Catégorie : Carte à puce

L'inscription par carte à puce échoue avec un message d'erreur "A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)".

Supposons le scénario suivant :

  • L'entreprise souhaite utiliser la connexion par carte à puce.
  • Les contrôleurs de domaine sont avec des certificats utilisables pour l'inscription par carte à puce équipée.
  • Les utilisateurs sont munis de certificats utilisables pour la connexion par carte à puce.
  • La connexion au domaine par carte à puce échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Smartcard-Anmeldung schlägt fehl mit Fehlermeldung „A certification chain processed correctly, but one of the CA certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)“ »

Signer des certificats en contournant l'autorité de certification

Dans les discussions sur la sécurité d'une autorité de certification, on entend régulièrement qu'un abus de l'autorité de certification pourrait être endigué par ses paramètres de sécurité.

Il n'est toutefois pas évident à première vue que l'intégrité d'une autorité de certification soit directement liée à son matériel de clé et qu'elle puisse donc être compromise par ce dernier.

Il faut se représenter le logiciel d'autorité de certification comme une sorte de gestion autour du matériel clé. Le logiciel offre par exemple une Interface en ligne pour la demande de certificat s'occupe de l'authentification des demandeurs, de l'exécution automatisée des opérations de signature (délivrance de certificats et de Listes de blocage) et leur enregistrement (Base de données des organismes de certification, Protocole d'audit, Journal des événements).

Or, les opérations de signature ne nécessitent rien d'autre que la clé privée de l'autorité de certification. L'exemple suivant montre comment un attaquant peut, s'il a accès à la clé privée de l'autorité de certification, générer et émettre des certificats sans que le logiciel de l'autorité de certification et ses mécanismes de sécurité ne le sachent.

Avec un tel certificat, ce serait même possible dans le pire des cas, de reprendre la structure globale d'Active Directory sans être détecté.

Continuer la lecture de « Signieren von Zertifikaten unter Umgehung der Zertifizierungsstelle »

Utiliser SSH (PuTTY) sous Windows avec un certificat / une carte à puce

L'administration sécurisée d'un système Linux implique d'éviter les connexions SSH par mot de passe et d'utiliser à la place une connexion par clé RSA.

Le standard de facto pour les connexions SSH sur Windows est PuTTY. Ici, l'ouverture de session avec des clés RSA est certes implémentée, mais seuls des fichiers de clés peuvent être utilisés, ce qui présente l'inconvénient qu'ils se trouvent presque sans protection dans le système de fichiers.

Une option intéressante serait certainement d'utiliser des clés RSA issues du monde Windows, et peut-être même stockées sur une carte à puce physique ou virtuelle.

Continuer la lecture de « SSH (PuTTY) auf Windows mit einem Zertifikat / einer Smartcard verwenden »

Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung „The requested key container does not exist on the smart card.“

Supposons le scénario suivant :

  • Ein Benutzer meldet sich mittels Smartcard Logon Funktion auf einem Remote Desktop System an.
  • Der Benutzer verwendet einen Yubico Yubikey als Smartcard. Die benötigte Middleware ist sowohl auf dem lokalen als auch auf dem Remotesystem installiert.
  • Die Anmeldung schlägt mit folgender Fehlermeldung fehl:
The system could not log you on. The requested key container does not exist on the smart card.
Continuer la lecture de « Die Anmeldung via Smartcard über Remotedesktop (RDP) schlägt fehl mit Fehlermeldung „The requested key container does not exist on the smart card.“ »

Utiliser l'assurance du mécanisme d'authentification (AMA) pour sécuriser la connexion des comptes administratifs

L'assurance du mécanisme d'authentification (AMA) est une fonction qui doit garantir qu'un utilisateur n'est membre d'un groupe de sécurité que s'il s'est connecté avec une méthode d'authentification forte (c'est-à-dire une carte à puce). Si l'utilisateur se connecte à l'aide d'un nom d'utilisateur et d'un mot de passe, il ne peut pas accéder aux ressources demandées.

Conçu à l'origine pour l'accès aux serveurs de fichiers, l'AMA peut toutefois être utilisé (avec quelques restrictions) pour la connexion administrative. Ainsi, il serait par exemple envisageable qu'un utilisateur soit non privilégié s'il se connecte avec un nom d'utilisateur et un mot de passe, et qu'il dispose de droits administratifs s'il se connecte avec un certificat.

Continuer la lecture de « Verwenden von Authentication Mechanism Assurance (AMA) für die Absicherung der Anmeldung administrativer Konten »

La connexion via carte à puce échoue avec le message d'erreur "Signing in with a security device isn't supported for your account".

Supposons le scénario suivant :

  • Un utilisateur dispose d'un Connexion par carte à puce et se connecte au domaine Active Directory avec ce certificat.
  • La connexion échoue. Le message d'erreur suivant est renvoyé à l'utilisateur sur son ordinateur :
Signing in with a security device isn't supported for your account. For more info, contact your administrator.
Continuer la lecture de « Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung „Signing in with a security device isn’t supported for your account.“ »

Associer un groupe de sécurité universel à un identifiant d'objet (OID) dans le service d'annuaire Active Directory (Authentication Mechanism Assurance)

L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.

Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.

Ci-dessous, nous décrivons comment établir le lien entre le certificat et le groupe de sécurité.

Continuer la lecture de « Eine universelle Sicherheitsgruppe mit einem Object Identifier (OID) im Active Directory Verzeichnisdienst verbinden (Authentication Mechanism Assurance) »

Configurer un modèle de certificat pour Authentication Mechanism Assurance (AMA)

L'assurance du mécanisme d'authentification (AMA) offre la possibilité de lier l'adhésion à un groupe de sécurité à l'inscription avec un certificat de carte à puce contenant un identifiant d'objet (OID) spécifique.

Si l'utilisateur ne se connecte pas avec son certificat de carte à puce, mais avec son nom d'utilisateur et son mot de passe, il n'est pas non plus membre du groupe de sécurité.

Ci-dessous, nous décrivons comment générer un modèle de certificat à utiliser avec l'assurance du mécanisme d'authentification.

Continuer la lecture de « Konfigurieren einer Zertifikatvorlage für Authentication Mechanism Assurance (AMA) »

Création d'une carte à puce virtuelle dans un système invité Hyper-V

Pour les environnements de test, il est souvent utile de pouvoir travailler avec des cartes à puce. Voici un petit guide sur la manière de mettre en place une carte à puce virtuelle dans un invité Hyper-V à l'aide d'un module de plate-forme de confiance (TPM) virtualisé.

Continuer la lecture de « Erstellen einer virtuellen Smartcard in einem Hyper-V Gastsystem »

Modèles de certificats de contrôleur de domaine et inscription par carte à puce

Pour que les contrôleurs de domaine puissent traiter les inscriptions par carte à puce, ils ont besoin de certificats qui fournissent cette fonction.

Continuer la lecture de « Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung »

Modifier l'objet NTAuthCertificates dans Active Directory

Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.

Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »

Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.

Quiconque souhaite utiliser la fonction Smartcard Logon dans l'entreprise a tout intérêt à veiller à ce que la sécurité de son autorité de certification soit aussi renforcée que possible. Cela implique quelques mesures essentielles :

  • Suppression de tous les certificats d'autorité de certification inutiles de l'objet NTAuthCertificates dans Active DirectoryChaque autorité de certification qui se trouve dans ce magasin est autorisée à émettre des certificats de connexion de carte à puce dans l'Active Directory pour l'ensemble de la structure.
  • Utiliser la subordination qualifiéeLimiter les certificats d'autorité de certification afin de ne leur faire confiance que pour les extended key usages effectivement délivrés. En cas de compromission de l'autorité de certification, le dommage est alors limité à ces Extended Key Usages. Le "Smart Card Logon" Extended Key Usage ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Ce qui est intéressant dans ces réflexions, c'est que les contrôleurs de domaine ne vérifient pas du tout les Extended Key Usages lors de la connexion via carte à puce.

Continuer la lecture de « Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »

Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?

Pour qu'une inscription par carte à puce réussisse, certaines conditions doivent être remplies dans l'environnement Active Directory :

Continuer la lecture de « Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind? »

Importer un certificat dans une carte à puce

Il est parfois nécessaire d'importer dans une carte à puce un certificat qui utilise une clé logicielle.

Continuer la lecture de « Importieren eines Zertifikats in eine Smartcard »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais