Les rapports de la disparition de Windows Active Directory sont très exagérés – voici comment Microsoft prend en charge l’annonce dans sa dernière plate-forme de serveur.
Nous avons souvent entendu dire que des solutions locales sont en train de sortir, mais jusqu’à ce qu’il soit clair qu’être complètement dans le nuage est logique, nous resterons dans une longue période de transition. Nulle part ailleurs, cela n’est rendu plus évident que dans les nouvelles fonctionnalités de sécurité de Windows Server 2025.
Bien que bon nombre de ces fonctionnalités présentent un point de vue «Cloud First», il existe également des indications claires que ces technologies sont là pour rester – un exemple est Active Directory de Microsoft, qui est toujours pris en charge et obtient en fait des améliorations.
Comme pour de nombreuses technologies, ces fonctionnalités et améliorations entrent en vigueur, vous vous êtes assuré que vous avez augmenté le niveau forestier et apporté certains changements dans votre domaine. Par exemple, l’un des nouveaux modifications de la sécurité Active Directory entoure le chiffrement obligatoire du protocole d’accès au répertoire léger (LDAP) pour toutes les connexions, protégeant les données de répertoire sensibles des écoutes et la falsification.
LDAP a longtemps été utilisé et maltraité par les utilisateurs et les attaquants. Une ligne d’application commerciale s’appuie souvent sur LDAP pour ses processus d’authentification, exposant un moyen pour un attaquant d’effectuer des attaques d’injection et d’autres requêtes.
On nous a souvent dit de nous assurer que notre réseau applique la signature LDAP, mais ce n’est pas le même processus que le cryptage ou l’activation des LDAP, car cela crypte tous les attributs LDAP, y compris les informations d’identification de l’utilisateur. Microsoft voulait que nous allumez ce paramètre depuis 2007 et Server 2008. Maintenant, avec Server 2025, ils activent le paramètre par défaut – il peut être désactivé si vous avez une application plus ancienne qui ne le prend pas en charge.
Server 2025 prendra en charge TLS 1.3, la dernière version de Transport Layer Security, dans les connexions LDAP sur TLS. Ce n’est pas une nouvelle technologie, mais un cadre qui sera désormais fortement recommandé.
Implémentation de la sécurité de la couche de transport dans le serveur 2025
L’implémentation de TLS 1.3 lors de l’utilisation de LDAP sur SSL ou de l’utilisation de la commande startTLS a été prise en charge pour la première fois sur les plates-formes à partir de juin 2022. Windows met à jour KB5014668 et KB5014665 Ajouter spécifiquement la prise en charge de ce paramètre de sécurité à Windows 11 et Server 2022. Si vous avez ces plates-formes spécifiquement Vous pouvez maintenant l’activer avec les paramètres suivants:
Côté serveur LDAP
Utilisez l’éditeur de registre pour modifier les valeurs suivantes pour désactiver ou réactiver TLS 1.3 LDAP) du côté du serveur:
Clé de registre: HKEY_LOCAL_MACHINE System CurrentControlset Services NTDS Paramètres
Valeur de registre: ldapdisabletls1.3
Type de valeur: reg_dword
Données de valeur: 0 (par défaut activée) / 1 (désactivé)
Redémarrez le service Active Directory Domain Services pour que le paramètre soit efficace.
Côté client LDAP
Utilisez l’éditeur de registre pour modifier les valeurs suivantes pour désactiver ou réactiver TLS 1.3 pour LDAP du côté client:
Clé de registre: HKEY_LOCAL_MACHINE System CurrentControlset Services LDAP
Valeur de registre: DisableTls1.3
Type de valeur: reg_dword
Données de valeur: 0 (par défaut activée) / 1 (désactivé)
Le paramètre commence à prendre effet à la prochaine connexion LDAP.
Server 2025 prendra en charge les mots de passe générés au hasard
Il est recommandé de tester pour vous assurer qu’aucun impact n’est fait sur votre domaine. Vous souhaiterez peut-être utiliser des outils tels que Iiscrypto afin de sauvegarder les paramètres de travail actuels avant de faire des ajustements. S’il existe des systèmes qui envoient toujours des demandes sur les paramètres de sécurité de niveau inférieur, vous devez vous assurer qu’ils peuvent prendre en charge le niveau de chiffres que vous avez activé. Vous aurez besoin du port 636 Ouvert sur votre contrôleur de domaine pour que les LDAP fonctionnent.
Ensuite, le serveur 2025 prendra en charge les mots de passe générés au hasard pour les comptes de machines, ce qui rend les attaques par force brute plus difficiles. Les comptes de machines sont identifiés par la présence d’un caractère $ à la fin du nom du compte. Comme pour toutes les choses dans Active Directory, même les appareils et les machines doivent avoir un compte pour rejoindre le domaine.
La plupart des comptes de machines ont des mots de passe solides générés automatiquement et au hasard tous les 30 jours. Assurez-vous de consulter votre réseau et votre domaine pour tout appareil qui demande une affectation de compte informatique «Pre-Windows 2000».
Les mots de passe de ces appareils sont faibles et peuvent souvent être fissurés s’ils sont basés sur le nom minuscule de la machine elle-même, ce qui était souvent le cas dans les époques précédentes. Si un attaquant vole un compte de machine, il existe souvent diverses techniques qui peuvent être utilisées pour effectuer une reconnaissance sur le réseau allant de la navigation sur des parts authentifiées, de l’établissement de la persistance ou de l’organisation d’attaques contre le domaine. Passez en revue l’événement 4741 dans vos journaux d’événements pour déterminer si une nouvelle machine inconnue a rejoint votre domaine.
Server 2025 oblige également les connexions cryptées requises pour les opérations impliquant des attributs confidentiels. Cela garantit que l’interception non autorisée et l’accès aux données ne se produiront pas pendant la transmission.
Assurez-vous d’employer des correctifs Server 2025
Cela ne veut pas dire que Windows Server 2025 a été sans bug depuis la libération – il a déjà été corrigé pour six bogues d’usurpation, 12 vulnérabilités de fonctionnalité de sécurité, 71 bogues d’exécution de code distant (certains critiques), 24 bogues de divulgation d’informations, 77 élévation des privilèges) Bogues et 27 bogues de déni de service depuis novembre.
Le serveur 2025 comprend la possibilité d’effectuer un «hotpatching», ce qui permet à l’administrateur de correctif d’installer des mises à jour et de ne pas redémarrer le système. Bien que ce ne soit pas nouveau, car il a été introduit pour la première fois dans Windows Server 2022 Datacenter: Azure Edition, il est maintenant également une option via Azure Arc. Azure ARC permet la gestion et permet au service de licence interne de Windows Server pour Hotpatch à s’exécuter afin que les mises à jour Hotpatch soient livrées aux clients. Vous pouvez Hotpatch Windows Server 2025 Serveurs physiques ou machines virtuelles, et ces machines virtuelles peuvent fonctionner sur Hyper-V, VMware ou tout ce qui prend en charge la norme de sécurité basée sur la virtualisation axée sur la protection de Microsoft.
Se préparer à migrer vers le serveur 2025
Enfin, pour migrer vers le serveur 2025, vous devez être au niveau fonctionnel du serveur 2016. Pour le serveur 2025, si vous souhaitez une taille de page de base de données 32k, vous devez augmenter le niveau forestier vers le serveur 2025. En place, les mises à niveau sont également prises en charge pour le serveur 2025.
À partir de Windows Server 2025, vous pouvez mettre à niveau jusqu’à quatre versions à la fois, ce qui signifie que vous pouvez passer directement à Windows Server 2025 à partir de Windows Server 2012 R2 et plus tard. Avant cela, vous ne pouviez mettre à niveau jusqu’à deux versions à la fois.
Si vous utilisez la fonction de mise à niveau du roulement du système d’exploitation du cluster, vous êtes limité à une seule version à la fois. Vous êtes également aidé à migrer d’une version d’évaluation vers une version commerciale, ou d’une ancienne version de vente au détail à une version plus récente, ou d’une édition sous licence de volume à une version de vente au détail ordinaire.
Passez en revue votre réseau et les systèmes d’exploitation du serveur que vous avez sous votre contrôle. Conférer avec vos partenaires d’hébergement et avec vos fournisseurs de matériel pour vous assurer que tout le monde est aligné dans leur soutien à vos plans d’hébergement. Le cloud n’est pas votre seule option.
