juillet 2024 – Uwe Gradenegger

Comment le module TameMyCerts Policy pour Active Directory Certificate Services (ADCS) peut réparer les demandes de certificats entrantes afin de les rendre conformes aux RFC

En commençant par la version 58, Google a décidé supprimer la prise en charge du Subject Distinguished Name des certificats de serveur web dans le navigateur Chrome et de n'accepter à la place que des certificats avec Subject Alternative Name.

Depuis ce moment, les certificats de serveur web sans Subject Alternative Name sont présentés sous la forme d'un dNSName de Google Chrome et d'autres Chromium(c'est-à-dire également les navigateurs Microsoft Edge) a été rejetée. D'autres fabricants de navigateurs ont rapidement adopté cette approche, de sorte que ce problème concerne désormais tous les navigateurs courants.

Continuer la lecture

Comment le module de politique de TameMyCerts pour Active Directory Certificate Services (ADCS) peut aider à établir des processus de signature numérique dans l'entreprise

De nombreuses entreprises souhaitent aujourd'hui miser sur des processus sans papier afin d'accélérer les processus internes d'approbation et de signature. À l'heure où la plupart des employés travaillent à domicile, cette question a encore gagné en importance.

Bien que l'autorité de certification Microsoft soit en mesure de mettre en œuvre des processus automatiques d'émission de certificats, leurs possibilités d'influencer le contenu du certificat sont fortement limitées.

Le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (AD CS) permet de définir des règles de sécurité avancées. Règles pour le Subject Distinguished Name et aussi le Sujet Nom alternatif des certificats délivrés.

Continuer la lecture

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut aider à sécuriser des scénarios avec Microsoft Intune et d'autres systèmes de gestion des dispositifs mobiles (MDM)

Les entreprises utilisent Gestion des dispositifs mobiles (MDM) Produits permettant de gérer, de configurer et de mettre à jour des appareils mobiles tels que des smartphones, des tablettes ou des systèmes de bureau via Internet (Over-the-Air, OTA).

Les produits de gestion des dispositifs mobiles les plus courants sont :

Microsoft Intune
VMware Workspace One (précédemment connu sous le nom de marque AirWatch)
Ivanti MobileIron UEM
Jamf Pro
Gestion de la mobilité d'entreprise Baramundi
BlackBerry Enterprise Mobility Suite
Sophos Mobile Control
SOTI MobiControl
Samsung Knox
IBM MaaS360

Continuer la lecture

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut détecter et prévenir les attaques contre les vecteurs d'attaque ESC6 et ESC7

Dans l'intention prétendument bonne de rendre ainsi possible la délivrance de telles exigences de certificat avec un SAN, deviner malheureusement beaucoup sur beaucoup de Instructions de l'autorité de certification, le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 activer.

Si l'on active ce drapeau, une très grande surface d'attaque est offerte, car tout demandeur peut désormais ordonner à l'autorité de certification d'émettre des certificats avec n'importe quel contenu. Ce type d'attaque est connu dans le milieu de la sécurité sous le nom de ESC6 et ESC7 connu.

Continuer la lecture

Comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher les attaques contre le vecteur d'attaque ESC1

Les attaques contre les autorités de certification Microsoft peuvent viser à exploiter les autorisations sur les modèles de certificats. Dans de nombreux cas, les modèles de certificats doivent être configurés de manière à permettre au demandeur de demander n'importe quelle identité. Cela peut conduire à l'usurpation d'identité de comptes Active Directory et, par conséquent, à l'augmentation des droits par l'attaquant. Les attaques de ce type sont connues dans le milieu de la sécurité sous le nom d'"attaques par déni de service".ESC1".

Continuer la lecture