Si vous installez les services de certificats Active Directory dans la configuration standard, l'environnement est automatiquement configuré pour que les connexions par carte à puce soient acceptées par les contrôleurs de domaine.
Si l'utilisation des connexions par carte à puce n'est pas souhaitée, il est donc judicieux de désactiver cette fonctionnalité afin d'éviter, en cas de compromission de l'autorité de certification, Ne pas compromettre Active Directory.
Voir aussi l'article "Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)„ .
Dans quelles circonstances la fonctionnalité de connexion par carte à puce est-elle activée ?
Voir aussi à ce sujet l'article "Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?„ .
Lorsqu'une autorité de certification intégrée à Active Directory est installée, son certificat d'autorité de certification est copié dans l'objet NTAuthCertificates de la structure globale d'Active Directory. Cette étape marque l'autorité de certification comme étant utilisable pour les connexions basées sur des certificats dans l'environnement, ce qui inclut également la connexion par carte à puce.
Si la publication des modèles de certificats par défaut n'est pas empêchée lors de l'installation, l'autorité de certification met automatiquement à disposition le modèle de certificat „contrôleur de domaine“, qui est ensuite automatiquement demandé par les contrôleurs de domaine.
Même si la publication des modèles de certificats par défaut a été empêchée lors de l'installation, mais qu'un autre modèle de certificat de contrôleur de domaine par défaut est publié, le résultat est le même. Voir également à ce sujet l'article „Modèles de certificats de contrôleur de domaine et inscription par carte à puce„ .
Possibilités d'empêcher la fonctionnalité de connexion de la carte à puce
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Les possibilités suivantes s'offrent à vous pour rendre la fonctionnalité de connexion de la carte à puce inutilisable :
- Faire fonctionner les contrôleurs de domaine sans certificats
- Distribuer des certificats de contrôleur de domaine personnalisés
- Supprimer les autorités de certification de l'objet NTAuthCertificates
- Limiter les certificats d'autorité de certification
Détails : faire fonctionner des contrôleurs de domaine sans certificats
Il est bien sûr possible de faire fonctionner les contrôleurs de domaine sans certificats, c'est-à-dire de ne pas leur proposer de modèle de certificat pour la demande de certificats.
L'inconvénient est qu'il n'est pas possible de proposer des connexions LDAP via SSL (LDAPS). Dans la plupart des cas, cela n'est pas praticable.
Détails : distribuer des certificats de contrôleur de domaine personnalisés
Il est possible de délivrer aux contrôleurs de domaine des certificats qui leur permettent d'accepter des connexions LDAP via SSL (LDAPS), mais en même temps de ne pas pouvoir traiter les inscriptions par carte à puce.
Pour la configuration d'un tel modèle de certificat, voir l'article „Configurer un modèle de certificat pour les contrôleurs de domaine„ .
Un contrôleur de domaine va enregistrer les événements 19 et 29 enregistrer lorsqu'une connexion est effectuée via une carte à puce. Cet événement peut donc être suivi d'une alerte.
Détails : supprimer les autorités de certification de l'objet NTAuthCertificates
Il est possible de supprimer le certificat d'autorité de certification de l'objet NTAuthCertificates de la structure globale Active Directory après l'installation de l'autorité de certification. Voir à ce sujet l'article „Modifier l'objet NTAuthCertificates dans Active Directory„ .
L'inconvénient de cette méthode est toutefois que certaines fonctions dépendent de la présence du certificat d'autorité de certification dans NTAuthCertificates :
| Fonction | Description |
|---|---|
| Enroll on Behalf Of (EOBO) (inscription à l'appui) | Le certificat CA de l'autorité de certification qui délivre les certificats pour les agents d'inscription doit se trouver dans NTAuthCertificates. |
| Récupération de clés / Archivage de clés privées | Le certificat CA de l'autorité de certification qui archive les clés doit se trouver dans NTAuthCertificates. |
| Connexion par carte à puce | Le certificat CA de l'autorité de certification qui émet les certificats des contrôleurs de domaine et des utilisateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Windows Hello for Business | Identique à Smartcard Logon. Si Windows Hello for Business devient sans certificats, seule l'autorité de certification pour les contrôleurs de domaine doit être inscrite. |
| Serveur de stratégie réseau (Network Policy Server, NPS) lorsque des connexions basées sur des certificats sont traitées (par ex. 802.1x via un réseau sans fil ou câblé, DirectAccess, Always ON VPN) | Le certificat CA de l'autorité de certification qui émet les certificats des utilisateurs ou des ordinateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Agents de récupération de fichiers EFS | Le certificat CA de l'autorité de certification qui délivre les certificats des agents de récupération de fichiers doit se trouver dans NTAuthCertificates. |
| Mappage de certificat client IIS (contre Active Directory) | Le certificat CA de l'autorité de certification qui émet les certificats des utilisateurs qui se connectent doit se trouver dans NTAuthCertificates. |
| Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES), mode renouvellement uniquement | Ne concerne que le mode de renouvellement, c'est-à-dire la signature d'une demande de certificat avec un certificat existant. Le certificat CA de l'autorité de certification qui a délivré les certificats des certificats à renouveler doit se trouver dans NTAuthCertificates. |
Détails : limiter les certificats d'autorité de certification
L'inconvénient de cette méthode est toutefois que les contrôleurs de domaine dans la configuration standard ne vérifient pas les restrictions sur le certificat d'autorité de certification. Il est certes possible d'adapter la configuration des contrôleurs de domaine, mais il subsiste ici aussi un risque résiduel, en fonction des restrictions définies sur le certificat d'autorité de certification. Pour plus de détails, voir l'article „Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.„ .
Conclusion
Il est possible d'adapter l'environnement de manière à ce que les inscriptions par carte à puce ne soient plus possibles. Presque toutes les méthodes énumérées présentent toutefois des inconvénients.
La meilleure option, qui présente le moins d'inconvénients, consiste probablement à distribuer des certificats de contrôleurs de domaine personnalisés, de sorte qu'ils ne puissent pas traiter les inscriptions par carte à puce - à moins que cette fonctionnalité ne soit utilisée.
Si l'utilisation de Smartcard Logon ou de Windows Hello for Business est nécessaire, il est judicieux de réfléchir à l'utilisation d'OCSP en combinaison avec le „Good“ déterministe. Voir à ce sujet l'article „forcer les contrôleurs de domaine (ou autres participants) à utiliser un répondeur en ligne (OCSP)„ .
Liens complémentaires :
- Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce
- Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?
- Modèles de certificats de contrôleur de domaine et inscription par carte à puce
- Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.
- Configurer un modèle de certificat pour les contrôleurs de domaine
- Modifier l'objet NTAuthCertificates dans Active Directory
Français 
Deutsch 
English
Les commentaires sont fermés.