Avec une expérience de plus de 15 ans dans l’informatique, nous aidons les entreprises à atteindre leur objectif de digitalisation et de transformation. LeenDIS est une agence technologique axée sur des valeurs dédiées telles que :

  • L’expérience,
  • Le savoir-faire,
  • La rigueur,
  • la polyvalence,
  • l’adaptabilité,
  • la proximité,
  • la confiance…
Exemples de projets

Contacts

6 rue d'Armaillé 75017 Paris

hello@leendis.com

+33 666 710 812

Linkedin User-astronaut Youtube
Réseau Sécurité Système
_ _ Harry Cover_ 0 Commentaires

Les ports Active Directory.

Limiter les ports de communication au minimum est un bon moyen d’augmenter la sécurité, surtout quand on considère la sécurité des contrôleurs de domaine (Active Directory) comme primordiale. Toutefois, il n’y a pas de minimum, car si l’on restreint les ports recommandés par Microsoft, certains services ne fonctionneront pas ou plus comme prévu. Ainsi, pour optimiser et ajouter de la sécurité, nous devons restreindre les ports des services que l’on n’utilise pas dans l’environnement…

Ports liés à l’AD

Pour une sécurité accrue, changer les ports LDAP et Catalogue global LDAP par leur homologue sécure (ci-dessous)

A part NTP et Kerberos (changement ou MAJ de mot de passe), le reste des protocoles si ils ne sont pas utilisés, peuvent être bloqués.

Réplication AD

Pour une sécurité accrue, changer les ports LDAP et Catalogue global LDAP par leur homologue sécure (ci-dessous)

Ceux sont des ports optionnels. NetBios, peut-être bloqué si pas utilisé…

Authentification auprès de l’AD

Authentification des utilisateurs et des ordinateurs…

Pour une sécurité accrue, changer le port LDAP par son homologue sécure (ci-dessous)

RPC

(appels de procédure distante)

Si nous voulons rajouter une couche supplémentaire de sécurité, nous pouvons restreindre RPC à un seul port spécifique au lieu d’ouvrir une grande plage de ports… Par défaut, les appels de procédure distante (RPC) de réplication Active Directory se produisent dynamiquement sur un port disponible via le mappeur de point de terminaison RPC (RPCSS) à l’aide du port 135. Un administrateur peut remplacer cette fonctionnalité et spécifier le port par lequel passe tout le trafic RPC Active Directory. Cette procédure verrouille le port.

Concernant le port à choisir, faites avant un check des ports disponibles sur le serveur (soit via une commande Telnet, soit via une commande cmd (Netstat), soit via une commande PowerShell (Get-NetTCPConnection) ou soit via un logiciel tel que TCPView)…

Port choisi : 4005

Fixer cette clé dans la base de registre de chaque DC et redémarrer les…

A la main 

Clé de Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
Valeur de Registre :  TCP/IP Port
Type de valeur : REG_DWORD
Données de valeur : 4005

En ligne de commande

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters" /v "TCP/IP Port" /t REG_DWORD /d 4005 /f

Port choisi : 4006

Fixer cette clé dans la base de registre de chaque DC et redémarrer les serveurs (redémarrer juste le service Netlogon ne suffira pas)…

A la main 

Clé de Registre : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters
Valeur de Registre : DCTcpipPort
Type de valeur : REG_DWORD
Données de valeur : 4006

En ligne de commande

REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters" /v "DCTcpipPort" /t REG_DWORD /d 4006 /f

Pour connaitre la liste de tous les ports :  Frameip


Le prochain post, nous aborderons la notion de LDAPS (LDAP sécure) et son installation…

A bientôt !

27

Auteur

Harry Cover

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

error: Le contenu est protégé !!