Catégorie : Service d'enregistrement des périphériques réseau (NDES)

Attaque contre Active Directory via Microsoft Intune - et comment l'endiguer avec TameMyCerts

Dirk-jan Mollema a récemment présenté une attaque permettant d'obtenir un certificat pour des comptes hautement privilégiés via Intune.. Celui-ci peut ensuite être utilisé pour compromettre l'ensemble de l'environnement Active Directory.

L'attaque est comparable dans ses grandes lignes à ce que j'ai déjà décrit dans l'article "De zéro à Enterprise Administrator grâce au service d'enregistrement des périphériques réseau (NDES) - et ce qui peut être fait à ce sujet" et dans l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce"(également connu sous le nom de ESC1).

La nouveauté consiste toutefois à exploiter le système de gestion des appareils mobiles (MDM) - en l'occurrence Microsoft Intune - de manière appropriée.

Ce qui n'est pas nouveau en revanche, c'est ce qui peut être fait contre cela avec le module de politique TameMyCerts pour les Active Directory Certificate Services afin de réduire drastiquement la surface d'attaque...

Continuer la lecture de « Angriff auf das Active Directory über Microsoft Intune – und wie er mit TameMyCerts eingedämmt werden kann »

Impossible d'installer le service d'enregistrement des périphériques réseau (NDES) sur un site dont les contrôleurs de domaine sont en lecture seule.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (NDES) doit être mis en œuvre sur le réseau.
  • Sur le site Active Directory du serveur NDES, il n'y a que des contrôleurs de domaine en lecture seule (angl. Read Only Domain Controller, RODC).
  • La configuration du rôle NDES échoue avec le message d'erreur suivant :
Failed to add the following certificate templates to the enterprise Active Directory Certificate Service or update security settings on those templates:
EnrollmentAgentOffline 
CEPEncryption
IPSEC(Offline request)
A referral was returned from the server. 0x8007202b (WIN32:8235 ERROR_DS_REFERRAL)
Continuer la lecture de « Keine Installation des Registrierungsdienstes für Netzwerkgeräte (NDES) an einem Standort mit nur schreibgeschützten Domänencontrollern möglich »

Demande de certificats pour les terminaux gérés par Microsoft Intune

Dans un monde en réseau, travailler de n'importe où est devenu la norme, et travailler avec des terminaux mobiles tels que des smartphones ou des tablettes en plus des ordinateurs de bureau classiques. Ces terminaux sont généralement connectés au moyen de Gestion des dispositifs mobiles (MDM) systèmes comme Microsoft Intune.

Pour accéder aux ressources de l'entreprise, les utilisateurs de terminaux mobiles ont généralement besoin de certificats numériques pour prouver leur identité. Il est donc nécessaire de mettre à disposition de ces appareils une interface automatisable et néanmoins sécurisée pour la demande de ces certificats.

Continuer la lecture de « Beantragung von Zertifikaten für mit Microsoft Intune verwaltete Endgeräte »

Le renouvellement d'un certificat via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur CERT_E_UNTRUSTEDCA

Supposons le scénario suivant :

  • Un certificat est demandé via le service d'enregistrement des équipements de réseau (NDES).
  • Le mode de renouvellement est utilisé ici, c'est-à-dire que la demande de certificat est signée avec un certificat existant.
  • La demande du nouveau certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Erneuerung eines Zertifikats über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlercode CERT_E_UNTRUSTEDCA »

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de domaine

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES), qui met en œuvre le protocole SCEP (Simple Certificate Enrollment Protocol) basé sur le web, est représenté sous forme d'application web dans le service d'information Internet (IIS) de Microsoft. Ici, le service fonctionne dans un pool d'applications appelé "SCEP". Dans de nombreux cas il suffit d'utiliser l'identité du pool d'applications intégré pour celui-ci.

Il existe toutefois des cas où l'on souhaite utiliser un compte de domaine. Un exemple est le Certificate Connector pour Microsoft Intune, qui le requiert obligatoirement.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren »

Activer l'authentification de base pour le service d'enregistrement des périphériques réseau (NDES)

Si le service d'enregistrement des périphériques réseau (NDES) est réinstallé (De préférence sans droits d'administrateur d'entreprise), seule l'authentification intégrée à Windows est activée dans un premier temps pour la page web d'administration. Avec ce protocole, une authentification par nom d'utilisateur et mot de passe est également possible (via NT LAN Manager, NTLM). Toutes les applications clientes ne supportent toutefois pas cette fonctionnalité.

De même, une entreprise pourrait vouloir désactiver NTLM lorsque c'est possible et forcer Kerberos pour la connexion. Le fait de rendre Kerberos obligatoire supprime la possibilité de se connecter à la page d'administration du service d'enregistrement des périphériques réseau à l'aide d'un nom d'utilisateur et d'un mot de passe (puisque cela se fait avec des données d'identification NTLM). Il est toutefois possible de mettre à jour l'authentification de base afin d'offrir à nouveau cette possibilité.

Une solution à ce dilemme peut être l'authentification de base, dont la mise en place est expliquée ci-après.

Continuer la lecture de « Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Sélection de l'identité pour le pool d'applications IIS du service d'enregistrement des périphériques réseau (NDES)

Lors de l'installation d'un service d'enregistrement de périphériques réseau (NDES), la question se pose de savoir sous quelle identité le pool d'applications IIS doit être exploité. Les différentes options sont présentées ci-dessous afin de faciliter le choix.

Continuer la lecture de « Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Limites des services de certificats Microsoft Active Directory

Die Active Directory Certificate Services bestehen (wenn auch unter anderem Namen) in ihren Grundzügen seit Windows NT 4.0. Die heutzutage verwendete auf Active Directory basierende Architektur wurde mit Windows 2000 Server eingeführt. Die AD CS sind sehr gut in das Windows-Ökosystem integriert und erfreuen sich weiterhin weltweit großer Beliebtheit in Unternehmen und Behörden jeglicher Größenordnung.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

La connexion à la page web d'administration pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • En cas d'appel de la page web d'administration NDES (certsrv/mscep_admin) n'est pas possible.
  • Après plusieurs tentatives de connexion infructueuses, le message d'erreur HTTP suivant est renvoyé :
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 „Unauthorized: Access is denied due to invalid credentials.“ »

Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :86 (0xC25A0056)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :SCEP Certificate enrollment initialization for %1 via %2 failed: %3 Method: %4 Stage: %5 %6
Texte de l'événement (en allemand) :Fehler bei der Initialisierung der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Details zum Ereignis mit ID 87 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :87 (0xC25A0057)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :SCEP Certificate enrollment for %1 via %2 failed: %3 Method: %4 Stage: %5 %6
Texte de l'événement (en allemand) :Fehler bei der SCEP-Zertifikatregistrierung für %1 über %2: %3 Methode: %4 Phase: %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 87 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)“

Supposons le scénario suivant :

  • Es wird ein Zertifikat von einer Active Directory integrierten Zertifizierungsstelle (Enterprise Certification Authority) beantragt.
  • La demande échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate.
The certificate request could not be submitted to the certification authority.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)“ »

Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann

Nachfolgend möchte ich eine der breiten Öffentlichkeit vielleicht nicht unbedingt bekannte hochgefährliche PKI-Konfiguration vorstellen, die so in Unternehmensnetzwerken wahrscheinlich recht häufig angetroffen werden kann.

Ich zeige auf, wie durch Ausnutzung verschiedener unglücklicher Umstände in der Windows-PKI eine Erhöhung von Rechten, ausgehend von bloßem Netzwerkzugang bis hin zur vollständigen Übernahme des Active Directory möglich ist.

Der initiale Angriffspunkt ist in diesem Beispiel der Registrierungsdienst für Netzwerkgeräte (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais