Catégorie : Service d'enregistrement des périphériques réseau (NDES)

Attaque contre Active Directory via Microsoft Intune - et comment l'endiguer avec TameMyCerts

Dirk-jan Mollema a récemment présenté une attaque permettant d'obtenir un certificat pour des comptes hautement privilégiés via Intune.. Celui-ci peut ensuite être utilisé pour compromettre l'ensemble de l'environnement Active Directory.

L'attaque est comparable dans ses grandes lignes à ce que j'ai déjà décrit dans l'article "De zéro à Enterprise Administrator grâce au service d'enregistrement des périphériques réseau (NDES) - et ce qui peut être fait à ce sujet" et dans l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce"(également connu sous le nom de ESC1).

La nouveauté consiste toutefois à exploiter le système de gestion des appareils mobiles (MDM) - en l'occurrence Microsoft Intune - de manière appropriée.

Ce qui n'est pas nouveau en revanche, c'est ce qui peut être fait contre cela avec le module de politique TameMyCerts pour les Active Directory Certificate Services afin de réduire drastiquement la surface d'attaque...

Continuer la lecture de « Angriff auf das Active Directory über Microsoft Intune – und wie er mit TameMyCerts eingedämmt werden kann »

Impossible d'installer le service d'enregistrement des périphériques réseau (NDES) sur un site dont les contrôleurs de domaine sont en lecture seule.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (NDES) doit être mis en œuvre sur le réseau.
  • Sur le site Active Directory du serveur NDES, il n'y a que des contrôleurs de domaine en lecture seule (angl. Read Only Domain Controller, RODC).
  • La configuration du rôle NDES échoue avec le message d'erreur suivant :
Failed to add the following certificate templates to the enterprise Active Directory Certificate Service or update security settings on those templates:
EnrollmentAgentOffline 
CEPEncryption
IPSEC(Offline request)
A referral was returned from the server. 0x8007202b (WIN32:8235 ERROR_DS_REFERRAL)
Continuer la lecture de « Keine Installation des Registrierungsdienstes für Netzwerkgeräte (NDES) an einem Standort mit nur schreibgeschützten Domänencontrollern möglich »

Demande de certificats pour les terminaux gérés par Microsoft Intune

Dans un monde en réseau, travailler de n'importe où est devenu la norme, et travailler avec des terminaux mobiles tels que des smartphones ou des tablettes en plus des ordinateurs de bureau classiques. Ces terminaux sont généralement connectés au moyen de Gestion des dispositifs mobiles (MDM) systèmes comme Microsoft Intune.

Pour accéder aux ressources de l'entreprise, les utilisateurs de terminaux mobiles ont généralement besoin de certificats numériques pour prouver leur identité. Il est donc nécessaire de mettre à disposition de ces appareils une interface automatisable et néanmoins sécurisée pour la demande de ces certificats.

Continuer la lecture de « Beantragung von Zertifikaten für mit Microsoft Intune verwaltete Endgeräte »

Le renouvellement d'un certificat via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur CERT_E_UNTRUSTEDCA

Supposons le scénario suivant :

  • Un certificat est demandé via le service d'enregistrement des équipements de réseau (NDES).
  • Le mode de renouvellement est utilisé ici, c'est-à-dire que la demande de certificat est signée avec un certificat existant.
  • La demande du nouveau certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Erneuerung eines Zertifikats über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlercode CERT_E_UNTRUSTEDCA »

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de domaine

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES), qui met en œuvre le protocole SCEP (Simple Certificate Enrollment Protocol) basé sur le web, est représenté sous forme d'application web dans le service d'information Internet (IIS) de Microsoft. Ici, le service fonctionne dans un pool d'applications appelé "SCEP". Dans de nombreux cas il suffit d'utiliser l'identité du pool d'applications intégré pour celui-ci.

Il existe toutefois des cas où l'on souhaite utiliser un compte de domaine. Un exemple est le Certificate Connector pour Microsoft Intune, qui le requiert obligatoirement.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Domänenkonto konfigurieren »

Activer l'authentification de base pour le service d'enregistrement des périphériques réseau (NDES)

Si le service d'enregistrement des périphériques réseau (NDES) est réinstallé (De préférence sans droits d'administrateur d'entreprise), seule l'authentification intégrée à Windows est activée dans un premier temps pour la page web d'administration. Avec ce protocole, une authentification par nom d'utilisateur et mot de passe est également possible (via NT LAN Manager, NTLM). Toutes les applications clientes ne supportent toutefois pas cette fonctionnalité.

De même, une entreprise pourrait vouloir désactiver NTLM lorsque c'est possible et forcer Kerberos pour la connexion. Le fait de rendre Kerberos obligatoire supprime la possibilité de se connecter à la page d'administration du service d'enregistrement des périphériques réseau à l'aide d'un nom d'utilisateur et d'un mot de passe (puisque cela se fait avec des données d'identification NTLM). Il est toutefois possible de mettre à jour l'authentification de base afin d'offrir à nouveau cette possibilité.

Une solution à ce dilemme peut être l'authentification de base, dont la mise en place est expliquée ci-après.

Continuer la lecture de « Aktivieren der Basic Authentication für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Désactiver NTLM et forcer Kerberos sur la page web d'administration du service d'enregistrement des périphériques réseau (NDES)

De nombreuses entreprises ont pour stratégie de désactiver (autant que possible) le protocole d'authentification NT LAN Manager (NTLM) dans leurs réseaux.

Cela est également possible pour la page web d'administration du service d'enregistrement des périphériques réseau (NDES). La mise en œuvre exacte et les modifications éventuelles du comportement des applications sont expliquées ci-dessous.

Continuer la lecture de « Deaktivieren von NTLM und erzwingen von Kerberos an der Administrations-Webseite des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Sélection de l'identité pour le pool d'applications IIS du service d'enregistrement des périphériques réseau (NDES)

Lors de l'installation d'un service d'enregistrement de périphériques réseau (NDES), la question se pose de savoir sous quelle identité le pool d'applications IIS doit être exploité. Les différentes options sont présentées ci-dessous afin de faciliter le choix.

Continuer la lecture de « Auswahl der Identität für den IIS Anwendungspool des Registrierungsdienstes für Netzwerkgeräte (NDES) »

Limites des services de certificats Microsoft Active Directory

Les services de certificats Active Directory existent (même si sous un autre nom) dans leurs grandes lignes depuis Windows NT 4.0. L'architecture basée sur Active Directory utilisée aujourd'hui a été introduite avec Windows 2000 Server. Les AD CS sont très bien intégrés dans l'écosystème Windows et continuent de jouir d'une grande popularité dans le monde entier auprès des entreprises et des administrations de toutes tailles.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

La connexion à la page web d'administration pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 401 "Unauthorized : Access is denied due to invalid credentials".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • En cas d'appel de la page web d'administration NDES (certsrv/mscep_admin) n'est pas possible.
  • Après plusieurs tentatives de connexion infructueuses, le message d'erreur HTTP suivant est renvoyé :
401 - Unauthorized: Access is denied due to invalid credentials.
You do not have permission to view this directory or page using the credentials that you supplied.
Continuer la lecture de « Die Anmeldung an der Administrations-Webseite für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit HTTP Fehlercode 401 „Unauthorized: Access is denied due to invalid credentials.“ »

Détails de l'événement ID 86 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :86 (0xC25A0056)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :Échec de l'initialisation de l'inscription au certificat SCEP pour %1 via %2 : %3 Méthode : %4 Étape : %5 %6
Texte de l'événement (en allemand) :Erreur lors de l'initialisation de l'enregistrement du certificat SCEP pour %1 via %2 : %3 Méthode : %4 Phase : %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Détails de l'événement ID 87 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :87 (0xC25A0057)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :Échec de l'inscription au certificat SCEP pour %1 via %2 : %3 Méthode : %4 Étape : %5 %6
Texte de l'événement (en allemand) :Erreur d'enregistrement de certificat SCEP pour %1 via %2 : %3 Méthode : %4 Phase : %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 87 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

La demande de certificat échoue avec le message d'erreur „ La demande n'est pas prise en charge. 0x80070032 (WIN32 : 50 ERROR_NOT_SUPPORTED) “.“

Supposons le scénario suivant :

  • Un certificat est demandé auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • La demande échoue avec le message d'erreur suivant :
An error occurred while enrolling for a certificate.
The certificate request could not be submitted to the certification authority.
Url: CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1
Error: The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung „The request is not supported. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED)“ »

De zéro à administrateur d'entreprise grâce au service d'enregistrement des périphériques réseau (NDES) – et comment y remédier

Je voudrais présenter ci-après une configuration PKI extrêmement dangereuse, qui n'est peut-être pas forcément connue du grand public, mais qui est probablement très courante dans les réseaux d'entreprise.

Je montre comment, en exploitant diverses circonstances malheureuses dans l'infrastructure PKI Windows, il est possible d'obtenir une augmentation des droits, allant du simple accès au réseau à la prise de contrôle totale de l'Active Directory.

Dans cet exemple, le point d'attaque initial est le service d'enregistrement des périphériques réseau (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais