Vous pouvez considérablement améliorer la sécurité de ce serveur d'annuaire en le configurant pour rejeter les liaisons SASL ...

Vous pouvez considérablement améliorer la sécurité de ce serveur d'annuaire en le configurant pour rejeter les liaisons SASL (Negotiate, 
Kerberos, NTLM ou Digest) LDAP qui ne demandent pas de signature (vérification d'intégrité), ainsi que les liaisons simples LDAP
effectuées sur une connexion avec texte en clair (non chiffrée via SSL/TLS). Même si aucun client n'utilise de telles liaisons,
le fait de configurer le serveur pour les rejeter permet d'améliorer la sécurité de ce dernier.



Certains clients utilisent peut-être actuellement des liaisons SASL non signées ou des liaisons simples LDAP via une connexion qui n'est pas de type SSL/TLS ;
ils cesseront de fonctionner si cette modification de configuration a lieu. Pour aider à identifier ces clients, lorsque de telles liaisons existent, ce
serveur d'annuaire enregistre un résumé d'événements une fois toutes les 24 heures en indiquant le nombre de liaisons qui se sont 
produites. Il est conseillé de configurer les clients afin d'éviter d'utiliser ces types de liaisons. Si aucun événement correspondant n'est observé durant une
longue période, configurez le serveur de sorte qu'il rejette les liaisons décrites précédemment.



Pour plus de détails et d'informations sur la modification de la configuration du serveur, allez à l'adresse http://go.microsoft.com/fwlink/?LinkID=87923.



Vous pouvez activer une journalisation supplémentaire afin d'enregistrer un événement chaque fois qu'un client effectue ce type de liaison,
ainsi que l'identité de ce client. Pour ce faire, augmentez le paramètre de la catégorie de journalisation d'événements d'interface LDAP
au niveau 2 ou supérieur.