à Stratégie locale de l’ordinateur > Configuration de l’ordinateur > Paramètres Windows > Paramètres de sécurité > Options de sécurité.
Dans le volet de droite, double-cliquez sur Sécurité réseau : conditions requises pour la signature de client LDAP et Contrôleur de domaine : conditions requises pour la signature du serveur LDAP.
Définir le niveau de signature
Sélectionnez « Négocier la signature » ou « Exiger la signature ».
Cliquez sur « OK ».
En utilisant l’Éditeur de Registre Windows
Appuyez sur les touches Windows+R.
Tapez regedit et appuyez sur OK.
Accéder à la clé de Registre
Accédez à la clé suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LDAPChoisissez ou créez une nouvelle valeur DWORD (dans le menu Édition, sélectionnez Nouveau – Valeur DWORD) ;
Entrez le nom LDAPClientIntegrity > cliquez sur OK ;
Double-cliquez sur la nouvelle valeur et définissez sa valeur à 1.
