Supposons que vous implémentiez le modèle de niveau administratif de Microsoft Active Directory ou que vous appliquiez des mesures de durcissement similaires sur vos serveurs, cela aura un impact sur l'inscription Web de l'autorité de certification (CAWE).
Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für die Zertifizierungsstellen-Webregistrierung (CAWE) »Catégorie : Sécurité
Configurer le Certificate Enrollment Policy Web Service (CEP) pour qu'il fonctionne avec un compte de domaine
Nous décrivons ci-dessous comment configurer un Certificate Enrollment Policy Web Service (CEP) pour que le service fonctionne sous un compte de domaine.
Continuer la lecture de « Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Domänenkonto konfigurieren »Configurer le Certificate Enrollment Policy Web Service (CEP) pour qu'il fonctionne avec un Group Managed Service Account (gMSA)
Pour des raisons de sécurité, il peut être préférable de faire fonctionner le CEP avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.
Continuer la lecture de « Den Certificate Enrollment Policy Web Service (CEP) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »Utiliser l'assurance du mécanisme d'authentification (AMA) pour sécuriser la connexion des comptes administratifs
L'assurance du mécanisme d'authentification (AMA) est une fonction qui doit garantir qu'un utilisateur n'est membre d'un groupe de sécurité que s'il s'est connecté avec une méthode d'authentification forte (c'est-à-dire une carte à puce). Si l'utilisateur se connecte à l'aide d'un nom d'utilisateur et d'un mot de passe, il ne peut pas accéder aux ressources demandées.
Conçu à l'origine pour l'accès aux serveurs de fichiers, l'AMA peut toutefois être utilisé (avec quelques restrictions) pour la connexion administrative. Ainsi, il serait par exemple envisageable qu'un utilisateur soit non privilégié s'il se connecte avec un nom d'utilisateur et un mot de passe, et qu'il dispose de droits administratifs s'il se connecte avec un certificat.
Continuer la lecture de « Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten »Associer un groupe de sécurité universel à un identifiant d'objet (OID) dans le service d'annuaire Active Directory (Authentication Mechanism Assurance)
L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.
Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.
Ci-dessous, nous décrivons comment établir le lien entre le certificat et le groupe de sécurité.
Continuer la lecture de « Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance) »Configurer un modèle de certificat pour Authentication Mechanism Assurance (AMA)
L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.
Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.
Ci-dessous, nous décrivons comment générer un modèle de certificat à utiliser avec l'assurance du mécanisme d'authentification.
Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA) »Déterminer et exporter un certificat d'approbation du module TPM (Trusted Platform Module)
Si l'on souhaite utiliser la Trusted Platform Module (TPM) Key Attestation, on a l'option d'attester le TPM entre autres par le biais du certificat d'endossement (EkCert). La manière d'obtenir cette information est décrite ci-dessous.
Continuer la lecture de « Ermitteln und Exportieren eines Trusted Platform Module (TPM) Endorsement Zertifikats »Déterminer la somme de contrôle (hash) d'une clé d'endossement Trusted Platform (TPM)
Si l'on souhaite utiliser l'attestation de clé du Trusted Platform Module (TPM), on a l'option d'attester le TPM entre autres par la clé d'endossement (EkPub). La manière d'obtenir cette information est décrite ci-dessous.
Continuer la lecture de « Die Prüfsumme (Hash) eines Trusted Platform (TPM) Endorsement Key ermitteln »Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un compte de service gMSA (Group Managed Service Account)
Pour des raisons de sécurité, il peut être préférable de faire fonctionner NDES avec un compte de service gMSA (Group Managed Service Account) plutôt qu'avec un compte de domaine normal. Cette option présente le charmant avantage de modifier automatiquement le mot de passe du compte et d'éviter ainsi de devoir effectuer cette opération manuellement, ce qui est malheureusement trop souvent oublié.
Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem Group Managed Service Account (gMSA) konfigurieren »Configurer le Network Device Enrollment Service (NDES) pour qu'il fonctionne sans mot de passe
Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants. Certaines solutions ne peuvent pas du tout gérer un mot de passe.
Dans ce cas, on peut configurer NDES pour qu'il ne génère ni ne demande de mot de passe.
Continuer la lecture de « Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren »Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un mot de passe statique
Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants.
Dans ce cas, on peut configurer NDES pour qu'il génère un mot de passe statique qui ne change plus par la suite.
Création d'une carte à puce virtuelle dans un système invité Hyper-V
Pour les environnements de test, il est souvent utile de pouvoir travailler avec des cartes à puce. Voici un petit guide sur la manière de mettre en place une carte à puce virtuelle dans un invité Hyper-V à l'aide d'un module de plate-forme de confiance (TPM) virtualisé.
Continuer la lecture de « Erstellen einer virtuellen Smartcard in einem Hyper-V Gastsystem »Modèles de certificats de contrôleur de domaine et inscription par carte à puce
Pour que les contrôleurs de domaine puissent traiter les inscriptions par carte à puce, ils ont besoin de certificats qui fournissent cette fonction.
Continuer la lecture de « Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung »Modifier l'objet NTAuthCertificates dans Active Directory
Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.
Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
Pour simplifier, on peut réduire la cryptographie à clé publique à l'hypothèse que la partie privée de chaque paire de clés n'est connue que de son propriétaire.
Une autorité de certification est responsable de l'identification correcte des utilisateurs, des ordinateurs ou des ressources. Les certificats qu'elle délivre bénéficient donc d'un statut de confiance, car tous les participants supposent que leur clé privée n'est connue que d'elle.
Si un attaquant parvient à prendre connaissance de la clé privée d'une autorité de certification, ou au moins d'effectuer des signatures au moyen de la clé privéeL'intégrité de l'autorité de certification n'est plus garantie.
Continuer la lecture de « Angriffsvektor auf den Active Directory Verzeichnisdienst über den Smartcard Logon Mechanismus »
Français 
Deutsch 
English