Month: février 2020

Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.

Quiconque souhaite utiliser la fonction Smartcard Logon dans l'entreprise a tout intérêt à veiller à ce que la sécurité de son autorité de certification soit aussi renforcée que possible. Cela implique quelques mesures essentielles :

  • Suppression de tous les certificats d'autorité de certification inutiles de l'objet NTAuthCertificates dans Active DirectoryChaque autorité de certification qui se trouve dans ce magasin est autorisée à émettre des certificats de connexion de carte à puce dans l'Active Directory pour l'ensemble de la structure.
  • Utiliser la subordination qualifiéeLimiter les certificats d'autorité de certification afin de ne leur faire confiance que pour les extended key usages effectivement délivrés. En cas de compromission de l'autorité de certification, le dommage est alors limité à ces Extended Key Usages. Le "Smart Card Logon" Extended Key Usage ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Ce qui est intéressant dans ces réflexions, c'est que les contrôleurs de domaine ne vérifient pas du tout les Extended Key Usages lors de la connexion via carte à puce.

Continuer la lecture de « Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »

Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?

Pour qu'une inscription par carte à puce réussisse, certaines conditions doivent être remplies dans l'environnement Active Directory :

Continuer la lecture de « Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind? »

Suppression des extensions spécifiques à ADCS des certificats

Si l'on utilise Active Directory Certificates, on remarque que les certificats des autorités de certification et les certificats qu'elles émettent comportent certaines extensions qui ne sont pas définies dans les RFC pertinents et qui sont spécifiques à AD CS.

Continuer la lecture de « Entfernen der ADCS-spezifischen Erweiterungen aus Zertifikaten »

Règles de pare-feu requises pour Active Directory Certificate Services

Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »

Description du drapeau EDITF_ADDOLDKEYUSAGE

Lorsque l'on installe une autorité de certification subordonnée, il se peut que l'on se heurte au comportement suivant :

  • On demande une extension Key Usage qui est par exemple marquée comme critique ou qui ne contient pas DigitalSignature.
  • Cependant, le certificat délivré par l'autorité de certification parente contient DigitalSignature et l'extension Key Usage est marquée comme non critique.
  • L'autorité de certification supérieure est une autorité de certification autonome, c'est-à-dire sans intégration Active Directory.
Continuer la lecture de « Beschreibung des Flags EDITF_ADDOLDKEYUSAGE »

Installer les outils de gestion du serveur distant pour Active Directory Certificate Services sur Windows 10 (version 1809 ou ultérieure)

Depuis la version 1809 de Windows 10, les outils de gestion du serveur distant ne sont plus disponibles en tant que téléchargement autonome, mais font partie des fonctionnalités à la demande.

Continuer la lecture de « Remoteserver-Verwaltungstools für Active Directory Certificate Services auf Windows 10 ab Version 1809 installieren »

Quel est le degré de sécurité du paramètre "Allow private key to be exported" dans les modèles de certificats ?

Les administrateurs PKI partent souvent du principe que l'option dans le modèle de certificat , de ne pas autoriser l'exportation de la clé privée, est obligatoire.

Continuer la lecture de « Wie sicher ist die Einstellung „Allow private key to be exported“ in den Zertifikatvorlagen? »

Importer un certificat dans une carte à puce

Il est parfois nécessaire d'importer dans une carte à puce un certificat qui utilise une clé logicielle.

Continuer la lecture de « Importieren eines Zertifikats in eine Smartcard »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "The RPC server is unavailable. 0x800706ba (WIN32 : 1722 RPC_S_SERVER_UNAVAILABLE)".

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service)
  • On dispose des autorisations nécessaires pour installer le rôle (administrateur local, administrateur d'entreprise).
  • La configuration des rôles échoue avec le message d'erreur suivant :
The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)“ »

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant : 
Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: The remote endpoint is unable to process the request due to being overloaded. 0x803d0012 (-2143485934 WS_E_ENDPOINT_TOO_BUSY)“ »

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • L'authentification se fait via Kerberos.
  • La demande de certificat est effectuée par le serveur CEP lui-même.
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant : 
Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: A message containing a fault was received from the remote endpoint. 0x803d0013 (-2143485933 WS_E_ENDPOINT_FAULT_RECEIVED)“ »

La demande d'un certificat via les Certificate Enrollment Web Services échoue avec le message d'erreur "Error : The operation timed out 0x80072ee2 (WinHttp : 12002 ERROR_WINHTTP_TIMEOUT)".

Supposons le scénario suivant :

  • Un utilisateur demande un certificat.
  • Une Enrollment Policy est configurée à cet effet, qui renvoie à un Certificate Enrollment Policy Web Service (CEP).
  • La connexion au CEP échoue et l'utilisateur reçoit le message d'erreur suivant :
Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)
Continuer la lecture de « Die Beantragung eines Zertifikats über die Certificate Enrollment Web Services schlägt fehl mit Fehlermeldung „Error: The operation timed out 0x80072ee2 (WinHttp: 12002 ERROR_WINHTTP_TIMEOUT)“ »

Aperçu des différentes générations de certificats de contrôleur de domaine

Au fil des générations de systèmes d'exploitation Windows, différents modèles de certificats ont été établis pour les contrôleurs de domaine. Dans un service d'annuaire Active Directory actuel, on trouvera trois modèles différents à cette fin.

  • Contrôleur de domaine
  • Authentification du contrôleur de domaine
  • Authentification Kerberos

Vous trouverez ci-dessous une description de chaque modèle et une recommandation pour la configuration des modèles de certificats de contrôleur de domaine.

Continuer la lecture de « Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten »

Suppression (en masse) d'entrées dans la base de données des autorités de certification (certificats, exigences, listes de révocation)

Il arrive parfois que la base de données de l'autorité de certification devienne extrêmement volumineuse. Il se peut qu'un grand nombre de demandes de certificats soient arrivées et aient été refusées sans que l'on s'en aperçoive, ou que la base de données contienne de nombreux certificats qui ont été émis en double. Avant que la base de données de l'autorité de certification compacté Pour que la base de données puisse être utilisée de manière optimale, ces entrées doivent d'abord être supprimées afin de libérer de l'espace dans la base de données.

Continuer la lecture de « (Massenhaftes) Löschen von Einträgen in der Zertifizierungsstellen-Datenbank (Zertifikate, Anforderungen, Sperrlisten) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais