Catégorie : Système d'exploitation Windows

Attestation YubiKey Personal Identity Verification (PIV) - avec le module TameMyCerts Policy pour Microsoft Active Directory Certificate Services (ADCS)

Depuis la version 1.7 récemment publiée, le système de gestion de l'information de l'université de Zurich prend en charge la gestion de l'information. Module de politique TameMyCerts pour les services de certificats Microsoft Active Directory l'attestation de vérification de l'identité personnelle (PIV) pour YubiKeys.

Une YubiKey est un jeton de sécurité compact qui peut être utilisé, entre autres, comme une carte à puce pour le stockage et l'utilisation sécurisés de certificats et peut donc également être utilisé pour une connexion sans mot de passe à des environnements Active Directory.

Cette fonction cool a été créée par Oscar Virot et intégrée dans TameMyCerts. Elle permet d'apporter une preuve cryptographique lors de l'émission d'un certificat et de garantir ainsi qu'une paire de clés est effectivement sécurisée par une YubiKey et ne peut pas être exportée.

Cela peut notamment s'avérer utile pour se conformer à la directive NIS2, dans la mesure où les entreprises optent pour des certificats comme deuxième facteur de connexion avec des comptes critiques en termes de sécurité dans Active Directory.

Continuer la lecture de « YubiKey Personal Identity Verification (PIV) Attestation – mit dem TameMyCerts Policy Modul für Microsoft Active Directory Certificate Services (ADCS) »

Les listes de blocage ne sont pas reconnues comme valides (uniquement) sous Windows (CRYPT_E_REVOCATION_OFFLINE)

Récemment, quelqu'un s'est adressé à moi avec un problème intéressant.

Une autorité de certification a été installée. Linux, c'est-à-dire (probablement) OpenSSL, sert de base. Les listes de blocage fonctionnent sur les clients Linux, mais ne sont pas acceptées par les systèmes Windows. Ici, le message d'erreur suivant apparaît toujours lorsque l'on vérifie les listes de blocage.

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
Text der Fehlermeldung: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

En anglais, le message d'erreur est le suivant :

0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) -- 2148081683 (-2146885613)
The revocation function was unable to check revocation because the revocation server was offline.
Continuer la lecture de « Sperrlisten werden (nur) auf Windows nicht als gültig erkannt (CRYPT_E_REVOCATION_OFFLINE) »

Liste des cas d'utilisation des certificats pour lesquels la compatibilité avec les clés basées sur des courbes elliptiques (ECC) est connue

Avec l'augmentation de la puissance de calcul disponible, le besoin d'utiliser des clés cryptographiques plus puissantes augmente également. Il est souvent nécessaire (par exemple parce que les clés doivent être protégées par le module Trusted Platform) de recourir dans ce cadre à des les clés basées sur des courbes elliptiques (ECC) de l'entreprise. Pour leur utilisation, il est essentiel de garantir la compatibilité avec les cas d'utilisation prévus.

Ci-dessous, une liste de cas d'utilisation pour lesquels je connais la compatibilité.

Continuer la lecture de « Liste der Use Cases der Zertifikate, für welche die Kompatibilität zu auf elliptischen Kurven (ECC) basierenden Schlüsseln bekannt ist »

Il est temps de migrer les composants PKI de Windows Server 2012 vers un nouveau système d'exploitation

En ce début d'année, une remarque s'adresse à tous les exploitants d'une autorité de certification Microsoft et de services affiliés :

Le site Fin du support produit Microsoft pour Windows Server 2012 et 2012 R2 se rapproche lentement, c'est le 10 octobre 2023.

Il est donc temps de préparer le passage à un nouveau système d'exploitation.

Continuer la lecture de « Es wird Zeit: Migrieren der PKI Komponenten von Windows Server 2012 auf ein neues Betriebssystem »

Recherche des causes : l'outil Snipping et d'autres composants de Windows 11 ne sont plus utilisables en raison de l'expiration du certificat

Aujourd'hui est allé sur par beaucoup de Médiasque certaines applications et certains composants du tout récent Windows 11 ne fonctionnent plus depuis le 01.11.2021 et que la cause en est un certificat qui a expiré le 31.10.2021. Entre-temps, Microsoft a dans un billet de blog et aussi un correctif pour certains composants concernés publié.

Malheureusement, aucune des sources disponibles ne fournissait d'informations détaillées sur la nature exacte du problème. Examinons donc la question de plus près.

Continuer la lecture de « Ursachenforschung: Snipping Tool und weitere Komponenten in Windows 11 wegen abgelaufenem Zertifikat nicht mehr benutzbar »

Limites des services de certificats Microsoft Active Directory

Les services de certificats Active Directory existent (même si sous un autre nom) dans leurs grandes lignes depuis Windows NT 4.0. L'architecture basée sur Active Directory utilisée aujourd'hui a été introduite avec Windows 2000 Server. Les AD CS sont très bien intégrés dans l'écosystème Windows et continuent de jouir d'une grande popularité dans le monde entier auprès des entreprises et des administrations de toutes tailles.

On évoque volontiers les nombreuses possibilités offertes par les Active Directory Certificate Services. Mais on ne parle que rarement de ce qu'ils permettent de faire. pas est possible. En effet, le produit a atteint ses limites à de nombreux endroits.

Lesquels sont décrits plus en détail ci-dessous, afin de pouvoir mieux décider si les AD CS peuvent être la bonne solution pour les projets prévus.

Continuer la lecture de « Grenzen der Microsoft Active Directory Certificate Services »

Installation de SignTool sans installation du kit de développement logiciel (SDK) Windows

Une possibilité pour réaliser des signatures de code consiste à utiliser l'outil de ligne de commande SignTool. Celui-ci fait partie du kit de développement logiciel (SDK) Windows 10.

Si vous souhaitez utiliser l'outil sur un système sans avoir à installer Visual Studio ou le SDK Windows, procédez comme suit.

Continuer la lecture de « SignTool Installation ohne Installation des Windows Software Development Kit (SDK) »

Que faut-il prendre en compte lors de l'application des bases de référence de sécurité Microsoft ?

Dans le cadre des mesures de renforcement, il est recommandé d'utiliser les correctifs publiés par Microsoft. Normes de sécurité Microsoft à son propre environnement serveur.

Cela aura inévitablement des répercussions sur les composants PKI. Vous trouverez ci-dessous un aperçu des répercussions attendues et des contre-mesures.

Continuer la lecture de « Was ist bei der Anwendungen der Microsoft Security Baselines zu beachten? »

Mise à niveau en place d'une autorité de certification de Windows Server 2012 R2 ou 2016 vers Windows Server 2019

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Continuer la lecture de « In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 R2 oder 2016 zu Windows Server 2019 »

Mise à niveau en place d'une autorité de certification de Windows Server 2012 SP2 ou 2012 R2 vers Windows Server 2016

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Continuer la lecture de « In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2012 SP2 oder 2012 R2 zu Windows Server 2016 »

Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2008 R2

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Continuer la lecture de « In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2008 R2 »

Mise à niveau sur place d'une autorité de certification de Windows Server 2008 SP2 vers Windows Server 2012

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Continuer la lecture de « In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 SP2 zu Windows Server 2012 »

Mise à niveau sur place d'une autorité de certification de Windows Server 2008 R2 vers Windows Server 2012 R2

Au plus tard dans le cadre du Fin du support produit par le fabricant (Microsoft) la question se pose de savoir si l'organisme de certification peut être remplacé par Migration vers un autre serveur sur un système d'exploitation actuel ou effectue une mise à niveau sur place. Cette dernière procédure est décrite ci-dessous.

Continuer la lecture de « In-Place Upgrade einer Zertifizierungsstelle von Windows Server 2008 R2 zu Windows Server 2012 R2 »

Plus aucune connexion à distance possible après la mise à niveau sur place du système d'exploitation Windows Server

Supposons le scénario suivant :

  • Une mise à niveau sur place du système d'exploitation de l'autorité de certification est effectuée.
  • Après la mise à jour, je ne peux plus me connecter via le bureau à distance. La connexion échoue et le message d'erreur suivant s'affiche :
An authentication error has occurred.
The function requested is not supported.
Remote Computer: 192.168.1.149
This could be due to CredSSP encryption oracle remediation.
For more information, see https://go.microsoft.com/fwlink/?linkid=866660

En français :

Authentifizierungsfehler.
Die angeforderte Funktion wird nicht unterstützt.
Remotecomputer: 192.168.1.149
Ursache könnte eine CredSSP Encryption Oracle-Abwehr sein.
Weitere Informationen finden Sie unter https://go.microsoft.com/fwlink/?linkid=866660
Continuer la lecture de « Keine Remotedesktopverbindung mehr möglich nach In-Place Upgrade des Windows Server Betriebssystems »

Le module SMTP Exit ne fonctionne pas sur Windows Server Core

Supposons le scénario suivant :

  • Un service de certification est installé sur Windows Server Core.
  • Le SMTP fourni avec l'autorité de certification est utilisé. Module de sortie configuré.
  • Cependant, l'organisme de certification n'envoie pas d'e-mails.
  • Dans le journal des événements, le Événement n° 46 avec le message d'erreur suivant :
The "Windows default" Exit Module "Initialize" method returned an error. Class not registered The returned status code is 0x80040154 (-2147221164). The Certification Authority was unable to initialize email messaging objects.
Continuer la lecture de « Das SMTP Exit Modul funktioniert nicht auf Windows Server Core »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais