Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un mot de passe statique

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants.

Dans ce cas, on peut configurer NDES pour qu'il génère un mot de passe statique qui ne change plus par la suite.

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Cette configuration n'est pas sûre, car toute personne connaissant le mot de passe peut demander n'importe quel certificat pour le modèle de certificat enregistré dans le NDES. S'il y a plusieurs applications dans le réseau qui nécessitent l'utilisation d'un mot de passe statique, il est conseillé de mettre à disposition un serveur NDES séparé pour chacune d'entre elles ainsi que, si cela est réalisable de renouveler le mot de passe à intervalles réguliers.

Solution

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le réglage souhaité se trouve dans la clé de registre suivante :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\UseSinglePassword

En dessous se trouve une valeur DWORD 32 bits appelée UseSinglePassword, qui est réglée sur 0 dans l'installation standard. En mettant cette valeur à 1, l'utilisation d'un mot de passe statique est activée.

Comme le mot de passe statique est stocké dans le registre, le compte de service NDES doit être autorisé à écrire sur la clé de registre MSCEP.

Cela est possible grâce à l'autorisation "Full Control".

Dans la mesure où le service NDES fonctionne avec l'identité du pool d'applications IIS, celle-ci peut être saisie avec la syntaxe suivante :

IIS APPPOOL\SCEP

Veuillez également limiter le domaine de recherche (Locations...) à la machine locale.

Si le compte de service NDES est un compte de domaine, il faut encore activer l'option "Load User Profile" dans la configuration avancée du pool d'applications IIS.

De même, il doit exister un profil utilisateur, c'est-à-dire que le compte de service NDES doit se connecter une fois de manière interactive au serveur NDES pour que celui-ci puisse être créé.

Ce paramètre peut également être défini à l'aide de la commande Windows PowerShell suivante :

Import-Module -Name WebAdministration
Set-ItemProperty IIS:\AppPools\SCEP -name processModel -value @{LoadUserProfile="true"}

Ensuite, le service NDES peut être redémarré avec la commande iisreset, de sorte que la nouvelle configuration puisse être lue.

Le serveur NDES va utiliser l'identifiant de l'utilisateur à chaque démarrage du service. Événement n° 50 pour indiquer la configuration avec le mot de passe statique.

La page web d'administration NDES (mscep_admin) devrait maintenant indiquer que le mot de passe ne change plus.

Solution

Liens complémentaires :