Catégorie : Active Directory

Modèles de certificats de contrôleur de domaine et inscription par carte à puce

Pour que les contrôleurs de domaine puissent traiter les inscriptions par carte à puce, ils ont besoin de certificats qui fournissent cette fonction.

Continuer la lecture de « Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung »

(Ré)installation des modèles de certificats Microsoft Standard

Il peut y avoir des cas où il est nécessaire d'installer les modèles de certificats Microsoft standard avant d'installer la première autorité de certification intégrée à Active Directory (Enterprise Certification Authority) ou de réinstaller les modèles, par exemple parce qu'ils ont été endommagés ou modifiés d'une autre manière.

Continuer la lecture de « (Neu-) Installieren der Microsoft Standard Zertifikatvorlagen »

Modifier l'objet NTAuthCertificates dans Active Directory

Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.

Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »

Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce

Pour simplifier, on peut réduire la cryptographie à clé publique à l'hypothèse que la partie privée de chaque paire de clés n'est connue que de son propriétaire.

Une autorité de certification est responsable de l'identification correcte des utilisateurs, des ordinateurs ou des ressources. Les certificats qu'elle délivre bénéficient donc d'un statut de confiance, car tous les participants supposent que leur clé privée n'est connue que d'elle.

Si un attaquant parvient à prendre connaissance de la clé privée d'une autorité de certification, ou au moins d'effectuer des signatures au moyen de la clé privéeL'intégrité de l'autorité de certification n'est plus garantie.

Continuer la lecture de « Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus »

Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS

Habituellement, la configuration des rouleaux NDES exige que l'utilisateur qui effectue l'installation est membre du groupe "Enterprise Admins. Toutefois, cela n'est pas techniquement nécessaire et va à l'encontre des recommandations de Microsoft en matière de durcissement de la sécurité, car NDES n'est pas (nécessairement) un système classé dans la couche de sécurité la plus élevée (Tier-0).

Ci-dessous est décrite une manière de configurer le rôle NDES même sans les droits requis.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant : 
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant :
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)“ »

Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.

Quiconque souhaite utiliser la fonction Smartcard Logon dans l'entreprise a tout intérêt à veiller à ce que la sécurité de son autorité de certification soit aussi renforcée que possible. Cela implique quelques mesures essentielles :

  • Suppression de tous les certificats d'autorité de certification inutiles de l'objet NTAuthCertificates dans Active DirectoryChaque autorité de certification qui se trouve dans ce magasin est autorisée à émettre des certificats de connexion de carte à puce dans l'Active Directory pour l'ensemble de la structure.
  • Utiliser la subordination qualifiéeLimiter les certificats d'autorité de certification afin de ne leur faire confiance que pour les extended key usages effectivement délivrés. En cas de compromission de l'autorité de certification, le dommage est alors limité à ces Extended Key Usages. Le "Smart Card Logon" Extended Key Usage ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Ce qui est intéressant dans ces réflexions, c'est que les contrôleurs de domaine ne vérifient pas du tout les Extended Key Usages lors de la connexion via carte à puce.

Continuer la lecture de « Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »

Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?

Pour qu'une inscription par carte à puce réussisse, certaines conditions doivent être remplies dans l'environnement Active Directory :

Continuer la lecture de « Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind? »

Aperçu des différentes générations de certificats de contrôleur de domaine

Au fil des générations de systèmes d'exploitation Windows, différents modèles de certificats ont été établis pour les contrôleurs de domaine. Dans un service d'annuaire Active Directory actuel, on trouvera trois modèles différents à cette fin.

  • Contrôleur de domaine
  • Authentification du contrôleur de domaine
  • Authentification Kerberos

Vous trouverez ci-dessous une description de chaque modèle et une recommandation pour la configuration des modèles de certificats de contrôleur de domaine.

Continuer la lecture de « Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten »

Pourquoi les autorités de certification intégrées à Active Directory sont-elles membres du groupe de sécurité "Pre-Windows 2000 Compatible Access" ?

Dans le cadre des mesures de renforcement de la sécurité contre le service d'annuaire Active Directory, on se demande souvent pourquoi les autorités de certification intégrées à Active Directory (Enterprise Certification Authority) sont membres du groupe de sécurité Pre-Windows 2000 Compatible Access.

Continuer la lecture de « Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der „Pre-Windows 2000 Compatible Access“ Sicherheitsgruppe sind »

certutil -dcinfo échoue avec le message d'erreur "KDC certificates : Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)"

Supposons le scénario suivant :

  • Les contrôleurs de domaine disposent de certificats pour LDAP sur SSL.
  • Les certificats ne comprennent pas l'utilisation de la clé étendue "Smart Card Logon" ni "Kerberos Authentication".
  • Si l'on exécute certutil -dcinfo, la commande affiche le message d'erreur suivant :
0 KDC certificates for DC01
No KDC Certificate in MY store
KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)
Continuer la lecture de « certutil -dcinfo schlägt fehl mit Fehlermeldung „KDC certificates: Cannot find object or property. 0x80092004 (-2146885628 CRYPT_E_NOT_FOUND)“ »

La publication manuelle d'une liste de révocation de certificats (CRL) dans Active Directory échoue avec le message d'erreur 0x8007202b (WIN32 : 8235 ERROR_DS_REFERRAL)

Supposons le scénario suivant :

  • Une autorité de certification racine hors ligne a été installée. Le serveur sur lequel l'autorité de certification est installée n'est pas un membre du domaine.
  • Celle-ci est configurée pour les publications de listes de blocage dans Active Directory.
  • Les listes de blocage sont téléchargées dans Active Directory à l'aide de certutil -dspublish.
  • L'opération échoue avec le message d'erreur suivant :
certutil -dspublish "ADCS Labor Root CA.crl"
 ldap:///CN=ADCS Labor Root CA,CN=ADCS Labor Root CA,CN=cdp,CN=Public Key Services,CN=Services,DC=UnavailableConfigDN?certificateRevocationList?base?objectClass=cRLDistributionPoint?certificateRevocationList
 ldap: 0xa: LDAP_REFERRAL: 0000202B: RefErr: DSID-03100835, data 0, 1 access points
         ref 1: 'unavailableconfigdn'
 CertUtil: -dsPublish command FAILED: 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL)
 CertUtil: A referral was returned from the server.
Continuer la lecture de « Die manuelle Veröffentlichung einer Zertifikatsperrliste (CRL) ins Active Directory schlägt fehl mit Fehlermeldung 0x8007202b (WIN32: 8235 ERROR_DS_REFERRAL) »

Demande manuelle de certificat de contrôleur de domaine

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.

Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Domänencontroller-Zertifikats »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais