Lors de la configuration d'un modèle de certificat pour les certificats RA (Registration Authority) destinés au service d'inscription des périphériques réseau (NDES), la question se pose, en particulier lors de l'utilisation de modules de sécurité matériels (HSM), de savoir quel fournisseur de services cryptographiques (CSP) du fabricant HSM doit être utilisé.
Supposons le scénario suivant :
Dans le cadre des mesures de renforcement, il est recommandé d'utiliser les correctifs publiés par Microsoft. Normes de sécurité Microsoft à son propre environnement serveur.
Cela aura inévitablement des répercussions sur les composants PKI. Vous trouverez ci-dessous un aperçu des répercussions attendues et des contre-mesures.
Continuer la lecture de « Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten? »Il existe un bug connu dans le service Web CEP (Certificate Enrollment Policy) qui empêche l'affichage des modèles de certificats configurés pour être compatibles avec Windows Server 2016 ou Windows 10.
Continuer la lecture de « Der Zertifikatregistrierungs-Richtliniendienst zeigt Zertifikatvorlagen, die auf Kompatibilität mit Windows Server 2016 oder Windows 10 konfiguriert sind, nicht an »Depuis l'apparition des outils d'administration des services de certificats dans Windows Server 2012, il est possible de sélectionner la compatibilité souhaitée pour l'autorité de certification et les destinataires du certificat lors de la configuration d'un modèle de certificat.
Cette fonction est décrite plus en détail ci-dessous, ainsi que ses effets possibles dans la pratique.
Continuer la lecture de « Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet? »Depuis l'apparition des outils d'administration des services de certificats dans Windows Server 2012, il est possible de sélectionner la compatibilité souhaitée pour l'autorité de certification et les destinataires du certificat lors de la configuration d'un modèle de certificat.
Vous trouverez ci-dessous un aperçu des options disponibles lorsque les paramètres de compatibilité pour l'autorité de certification et/ou les destinataires du certificat sont modifiés.
Continuer la lecture de « Übersicht über die Verfügbarkeit von Optionen bei Veränderung der Kompatibilitätseinstellungen einer Zertifikatvorlage »Supposons le scénario suivant :
Get-Certificate : CX509EnrollmentPolicyWebService::LoadPolicy: Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung „Access was denied by the remote endpoint. 0x803d0005 (-2143485947 WS_E_ENDPOINT_ACCESS_DENIED)“ »
Supposons le scénario suivant :
Get-Certificate : CertEnroll::CX509CertificateTemplates::get_ItemByName: Cannot find object or property. 0x80092004Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifikatregistrierungs-Webdienste mittels Windows PowerShell schlägt fehlt mit Fehlermeldung „Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »
(-2146885628 CRYPT_E_NOT_FOUND)
Supposons le scénario suivant :
certutil -ping -kerberos -config "https://{Servername}/ADPolicyProvider_CEP_Kerberos/service.svc/CEP" CEP
La commande certutil est détectée à tort comme Win32/Ceprolad.A par Windows Defender ou Windows Defender Advanced Threat Protection.
Continuer la lecture de « Windows Defender erkennt certutil als Schadsoftware (Win32/Ceprolad.A) »Supposons que l'on implémente le modèle de hiérarchisation administrative Active Directory (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de renforcement comparables sur ses serveurs, cela a des répercussions sur les composants CEP.
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Certificate Enrollment Policy Web Service (CEP) »Une nouvelle fonctionnalité de Windows Server 2016 est que les mots de passe pour les comptes qui utilisent uniquement Connexion avec des cartes à puce doivent être renouvelés automatiquement conformément aux directives relatives aux mots de passe.
Si l'option „ Smart card is required for interactive logon “ (Une carte à puce est requise pour la connexion interactive) est activée pour un compte utilisateur, le mot de passe du compte utilisateur est défini une seule fois sur une valeur aléatoire. Cependant, le mot de passe ne change plus par la suite, ce qui rend le compte plus vulnérable aux attaques de type « pass-the-hash ».
La nouvelle fonctionnalité résout ce problème en générant régulièrement de nouveaux mots de passe aléatoires pour les comptes concernés (en fonction de la politique de mot de passe configurée pour le compte).
Continuer la lecture de « Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern »Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.
Français 
Deutsch 
English