Catégorie : Active Directory

Ajouter automatiquement l'extension de certificat Security Identifier (SID) aux certificats demandés via Mobile Device Management (MDM) - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Après de multiples reports, Microsoft a finalement décidé que la Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754) devraient maintenant entrer définitivement en vigueur.

Les contrôleurs de domaine passeront donc automatiquement en mode "full enforcement" le 25 février 2025 si rien d'autre n'est configuré. En septembre 2025, il est annoncé que les paramètres divergents seront supprimés et qu'il n'y aura donc plus d'alternative au full enforcement.

Cela a pour conséquence que les inscriptions via PKInit ne peuvent être utilisées pour une inscription que si elles disposent de l'extension de certificat Security Identifier (SID) nouvellement introduite avec le patch.

Ce qui semble à première vue ne pas être un problème majeur peut en fait en devenir un si l'on considère que de moins en moins de cas d'application basés sur des certificats utilisent aujourd'hui l'auto-enrollment classique.

Comme le Module de politique TameMyCerts pour les services de certificats Active Directory peut aider à résoudre ce problème est expliqué plus en détail dans l'article suivant.

Continuer la lecture de « Die Security Identifier (SID) Zertifikaterweiterung in per Mobile Device Management (MDM) beantragte Zertifikate automatisch eintragen – mit dem TameMyCerts Policy Modul für die Microsoft Active Directory Certificate Services (ADCS) »

L'inscription par carte à puce échoue avec un message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Supposons le scénario suivant :

  • L'entreprise souhaite utiliser la connexion par carte à puce.
  • Les contrôleurs de domaine sont avec des certificats utilisables pour l'inscription par carte à puce équipée.
  • Les utilisateurs sont munis de certificats utilisables pour la connexion par carte à puce.
  • La connexion au domaine par carte à puce échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Smartcard-Anmeldung schlägt fehl mit Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Comment la sécurisation des imprimantes peut devenir un désastre en matière de sécurité - et comment le module de politique TameMyCerts pour Active Directory Certificate Services (ADCS) peut empêcher cela

De nos jours, il est indispensable de protéger l'authentification des appareils sur le réseau de l'entreprise ainsi que les interfaces administratives. En règle générale, les certificats numériques sont utilisés à cet effet.

En règle générale, les imprimantes ont donc elles aussi besoin de certificats numériques pour pouvoir être exploitées en toute sécurité. A partir d'un certain nombre d'appareils, on ne peut plus éviter une distribution automatique des certificats.

Certains fabricants d'imprimantes proposent des solutions de gestion centralisée pour la distribution des certificats.

Malheureusement, on constate régulièrement que l'utilisation sûre des certificats numériques exige beaucoup de connaissances, d'expérience et de soin, ce qui n'est malheureusement souvent pas le cas.

Continuer la lecture de « Wie das Absichern von Druckern zum Security-Desaster werden kann – und wie das TameMyCerts Policy Modul für Active Directory Certificate Services (ADCS) dieses verhindern kann »

Démantèlement d'une autorité de certification intégrée à Active Directory (Enterprise CA)

Il existe de nombreuses instructions pour la mise en place et la mise en service de services informatiques. Mais la plupart du temps, on oublie les instructions correspondantes pour la mise hors service.

Vous trouverez ci-dessous une description de la manière correcte de mettre hors service une autorité de certification intégrée dans Active Directory (Enterprise Certification Authority).

Continuer la lecture de « Rückbau einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) »

Les connexions via le serveur de stratégie réseau (NPS) échouent avec la raison suivante : "Authentication failed due to a user credentials mismatch. Soit le nom d'utilisateur fourni ne correspond pas à un compte utilisateur existant, soit le mot de passe était incorrect".

Supposons le scénario suivant :

  • Une connexion basée sur un certificat est effectuée avec des comptes d'utilisateur ou d'ordinateur pour les connecter à un réseau sans fil (IEEE 802.11 ou Wireless LAN) ou câblé (IEEE 802.3), ou une connexion d'accès à distance (par ex. DirectAccess, Routing and Remote Access (RAS), VPN toujours en ligne).
  • L'entreprise utilise comme serveur d'authentification, d'autorisation et de comptabilité (AAA) le Serveur de politiques de réseau (en anglais Network Policy Server NPS) de Microsoft.
  • La connexion au réseau n'est plus possible.
  • Le serveur de stratégie réseau consigne l'événement suivant lorsqu'une tentative de connexion est effectuée :
Network Policy Server denied access to a user. [...] Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert. [...] Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Continuer la lecture de « Anmeldungen über den Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) scheitern mit Grund „Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.“ »

Impossible d'installer le service d'enregistrement des périphériques réseau (NDES) sur un site dont les contrôleurs de domaine sont en lecture seule.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (NDES) doit être mis en œuvre sur le réseau.
  • Sur le site Active Directory du serveur NDES, il n'y a que des contrôleurs de domaine en lecture seule (angl. Read Only Domain Controller, RODC).
  • La configuration du rôle NDES échoue avec le message d'erreur suivant :
Failed to add the following certificate templates to the enterprise Active Directory Certificate Service or update security settings on those templates:
EnrollmentAgentOffline 
CEPEncryption
IPSEC(Offline request)
A referral was returned from the server. 0x8007202b (WIN32:8235 ERROR_DS_REFERRAL)
Continuer la lecture de « Keine Installation des Registrierungsdienstes für Netzwerkgeräte (NDES) an einem Standort mit nur schreibgeschützten Domänencontrollern möglich »

Détails de l'événement avec ID 41 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :41 (0x80000029)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC) a rencontré un certificat d'utilisateur qui était valide mais qui contenait un SID différent de celui de l'utilisateur auquel il était associé. En conséquence, la demande impliquant le certificat a échoué. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. Utilisateur : %1 SID utilisateur : %2 Sujet du certificat : %3 Émetteur du certificat : %4 Numéro de série du certificat : %5 Empreinte du certificat : %6 SID du certificat : %7
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat d'utilisateur valide, mais celui-ci contenait un SID différent de celui de l'utilisateur auquel il est associé. En conséquence, une erreur s'est produite lors de la requête concernant le certificat. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 SID utilisateur : %2 Demandeur de certificat : %3 Émetteur de certificat : %4 Numéro de série du certificat : %5 Empreinte du certificat : %6 SID du certificat : %7
Continuer la lecture de « Details zum Ereignis mit ID 41 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »

Détails de l'événement avec ID 40 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :40 (0x80000028)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC, Key Distribution Center) a rencontré un certificat d'utilisateur qui était valide mais qui ne pouvait pas être mappé à un utilisateur de manière sécurisée (par exemple via un mappage explicite, un mappage de confiance de clé ou un SID). Le certificat prédisait également l'utilisateur auquel il était associé, il a donc été rejeté. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. User : %1 Certificate Subject : %2 Certificate Issuer : %3 Certificate Serial Number : %4 Certificate Thumbprint : %5 Certificate Issuance Time : %6 Account Creation Time : %7
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat utilisateur valide, mais qui n'a pas pu être associé à un utilisateur de manière sécurisée (par exemple, via une association explicite, une association de confiance de clé ou un SID). Le certificat a également été précédé de l'utilisateur auquel il est associé, raison pour laquelle il a été refusé. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 Demandeur de certificat : %2 Émetteur de certificat : %3 Numéro de série du certificat : %4 Empreinte du certificat : %5 Heure d'émission du certificat : %6 Heure de création du compte : %7
Continuer la lecture de « Details zum Ereignis mit ID 40 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »

Détails de l'événement avec ID 39 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :39 (0x80000027)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC, Key Distribution Center) a rencontré un certificat d'utilisateur qui était valide mais qui ne pouvait pas être mappé à un utilisateur de manière sécurisée (par exemple via une cartographie explicite, une cartographie de confiance de clé ou un SID). De tels certificats devraient être soit remplacés, soit mappés directement à l'utilisateur via explicit mapping. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. User : %1 Certificate Subject : %2 Certificate Issuer : %3 Certificate Serial Number : %4 Certificate Thumbprint : %5
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat utilisateur valide mais qui n'a pas pu être associé à un utilisateur de manière sécurisée (par exemple, via une association explicite, une association de confiance de clé ou un SID). De tels certificats doivent être soit remplacés, soit attribués directement à l'utilisateur via une attribution explicite. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 Demandeur de certificat : %2 Émetteur du certificat : %3 Numéro de série du certificat : %4 Empreinte du certificat : %5
Continuer la lecture de « Details zum Ereignis mit ID 39 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

Principes de base : procédures d'authentification pour les services d'information Internet (IIS)

Les services de certificats Active Directory offrent une série d'interfaces supplémentaires basées sur le web (Service d'enregistrement des périphériques réseau (NDES), Service de politique d'enregistrement des certificats (CEP), Service web d'enregistrement des certificats (CES), Enregistrement web des autorités de certification (CAWE).

Les Microsoft Internet Information Services (IIS) sont donc pratiquement indispensables pour une ICP Microsoft. Chacune des interfaces basées sur le web (ainsi que les développements propres) présente ses propres défis en termes de procédures d'authentification et d'implémentation.

L'article suivant a pour but d'apporter un peu de clarté sur le sujet.

Continuer la lecture de « Grundlagen: Authentisierungsverfahren für die Internet Information Services (IIS) »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Sur l'option "Build this from Active Directory information" pour les modèles de certificats

Lors de la configuration d'un modèle de certificat, il faut décider du contenu prévu du certificat, c'est-à-dire, entre autres, quelles identités seront confirmées par les certificats et comment ceux-ci seront représentés.

L'onglet "Subject Name" de la boîte de dialogue de configuration des modèles de certificats permet de configurer la manière dont l'identité confirmée par le certificat est représentée.

Continuer la lecture de « Zur Option „Build this from Active Directory information“ bei Zertifikatvorlagen »

La vérification des certificats du contrôleur de domaine renvoie le code d'erreur ERROR_ACCESS_DENIED

Supposons le scénario suivant :

  • certutil permet de vérifier les certificats des contrôleurs de domaine.
  • L'opération échoue avec le message d'erreur suivant :
0: DC01

*** Testing DC[0]: DC01
Enterprise Root store: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
KDC certificates: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)

CertUtil: -DCInfo command FAILED: 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
CertUtil: Access is denied.
Continuer la lecture de « Die Überprüfung der Domänencontroller-Zertifikate wirft den Fehlercode ERROR_ACCESS_DENIED »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais