Le protocole LDAP (Lightweight Directory Access Protocol) est utilisé par les clients d'annuaire pour accéder aux données détenues par les serveurs d'annuaire. Les clients et les applications s'authentifient avec Windows Active Directory (AD) en utilisant les opérations de liaison LDAP.
Il existe différents types d'opérations LDAP bind, notamment :
- LDAP bind simple, dans lequel les identifiants sont transférés sur le réseau en texte clair et n'est pas sécurisé.
- Unsigned Simple Authentication and Security Layer (SASL) LDAP bind, qui ne nécessite pas de signature et n'est pas sécurisé.
- SASL LDAP bind signé, qui nécessite une signature et est sécurisé.
- LDAP over Secure Sockets Layer/Transport Layer Security, également connu sous le nom de LDAPS bind, qui est crypté et sécurisé.
Les contrôleurs de domaine (DC) sont vulnérables car ils permettent aux clients LDAP de communiquer avec eux via de simples LDAP bind et SASL LDAP bind qui ne nécessitent aucune signature. Alors que les LDAP binds simples permettent aux informations d'identification des comptes privilégiés, tels que les administrateurs de domaine, de traverser le réseau en clair, les SASL LDAP binds non signés permettent à toute personne ayant des intentions malveillantes de capturer des paquets entre le client et le DC, de modifier les paquets, puis de les transmettre. Ces deux scénarios peuvent avoir des conséquences catastrophiques. Il y a de fortes chances que les DC de votre environnement autorisent des liaisons LDAP non sécurisées en ce moment même.
Comment détecter les LDAP non sécurisés :
La première étape pour atténuer cette vulnérabilité est d'identifier si vous êtes affecté, ce que vous pouvez faire en consultant l'événement ID 2887.
L'événement 2887 est enregistré par défaut dans le DC une fois toutes les 24 heures, et il indique le nombre de liens non signés et en clair avec le DC. Tout nombre supérieur à zéro indique que votre DC autorise des liaisons LDAP non sécurisées.
Ensuite, vous devez détecter tous les dispositifs et applications utilisant des liens non sécurisés en consultant l'événement ID 2889.
L'événement 2889 est enregistré dans le DC chaque fois qu'un ordinateur client tente une liaison LDAP non signée. Il affiche l'adresse IP et le nom de compte de l'ordinateur qui a tenté de s'authentifier par le biais d'un lien LDAP non signé.
Note : Cet événement n'est pas enregistré par défaut et nécessite l'activation des diagnostics appropriés.
Comment ADAudit Plus contribue à accélérer la détection :
L'utilisation de scripts PowerShell pour analyser et extraire les données pertinentes des événements 2887 et 2889 enregistrés demande de l'expertise et du temps. ADAudit Plus collecte ces événements de tous les DC de votre domaine et fournit des rapports qui permettent de localiser les appareils et les applications qui utilisent des liaisons LDAP non sécurisées. Les rapports contiennent des informations détaillées sur les adresses IP, les ports, les noms d'utilisateurs et le type de liaison. De plus, vous pouvez également configurer ADAudit Plus pour vous alerter par e-mail et SMS dès qu'une tentative d'authentification est effectuée à l'aide d'un lien non sécurisé.
Il suffit de quelques clics pour savoir si vos DC autorisent les liaisons non sécurisées et pour détecter les dispositifs et les applications qui sont vulnérables pour cette raison.
Remarque : une fois que vous avez détecté tous les dispositifs et applications utilisant des liaisons LDAP non sécurisées avec ADAudit Plus, assurez-vous de travailler à la résolution de ces liaisons en appliquant la signature LDAP et la liaison de canal LDAP (ce qui rend LDAPS plus sûr).
À propos de ManageEngine ADAudit Plus
ADAudit Plus est une solution de sécurité et de conformité en temps réel pour Active Directory, les serveurs de fichiers, les serveurs Windows et les postes de travail.