Catégorie : Active Directory

Empêcher la connexion au réseau avec une carte à puce

Si vous installez les services de certificats Active Directory dans la configuration standard, l'environnement est automatiquement configuré pour que les connexions par carte à puce soient acceptées par les contrôleurs de domaine.

Si l'utilisation des connexions par carte à puce n'est pas souhaitée, il est donc judicieux de désactiver cette fonctionnalité afin d'éviter, en cas de compromission de l'autorité de certification, Ne pas compromettre Active Directory.

Continuer la lecture de « Smartcard Anmeldung im Netzwerk unterbinden »

Comment les paramètres de compatibilité pour les modèles de certificats sont-ils représentés techniquement ?

Depuis l'apparition des outils d'administration des services de certificats dans Windows Server 2012, il est possible de sélectionner la compatibilité souhaitée pour l'autorité de certification et les destinataires du certificat lors de la configuration d'un modèle de certificat.

Cette fonction est décrite plus en détail ci-dessous, ainsi que ses effets possibles dans la pratique.

Continuer la lecture de « Wie sind die Kompatibilitätseinstellungen für Zertifikatvorlagen technisch abgebildet? »

Modification automatique des mots de passe pour les comptes qui nécessitent une connexion via une carte à puce ou Windows Hello for Business

Une nouvelle fonctionnalité de Windows Server 2016 est que les mots de passe pour les comptes qui utilisent uniquement Connexion avec des cartes à puce doivent être renouvelés automatiquement conformément aux directives relatives aux mots de passe.

Si l'option „ Smart card is required for interactive logon “ (Une carte à puce est requise pour la connexion interactive) est activée pour un compte utilisateur, le mot de passe du compte utilisateur est défini une seule fois sur une valeur aléatoire. Cependant, le mot de passe ne change plus par la suite, ce qui rend le compte plus vulnérable aux attaques de type « pass-the-hash ».

La nouvelle fonctionnalité résout ce problème en générant régulièrement de nouveaux mots de passe aléatoires pour les comptes concernés (en fonction de la politique de mot de passe configurée pour le compte).

Continuer la lecture de « Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern »

Classification des composants ADCS dans le modèle hiérarchique administratif (Administrative Tiering Model)

Si, outre les services de certificats Active Directory, on implémente également le modèle de stratification administrative (Administrative Tiering Model) pour le service d'annuaire Active Directory, la question se pose alors de l'affectation des différents composants PKI dans ce modèle afin de pouvoir procéder à un renforcement ciblé de la sécurité.

Continuer la lecture de « Einordnung der ADCS-Komponenten in das administrative Schichtenmodell (Administrative Tiering Model) »

Principes fondamentaux et analyse des risques Paramètres de délégation

La délégation est toujours nécessaire lorsqu'il existe un intermédiaire entre l'utilisateur et le service proprement dit. Dans le cas de l'enregistrement Web de l'autorité de certification, ce serait le cas si celui-ci était installé sur un serveur distinct. Il servirait alors d'intermédiaire entre le demandeur et l'autorité de certification.

Continuer la lecture de « Grundlagen und Risikobetrachtung Delegierungseinstellungen »

Après l'installation ou la migration d'une autorité de certification sur un nouveau serveur, il n'est plus possible de publier ses propres modèles de certificats.

Supposons le scénario suivant :

Continuer la lecture de « Nach Installation oder Migration einer Zertifizierungsstelle auf einen neuen Server können keine eigenen Zertifikatvorlagen mehr veröffentlicht werden »

Description des générations de modèles de certificats

Ci-dessous, une description des différentes générations de modèles de certificats (versions de schémas) et des nouveautés qu'elles introduisent.

Continuer la lecture de « Beschreibung der Generationen von Zertifikatvorlagen »

La demande de certificat échoue avec le message d'erreur "You cannot request a certificate at this time because no certificate types are available".

Supposons le scénario suivant :

  • On essaie de demander un certificat à une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Pour ce faire, on utilise la console de gestion Microsoft (MMC), soit pour l'utilisateur connecté (certmgr.msc), soit pour l'ordinateur (certlm.msc).
  • L'utilisateur connecté dispose également des autorisations nécessaires pour demander des certificats du modèle de certificat concerné (Enroll).
  • Aucun modèle de certificat n'est proposé à la sélection, alors qu'il a été correctement publié sur les sites des autorités de certification.
  • Il n'y a pas non plus d'option "Show hidden templates". Celle-ci apparaît habituellement en bas à gauche de la boîte de dialogue.
  • Le message d'erreur suivant s'affiche :
Certificate types are not available. You cannot request a certificate at this time because no certificate types are available. If you need a certificate, contact your administrator.
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „You cannot request a certificate at this time because no certificate types are available.“ »

La publication d'un modèle de certificat sur une autorité de certification échoue avec le message d'erreur "The template information on the CA cannot be modified at this time. Cela est probablement dû au fait que le service CA n'est pas en cours d'exécution ou qu'il y a des retards de réplication. L'accès est refusé. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)"

Supposons le scénario suivant :

  • Un administrateur publie un modèle de certificat sur une autorité de certification.
  • L'opération échoue avec le message d'erreur suivant :
The template information on the CA cannot be modified at this time. This is most likely because the CA service is not running or there are replication delays. Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Das Veröffentlichen einer Zertifikatvorlage auf einer Zertifizierungsstelle schlägt fehl mit Fehlermeldung „The template information on the CA cannot be modified at this time. This is most likely because the CA service is not running or there are replication delays. Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

Utiliser l'assurance du mécanisme d'authentification (AMA) pour sécuriser la connexion des comptes administratifs

L'assurance du mécanisme d'authentification (AMA) est une fonction qui doit garantir qu'un utilisateur n'est membre d'un groupe de sécurité que s'il s'est connecté avec une méthode d'authentification forte (c'est-à-dire une carte à puce). Si l'utilisateur se connecte à l'aide d'un nom d'utilisateur et d'un mot de passe, il ne peut pas accéder aux ressources demandées.

Conçu à l'origine pour l'accès aux serveurs de fichiers, l'AMA peut toutefois être utilisé (avec quelques restrictions) pour la connexion administrative. Ainsi, il serait par exemple envisageable qu'un utilisateur soit non privilégié s'il se connecte avec un nom d'utilisateur et un mot de passe, et qu'il dispose de droits administratifs s'il se connecte avec un certificat.

Continuer la lecture de « Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten »

Bases de la demande de certificat via les Certificate Enrollment Web Services (CEP, CES) avec les protocoles MS-XCEP et MS-WSTEP

Avec Windows Server 2008 R2 et Windows 7, une nouvelle fonction a été introduite pour la demande de certificats : Les Certificate Enrollment Web Services, qui sont représentés par deux rôles de serveur :

  • Service web de la politique d'inscription des certificats (CEP)
  • Services Web d'inscription aux certificats (CES)

Ci-dessous, nous décrivons l'arrière-pensée de ces rôles, leur fonctionnement ainsi que les scénarios d'utilisation possibles.

Continuer la lecture de « Grundlagen Zertifikatbeantragung über Certificate Enrollment Web Services (CEP, CES) mit den Protokollen MS-XCEP und MS-WSTEP »

Bases de la demande manuelle et automatique de certificats via le Lightweight Directory Access Protocol (LDAP) et Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) avec le protocole MS-WCCE

Nous décrivons ci-dessous le processus qui se déroule en arrière-plan lors de la demande manuelle ou automatique de certificats afin d'atteindre le plus haut degré d'automatisation possible.

Continuer la lecture de « Grundlagen manuelle und automatische Zertifikatbeantragung über Lightweight Directory Access Protocol (LDAP) und Remote Procedure Call / Distributed Common Object Model (RPC/DCOM) mit dem MS-WCCE Protokoll »

Exécution manuelle du processus d'auto-enrollment

Par défaut, tous les membres du domaine répliquent automatiquement l'objet Public Key Services de la structure globale d'Active Directory par le processus d'auto-enrollment. Les déclencheurs sont les suivants

  • à l'ouverture de session de l'utilisateur (sur les ordinateurs, lorsque le compte de l'ordinateur se connecte, c'est-à-dire au démarrage du système)
  • Par minuterie toutes les 8 heures.
  • Lors d'une mise à jour de la stratégie de groupe, à condition qu'il y ait eu un changement.

Si l'on ne souhaite pas attendre que l'auto-enrollment soit déclenché automatiquement, il est également possible de le lancer manuellement. Les différentes manières d'exécuter le processus d'auto-enrollment sont décrites ci-dessous.

Continuer la lecture de « Manuelles Ausführen des Autoenrollment Prozesses »

Associer un groupe de sécurité universel à un identifiant d'objet (OID) dans le service d'annuaire Active Directory (Authentication Mechanism Assurance)

L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.

Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.

Ci-dessous, nous décrivons comment établir le lien entre le certificat et le groupe de sécurité.

Continuer la lecture de « Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance) »

Configurer un modèle de certificat pour Authentication Mechanism Assurance (AMA)

L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.

Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.

Ci-dessous, nous décrivons comment générer un modèle de certificat à utiliser avec l'assurance du mécanisme d'authentification.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais