Étiquette : Pare-feu

Interdire la lecture de la configuration de l'autorité de certification par des comptes non privilégiés

Lors des tests d'intrusion et pour les attaquants qui recherchent des cibles potentielles sur le réseau, il est très intéressant d'avoir un aperçu de la configuration de l'autorité de certification.

Outre d'éventuelles erreurs de configuration, les pirates peuvent obtenir des informations sur le module Policy utilisé sur l'autorité de certification.

Continuer la lecture de « Auslesen der Konfiguration der Zertifizierungsstelle durch unprivilegierte Konten unterbinden »

Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE“

Supposons le scénario suivant :

  • Es wird eine Rollenkonfiguration für den Certificate Enrollment Web Service (CES) durchgeführt.
  • La configuration des rôles échoue avec le message d'erreur suivant : 
The Certificate Enrollment Web Service Setup failed because the CA "CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1" cannot  be contacted. Check the name, and confirm that the CA is properly configured and available. The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)
Continuer la lecture de « Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE“ »

Analyser les problèmes de réseau avec Wireshark sans devoir installer de logiciel sur des systèmes de production

Il est souvent possible de trouver des problèmes d'infrastructure de clé publique dans le réseau sous-jacent - par exemple lorsqu'il manque une règle de pare-feu dans le réseau.

Il est donc utile d'être en mesure d'enregistrer le trafic réseau afin de pouvoir l'analyser. Il existe pour cela d'excellents outils comme Wireshark, Les systèmes d'exploitation des entreprises peuvent être installés sur des ordinateurs, mais ils nécessitent une installation sur le système concerné, ce qui ne peut et ne doit pas être fait facilement sur un système de production.

Heureusement, le système d'exploitation Windows Server possède un mécanisme intégré permettant d'enregistrer les paquets réseau. Les fichiers qui en résultent ne sont toutefois pas compatibles avec Wireshark. L'outil propre à Microsoft, Message Analyzer, a été retiré le 25.11.2019 et les liens de téléchargement supprimés.

C'est pourquoi nous décrivons ci-après comment générer un tel enregistrement et le convertir ensuite dans un format compatible avec Wireshark, afin de pouvoir analyser l'enregistrement à distance du serveur concerné.

Continuer la lecture de « Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur „ Le service d'enregistrement des périphériques réseau ne peut pas être démarré (0x80004005). Erreur non spécifiée “.“

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Bei Aufruf der NDES-Beantragungs-Webseite (mscep) und der NDES-Administrations-Webseite (certsrv/mscep_admin) wird der HTTP-Fehler 500 (Internal Server Error) mit Fehlercode Error Code 0x80004005 gemeldet.
  • Es werden die Ereignisse Nr. 2 et Nr. 8 enregistré dans le journal des événements de l'application : 
The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error“ »

Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel „Règles de pare-feu requises pour Active Directory Certificate Services„).

Protocole réseauPort de destinationProtocole
TCP135Mappeur de points d'accès RPC
TCP49152-65535Ports dynamiques RPC

Diese Konfiguration ist nicht in jeder Unternehmens-Umgebung realisierbar. Oftmals gibt es restriktive Firewallregeln, welche die Verwendung dynamischer Netzwerk-Ports nicht erlauben.

In einem solchen Fall muss die Zertifizierungsstelle auf einen statischen Port konfiguriert werden.

Continuer la lecture de « Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt) »

Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel „Règles de pare-feu requises pour Active Directory Certificate Services„).

Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel „Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)„).

Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.

Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) échoue avec le code d'erreur HTTP 500 "Internal Server error".

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La demande prend beaucoup de temps et échoue finalement avec le code HTTP 500 "Internal server error" :
There is a problem with the resource you are looking for, and it cannot be displayed.
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 „Internal Server error“ »

Règles de pare-feu requises pour le service d'enregistrement des périphériques réseau (NDES)

Lorsque l'on implémente un service d'inscription de périphériques réseau (NDES), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES) »

Règles de pare-feu requises pour le service web de politique d'enregistrement des certificats (CEP)

Lorsque l'on implémente un service web de politique d'enregistrement des certificats (CEP), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP) »

Règles de pare-feu requises pour le service web d'enregistrement des certificats (CES)

Lorsque l'on implémente un service web d'enregistrement de certificats (CES), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES) »

Règles de pare-feu nécessaires pour le répondeur en ligne (OCSP)

Si l'on implémente un répondeur en ligne (OCSP), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für den Onlineresponder (OCSP) »

La demande d'un certificat via l'enregistrement web de l'autorité de certification (CAWE) prend beaucoup de temps

Supposons le scénario suivant :

  • Un serveur pour l'enregistrement web des autorités de certification (Certificate Authority Web Enrollment, CAWE) est installé sur le réseau.
  • Le rôle est installé sur un serveur séparé, pas directement sur l'autorité de certification.
  • Un utilisateur tente de demander un certificat via l'enregistrement web de l'autorité de certification ou de soumettre une demande de certificat existante à l'autorité de certification.
  • La procédure est certes réussie, mais la demande est très longue (jusqu'à plusieurs minutes).
Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) dauert sehr lange »

Règles de pare-feu requises pour l'enregistrement web de l'autorité de certification (CAWE)

Lors de l'implémentation d'un Certificate Authority Web Enrollment (CAWE), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Vous trouverez ci-dessous une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE) »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_INTERNET_TIMEOUT".

Supposons le scénario suivant :

  • On essaie de demander un certificat via un Certificate Enrollment Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • L'opération échoue avec le message d'erreur suivant :
The operation timed out 0x80072ee2 (INet: 12002 ERROR_INTERNET_TIMEOUT)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „ERROR_INTERNET_TIMEOUT“ »

La demande d'un certificat via le Certificate Enrollment Web Service (CES) échoue avec le code d'erreur "ERROR_WINHTTP_CANNOT_CONNECT".

Supposons le scénario suivant :

  • On essaie de demander un certificat via un Certificate Enrollment Web Service (CEP) d'une autorité de certification intégrée à Active Directory (Enterprise Certification Authority).
  • L'opération échoue avec le message d'erreur suivant :
Certificate Request Processor: A connection with the server could not be established 0x80072efd (WinHttp: 12029 ERROR_WINHTTP_CANNOT_CONNECT)
Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „ERROR_WINHTTP_CANNOT_CONNECT“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais