Catégorie : Sécurité

Principes de base : limiter l'utilisation de la clé étendue (Extended Key Usage, EKU) dans les certificats d'autorité de certification

Une mesure de durcissement judicieuse pour les organismes de certification consiste à limiter les certificats d'organismes de certification, de sorte qu'ils ne puissent être utilisés que pour les certificats effectivement délivrés. utilisation étendue des clés (Extended Key Usage) devient familier.

En cas de compromission de l'autorité de certification, le dommage est alors (tout de même) limité aux Extended Key Usages définis.

Le Smart Card Logon Extended Key Usage, intéressant pour de nombreuses attaques (en relation avec l'adhésion de l'autorité de certification à NTAuthCertificates) ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Continuer la lecture de « Grundlagen: Einschränken der erweiterten Schlüsselverwendung (Extended Key Usage, EKU) in Zertifizierungsstellen-Zertifikaten »

Quelles sont les longueurs de clé à utiliser pour les autorités de certification et les certificats ?

Lors de la planification d'une infrastructure à clé publique, la question se pose naturellement de savoir quelles longueurs de clé il convient de choisir pour les certificats d'autorité de certification et les certificats finaux.

Continuer la lecture de « Welche Schlüssellängen sollten für Zertifizierungsstellen und Zertifikate verwendet werden? »

Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES) utilise deux modèles de certificats pour sa fonction interne afin de fonctionner comme une autorité d'inscription (Registration Authority, RA). Ceux-ci sont publiés sur l'autorité de certification configurée pendant la configuration des rôles du service NDES et des certificats sont demandés :

  • CEP Encryption
  • Agent d'inscription Exchange (demande hors ligne)

Ces modèles de certificats sont des modèles standard issus du monde Windows 2000 (modèles de la version 1), c'est-à-dire qu'ils ne peuvent pas être modifiés. De plus, le modèle Exchange Enrollment Agent (Offline Request) est marqué comme modèle utilisateur, c'est-à-dire que pendant la configuration des rôles NDES, le certificat est demandé dans le contexte de l'utilisateur qui l'installe et est ensuite importé dans le magasin de la machine. Les choses se compliquent ici au plus tard lorsque les certificats doivent être renouvelés au bout de deux ans.

Il est donc préférable d'utiliser ses propres modèles de certificats pour NDES. Ceux-ci peuvent par exemple être adaptés en ce qui concerne la longueur de la clé. Il est également possible d'utiliser des modules de sécurité matériels (HSM) de cette manière. Il est même possible de configurer un renouvellement automatique.

Continuer la lecture de « Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden »

Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.

Quiconque souhaite utiliser la fonction Smartcard Logon dans l'entreprise a tout intérêt à veiller à ce que la sécurité de son autorité de certification soit aussi renforcée que possible. Cela implique quelques mesures essentielles :

  • Suppression de tous les certificats d'autorité de certification inutiles de l'objet NTAuthCertificates dans Active DirectoryChaque autorité de certification qui se trouve dans ce magasin est autorisée à émettre des certificats de connexion de carte à puce dans l'Active Directory pour l'ensemble de la structure.
  • Utiliser la subordination qualifiéeLimiter les certificats d'autorité de certification afin de ne leur faire confiance que pour les extended key usages effectivement délivrés. En cas de compromission de l'autorité de certification, le dommage est alors limité à ces Extended Key Usages. Le "Smart Card Logon" Extended Key Usage ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Ce qui est intéressant dans ces réflexions, c'est que les contrôleurs de domaine ne vérifient pas du tout les Extended Key Usages lors de la connexion via carte à puce.

Continuer la lecture de « Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »

Règles de pare-feu requises pour Active Directory Certificate Services

Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »

Aperçu des différentes générations de certificats de contrôleur de domaine

Au fil des générations de systèmes d'exploitation Windows, différents modèles de certificats ont été établis pour les contrôleurs de domaine. Dans un service d'annuaire Active Directory actuel, on trouvera trois modèles différents à cette fin.

  • Contrôleur de domaine
  • Authentification du contrôleur de domaine
  • Authentification Kerberos

Vous trouverez ci-dessous une description de chaque modèle et une recommandation pour la configuration des modèles de certificats de contrôleur de domaine.

Continuer la lecture de « Übersicht über die verschiedenen Generationen von Domänencontroller-Zertifikaten »

Pourquoi les autorités de certification intégrées à Active Directory sont-elles membres du groupe de sécurité "Pre-Windows 2000 Compatible Access" ?

Dans le cadre des mesures de renforcement de la sécurité contre le service d'annuaire Active Directory, on se demande souvent pourquoi les autorités de certification intégrées à Active Directory (Enterprise Certification Authority) sont membres du groupe de sécurité Pre-Windows 2000 Compatible Access.

Continuer la lecture de « Warum Active Directory integrierte Zertifizierungsstellen Mitglieder der „Pre-Windows 2000 Compatible Access“ Sicherheitsgruppe sind »

Transfert des listes de révocation de certificats vers les points de distribution de la liste de révocation à l'aide de SSH Secure Copy (SCP) avec authentification par clé publique (Windows Server 2019)

Si les serveurs qui fournissent les points de distribution des listes de blocage se trouvent par exemple dans une zone démilitarisée (DMZ) ou si, pour d'autres raisons, le transfert de données via Server Message Block (SMB) n'est pas possible, les listes de blocage peuvent être transférées sur les points de distribution à l'aide de SSH Secure Copy (SCP). Depuis Windows Server 2019, il existe les paquets serveur et client OpenSSH. L'installation avec authentification par clé publique (Public Key Authentication) au lieu de mots de passe est décrite ci-dessous à titre d'exemple

Continuer la lecture de « Übertragen der Zertifikatsperrlisten auf die Sperrlistenverteilpunkte mit SSH Secure Copy (SCP) mit Authentifizierung über öffentliche Schlüssel (Windows Server 2019) »

La demande de certificat échoue avec le message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Le scénario suivant :

  • Un utilisateur obtient un certificat auprès d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • Le certificat de l'autorité de certification est fiable, c'est-à-dire qu'il se trouve dans le magasin des autorités de certification racine de confiance (Trusted Root Certification Authorities).
  • La demande de certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Beantragung eines Zertifikats schlägt fehl mit der Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Autorisations de sécurité Windows requises pour le service d'enregistrement des périphériques réseau (NDES)

Supposons que l'on mette en œuvre le modèle de hiérarchisation administrative (Administrative Tiering Model) de Microsoft ou que l'on applique des mesures de durcissement comparables sur ses serveurs, cela aura des répercussions sur les composants NDES.

Continuer la lecture de « Benötigte Windows-Sicherheitsberechtigungen für den Registrierungsdienst für Netzwerkgeräte (NDES) »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais