.webp "Des problèmes avec le client, le service et le logiciel peuvent survenir si vous modifiez les paramètres de sécurité et les attributions de droits d'utilisateur Partie 5 : WEBGRAM, meilleure entreprise / société / agence informatique basée à Dakar-Sénégal, leader en Afrique dans la formation en informatique, système d'information, programmation, intelligence artificielle, développement web (python, java script, c, c++, PHP), Framework (lavavel, Angular, réactif js, vue js, jQuery, ....), langages de programmations, système de gestion de base de données, système de gestion de base de données relationnelles, sécurité informatique, architecture logicielle, CMS, système réseau, gestion de projet informatique, développement mobile (Android et IOS), système d'exploitation (MacOs, Windows , Linux), NTIC (nouvelle technologie de l'information et de la communication), gestion des serveurs sous Windows et Ubuntu, web design, création de jeu vidéo, bureautique (pack office), infographie (pack Adobe), introduction au web, initiation au développement mobile, informatique de gestion, systèmes informatiques, administration des réseaux, communication digitale, législation dans le domaine du digitale, médias sociaux et culture digitale, manager IT, création visuelle, logiciel de montage, production audiovisuelle, requête HTTPS, introduction a ORACLE, fondamentaux du langage SQL, ORACLE administration avancée, administration de MySQL, outils décisionnels, formation en API rest , Visual studio, C# - développement avec le framework .Net, technologies web") |
| Les problèmes avec le client, le service et le logiciel : WEBGRAM, meilleure entreprise / société / agence informatique basée à Dakar-Sénégal, leader en Afrique dans la formation en informatique, système d'information, programmation, intelligence artificielle, développement web (python, java script, c, c++, PHP), Framework (lavavel, Angular, réactif js, vue js, jQuery, ....), langages de programmations, système de gestion de base de données, système de gestion de base de données relationnelles, sécurité informatique, architecture logicielle, CMS, système réseau, gestion de projet informatique, développement mobile (Android et IOS), système d'exploitation (MacOs, Windows , Linux), NTIC (nouvelle technologie de l'information et de la communication), gestion des serveurs sous Windows et Ubuntu, web design, création de jeu vidéo, bureautique (pack office), infographie (pack Adobe), introduction au web, initiation au développement mobile, informatique de gestion, systèmes informatiques, administration des réseaux, communication digitale, législation dans le domaine du digitale, médias sociaux et culture digitale, manager IT, création visuelle, logiciel de montage, production audiovisuelle, requête HTTPS, introduction a ORACLE, fondamentaux du langage SQL, ORACLE administration avancée, administration de MySQL, outils décisionnels, formation en API rest , Visual studio, C# - développement avec le framework .Net, technologies web |
Configurations
WEBGRAM Géant du développement d'applications web et mobile basée à Dakar-Sénégal, leader en Afrique.
risquées Voici les paramètres de configuration malveillants :
- Activer l'invite de connexion dans les environnements où les clients ne prennent pas en charge la signature LDAP ou dans lesquels la signature LDAP côté client n'est pas activée sur le client
Appliquer le modèle de sécurité Windows 2000 ou Windows Server 2003 Hisecdc.inf dans les environnements où les clients ne prennent pas en charge la signature LDAP ou dans lesquels la signature LDAP côté client n'est pas activée
Appliquer le modèle de sécurité Windows 2000 ou Windows Server 2003 Hisecws.inf dans les environnements où les clients ne prennent pas en charge la signature LDAP ou dans lesquels la signature LDAP côté client n'est pas activée
Raisons d'activer ce paramètre
Le trafic réseau non signé est vulnérable aux attaques de l'homme du milieu où un intrus capture des paquets entre le client et le serveur, modifie les paquets, puis les transmet au serveur. Lorsque ce comportement se produit sur un serveur LDAP, l'attaquant peut amener le serveur à prendre des décisions basées sur des requêtes erronées du client LDAP. Vous pouvez réduire ces risques dans votre réseau d'entreprise en mettant en œuvre de solides mesures de sécurité physique pour aider à protéger votre infrastructure réseau. Placer un en-tête IPSec (Internet Protocol Authentication) peut aider à prévenir les attaques entre les attaques. Le mode d'en-tête d'authentification effectue l'authentification mutuelle et l'intégrité des paquets du trafic IP.
Raisons de désactiver ce paramètre
Les clients qui ne prennent pas en charge la signature LDAP ne pourront pas effectuer de requêtes LDAP sur les contrôleurs de domaine et sur les catalogues globaux si l'authentification NTLM est négociée et si les Service Packs appropriés ne sont pas installés sur les contrôleurs de domaine Windows 2000.
Les traces réseau du trafic LDAP entre les clients et les serveurs seront cryptées. Cela rend difficile l'inspection des conversations LDAP.
Les serveurs Windows 2000 doivent avoir Windows 2000 Service Pack 3 (SP3) installé ou lorsqu'ils sont gérés avec un logiciel qui prend en charge la signature LDAP qui s'exécute à partir d'ordinateurs clients qui exécutent Windows 2000 SP4, Windows XP ou Windows Server 2003.
Nom de code : LDAPServerIntegrity
Chemin d'enregistrement : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity (Reg_DWORD)
Exemples de problèmes de compatibilité
Les liaisons simples échoueront et vous recevrez le message d'erreur suivant : Échec de Ldap_simple_binds() : authentification forte requise.
Windows 2000 Service Pack 4, Windows XP ou Windows Server 2003 : sur les clients qui exécutent Windows 2000 SP4, Windows XP ou Windows Server 2003, certains outils de gestion Active Directory ne fonctionneront pas correctement sur les contrôleurs de domaine qui exécutent des versions de Windows 2000 qui sont plus anciens que SP3 lors de la négociation de l'authentification NTLM.
Windows 2000 Service Pack 4, Windows XP ou Windows Server 2003 : sur les clients exécutant Windows 2000 SP4, Windows XP ou Windows Server 2003, certains outils de gestion Active Directory qui ciblent les contrôleurs de domaine qui exécutent des versions de Windows 2000 antérieures à SP3 ne fonctionneront pas. fonctionnent correctement s'ils utilisent des adresses IP (par exemple, "dsa.msc /server= xxxxx " où x.xxx est l'adresse IP).
Membre de domaine : demande de clé de session forte (Windows 2000 ou version ultérieure)
a. l'arrière-plan
Membre de domaine : le paramètre Clé de session forte (Windows 2000 ou version ultérieure) détermine si un canal sécurisé peut être établi avec un contrôleur de domaine qui ne peut pas chiffrer le trafic du canal sécurisé avec une clé de session forte de 128 bits. L'activation de ce paramètre empêche la création d'un canal sécurisé avec tout contrôleur de domaine qui ne peut pas chiffrer les données du canal sécurisé avec une clé forte. La désactivation de ce paramètre autorise les clés de session 64 bits.
Avant d'activer ce paramètre sur un poste de travail membre ou sur un serveur, tous les contrôleurs de domaine du domaine du membre doivent pouvoir chiffrer les données du canal sécurisé avec une clé forte de 128 bits. Cela signifie que tous ces contrôleurs de domaine doivent exécuter Windows 2000 ou une version ultérieure.
WEBGRAM, agence numéro 1 du développement de logiciels basée à Dakar-Sénégal, leader en Afrique.
b. Configuration risquée
Activer le membre de domaine : la définition d'une clé de session forte (Windows 2000 ou version ultérieure) nécessite un paramètre de configuration malveillant.
c. Raisons d'activer ce paramètre
Les clés de session utilisées pour créer des communications par canal sécurisé entre les ordinateurs membres et les contrôleurs de domaine sont beaucoup plus puissantes dans Windows 2000 qu'elles ne l'étaient dans les versions antérieures des systèmes d'exploitation Microsoft.
Lorsque cela est possible, il est judicieux de tirer parti de ces clés de session plus puissantes pour aider à protéger les connexions de canaux sécurisés contre les écoutes clandestines et les attaques réseau de vol de session. L'écoute clandestine est une forme d'attaque malveillante où les données du réseau sont lues ou modifiées pendant la transmission. Les données peuvent être modifiées pour masquer ou changer l'expéditeur, ou pour le rediriger.
Un ordinateur critique qui exécute Windows Server 2008 R2 ou Windows 7 ne prend en charge que les clés fortes lors de l'utilisation de canaux sécurisés. Cette restriction empêche l'approbation entre n'importe quel domaine basé sur Windows NT 4.0 et n'importe quel domaine basé sur Windows Server 2008 R2. En outre, cette restriction empêche l'appartenance à un domaine basé sur Windows NT 4.0 pour les ordinateurs qui exécutent Windows 7 ou Windows Server 2008 R2, et vice versa.
d. Raisons de désactiver ce paramètre
Le domaine contient des ordinateurs membres qui exécutent des systèmes d'exploitation autres que Windows 2000, Windows XP ou Windows Server 2003.
e. Nom de code : StrongKey
f. Chemin d'enregistrement :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey (Reg_DWORD)
g. Exemples de problèmes de compatibilité avec Windows NT 4.0 :
Sur les ordinateurs Windows NT 4.0, la réinitialisation des canaux sécurisés pour les relations d'approbation entre les domaines Windows NT 4.0 et Windows 2000 échoue avec NLTEST. Un message d'erreur "Accès refusé" s'affiche :
La relation d'approbation entre le domaine principal et le domaine approuvé a échoué.
Windows 7 et Server 2008 R2 : Pour Windows 7 et supérieur et Windows Server 2008 R2 et supérieur, ce paramètre n'est plus respecté et la clé forte est toujours utilisée. Pour cette raison, les relations d'approbation avec les domaines Windows NT 4.0 ne fonctionnent plus.
WEBGRAM, Meilleure agence de développement web et mobile basée à Dakar-Sénégal, leader en Afrique.
Membre de domaine : crypter ou signer numériquement les données du canal sécurisé (toujours)
a. l'arrière-plan
Activer le membre de domaine : le chiffrement ou la signature numérique des données du canal sécurisé empêche (toujours) la création d'un canal sécurisé avec un contrôleur de domaine qui ne peut pas signer ou chiffrer toutes les données du canal sécurisé. Pour aider à protéger le trafic réseau d'authentification contre les attaques internes, les contre-attaques et d'autres types d'attaques réseau, les ordinateurs Windows créent un canal de communication connu sous le nom de canal sécurisé via le service Net Logon pour authentifier les comptes d'ordinateur. Les canaux sécurisés sont également utilisés lorsqu'un utilisateur d'un domaine se connecte à une ressource réseau dans un domaine distant. Cette authentification multidomaine, ou authentification directe, permet à un ordinateur Windows qui a rejoint un domaine d'accéder à la base de données de comptes d'utilisateurs dans son domaine et dans tous les domaines approuvés.
Pour activer un membre de domaine : crypter numériquement ou signer (toujours) les données du canal sécurisé sur un ordinateur membre, tous les contrôleurs de domaine du domaine du membre doivent être en mesure de signer ou de crypter toutes les données du canal sécurisé. Cela signifie que tous ces contrôleurs de domaine doivent exécuter Windows NT 4.0 avec Service Pack 6a (SP6a) ou version ultérieure.
Activer le membre de domaine : configurer pour chiffrer ou signer numériquement (toujours) les données de canal sécurisé Membre de domaine automatiquement : chiffrer ou signer numériquement les données de canal sécurisé (le cas échéant).
b. Configuration risquée
Activer le membre de domaine : chiffrer ou signer numériquement les données du canal sécurisé (toujours) dans les domaines où tous les contrôleurs de domaine ne peuvent pas signer ou chiffrer les données du canal sécurisé est un paramètre de configuration malveillant.
c. Raisons d'activer ce paramètre
Le trafic réseau non signé est vulnérable aux attaques de l'homme du milieu, dans lesquelles un attaquant capture des paquets entre le serveur et le client, puis les modifie avant de les transmettre au client. Lorsque ce comportement se produit sur un serveur LDAP (Lightweight Directory Access Protocol), le pirate peut amener le client à prendre des décisions basées sur de faux enregistrements de l'annuaire LDAP. Vous pouvez réduire le risque d'une telle attaque sur votre réseau d'entreprise en mettant en œuvre de solides mesures de sécurité physique pour aider à protéger votre infrastructure réseau. De plus, la mise en œuvre du mode d'en-tête IPSec (Internet Protocol Authentication) peut aider à prévenir les attaques au milieu. Ce mode effectue l'authentification mutuelle et l'intégrité des paquets du trafic IP.
d. Raisons de désactiver ce paramètre
Les ordinateurs des domaines locaux ou externes prennent en charge les canaux sécurisés chiffrés.
Tous les contrôleurs de domaine n'ont pas les niveaux de révision de Service Pack appropriés pour prendre en charge les canaux sécurisés chiffrés.
e. Nom de code : StrongKey
f. Chemin d'enregistrement :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal (REG_DWORD)
g. Exemples de problèmes de compatibilité
Windows NT 4.0 : les ordinateurs membres basés sur Windows 2000 ne pourront pas rejoindre les domaines Windows NT 4.0 et recevront le message d'erreur suivant :
Le compte n'est pas autorisé à se connecter depuis cette station.
WEBGRAM est leader (meilleure entreprise / société / agence) de développement d'applications web et mobiles, et de progicil de gestion intégré (ERP - Entreprise Resource Planning) en Afrique (Sénégal, Côte d’Ivoire, Bénin, Gabon, Burkina Faso, Mali, Guinée, Cap-Vert, Cameroun, Madagascar, Centrafrique, Gambie, Mauritanie, Niger, Rwanda, Congo-Brazzaville, Congo-Kinshasa RDC, Togo).
Enregistrer un commentaire