Microsoft a annoncé qu'il implémenterait une modification qui, par défaut, activerait la liaison de canaux LDAP et la signature LDAP. Les détails techniques et les informations générales sont décrits dans les articles Microsoft liés ci-dessous.
- Recommandations de Microsoft pour l'activation de la liaison de canal LDAP et de la signature LDAP
- Liaison de canal LDAP 2020 et exigence de signature LDAP pour Windows
- Exigences de liaison de canal LDAP et de signature LDAP - Comportement par défaut de la mise à jour de mars
Ce changement est mis en œuvre par Microsoft au cours du deuxième semestre de l'année civile 2020 et améliorera la sécurité des demandes d'authentification à un serveur Windows LDAP (dans la plupart des cas, les contrôleurs de domaine), ainsi que réduira les chances de succès de l'homme dans la -attaques moyennes.
Quel est l'impact de ce changement?
Si aucune connexion TLS chiffrée sécurisée à Active Directory n'est utilisée, vous serez impacté. La modification exigeant la signature LDAP entraînera l'échec de toutes les opérations de liaison LDAP non signées ou effectuées sur une connexion en texte clair (non SSL / TLS).
Que pouvez-vous faire?
Les administrateurs peuvent empêcher la mise à jour des fonctionnalités d'effectuer ces modifications soit en activant la signature LDAP et la liaison de canal MAINTENANT, soit en configurant des valeurs non par défaut avant d'installer les mises à jour qui activent la signature LDAP et la liaison de canal par défaut. Cependant, dans tous les cas, une reconfiguration des paramètres de connexion LDAP sur les périphériques ou les applications logicielles peut être nécessaire.