Les attaques contre les autorités de certification Microsoft peuvent viser à exploiter les autorisations sur les modèles de certificats. Dans de nombreux cas, les modèles de certificats doivent être configurés de manière à permettre au demandeur de demander n'importe quelle identité. Cela peut conduire à l'usurpation d'identité de comptes Active Directory et, par conséquent, à l'augmentation des droits par l'attaquant. Les attaques de ce type sont connues dans le milieu de la sécurité sous le nom d'"attaques par déni de service".ESC1".
TameMyCerts est un Module de politiquepour sécuriser l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend les fonctions de l'autorité de certification et permet de l'application élargie de la réglementationIl permet d'automatiser en toute sécurité l'émission de certificats. TameMyCerts est unique dans l'écosystème Microsoft et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement.
TameMyCerts est open source et peut être utilisé gratuitement. Toutefois, pour une utilisation en entreprise, il est recommandé d'utiliser le Conclusion d'un contrat de maintenance. Cela garantit que vous recevrez un soutien qualifié et que le module pourra être développé à long terme avec une qualité élevée.
ESC1 zielt auf Zertifikatvorlagen ab, welche die Einstellung „Supply in the request“ konfiguriert haben (auch „Offline“-Zertifikatvorlage genannt, da die Identität im ausgestellten Zertifikat durch den Antragsteller bestimmt wird, im Gegensatz zur „Online“-Zertifikatvorlage, wo diese aus dem Active Directory basierend auf den Anmeldedaten des Antragstellers gebildet wird).
Une fois que l'attaquant a trouvé un modèle de certificat configuré en conséquence et lui accordant des autorisations „Enroll“, il ne lui reste plus qu'à créer un certificat correspondant. Demande de certificat avec l'identité souhaitée auprès de l'autorité de certification.
TameMyCerts peut soit empêcher complètement les attaques contre l'ESC1, soit réduire drastiquement les dégâts qui en résultent :
- TameMyCerts peut Forcer les types d'identité et veiller ainsi à ce que les certificats délivrés ne contiennent que certains types de champs définis.
- TameMyCerts peut Appliquer les règles syntaxiques aux demandes de certificat et garantir ainsi que seul le contenu du certificat qui correspond aux conventions de dénomination définies est émis.
- TameMyCerts peut utiliser des identités demandées dans le certificat mapper à l'envers par rapport à l'Active Directory et appliquer des règles basées sur le statut, l'appartenance à des groupes de sécurité ou à des unités organisationnelles et les attributs de compte.
Sans TameMyCerts, une autorité de certification Microsoft ne permet pas ce contrôle fin du contenu des certificats, ce qui laisse une grande fenêtre d'attaque qui peut, dans le pire des cas, permettre à un attaquant de prendre le contrôle de l'ensemble de la structure Active Directory.
Les infractions aux règles sont consigné dans le journal des événements de l'autorité de certification et permettent ainsi de donner l'alerte en cas de non-respect des règles.
Une demande de certificat contenant l'identité d'un compte désactivé a été refusée par TameMyCerts et enregistrée.Liens complémentaires :
- Un module de politique pour les apprivoiser : Présentation du module de politique TameMyCerts pour Microsoft Active Directory Certificate Services
- Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
Français 
Deutsch 
English