Lors des tests d'intrusion et pour les attaquants qui recherchent des cibles potentielles sur le réseau, il est très intéressant d'avoir un aperçu de la configuration de l'autorité de certification.
Outre d'éventuelles erreurs de configuration, les pirates peuvent obtenir des informations sur le module Policy utilisé sur l'autorité de certification.
Continuer la lecture de « Auslesen der Konfiguration der Zertifizierungsstelle durch unprivilegierte Konten unterbinden »Supposons le scénario suivant :
The Certificate Enrollment Web Service Setup failed because the CA "CA02.intra.adcslabor.de\ADCS Labor Issuing CA 1" cannot be contacted. Check the name, and confirm that the CA is properly configured and available. The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)Continuer la lecture de « Die Rollenkonfiguration für den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlermeldung „The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE“ »
Il est souvent possible de trouver des problèmes d'infrastructure de clé publique dans le réseau sous-jacent - par exemple lorsqu'il manque une règle de pare-feu dans le réseau.
Il est donc utile d'être en mesure d'enregistrer le trafic réseau afin de pouvoir l'analyser. Il existe pour cela d'excellents outils comme Wireshark, Les systèmes d'exploitation des entreprises peuvent être installés sur des ordinateurs, mais ils nécessitent une installation sur le système concerné, ce qui ne peut et ne doit pas être fait facilement sur un système de production.
Heureusement, le système d'exploitation Windows Server possède un mécanisme intégré permettant d'enregistrer les paquets réseau. Les fichiers qui en résultent ne sont toutefois pas compatibles avec Wireshark. L'outil propre à Microsoft, Message Analyzer, a été retiré le 25.11.2019 et les liens de téléchargement supprimés.
C'est pourquoi nous décrivons ci-après comment générer un tel enregistrement et le convertir ensuite dans un format compatible avec Wireshark, afin de pouvoir analyser l'enregistrement à distance du serveur concerné.
Continuer la lecture de « Netzwerkprobleme mit Wireshark analysieren, ohne Software auf produktiven Systemen installieren zu müssen »Supposons le scénario suivant :
The Network Device Enrollment Service cannot be started (0x80004005). Unspecified errorContinuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot be started (0x80004005). Unspecified error“ »
Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).
| Protocole réseau | Port de destination | Protocole |
|---|---|---|
| TCP | 135 | Mappeur de points d'accès RPC |
| TCP | 49152-65535 | Ports dynamiques RPC |
Cette configuration n'est pas réalisable dans tous les environnements d'entreprise. Souvent, il existe des règles de pare-feu restrictives qui n'autorisent pas l'utilisation de ports réseau dynamiques.
Dans un tel cas, l'autorité de certification doit être configurée sur un port statique.
Continuer la lecture de « Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt) »Dans la configuration standard, l'interface de demande de certificat de l'autorité de certification est configurée pour négocier des ports dynamiques pour les connexions RPC/DCOM entrantes (pour plus de détails, voir l'article „Règles de pare-feu requises pour Active Directory Certificate Services„ ).
Il est toutefois également possible de configurer l'autorité de certification sur un port statique (voir l'article „Configuration de l'autorité de certification sur un port statique (point de terminaison RPC)„ ).
La procédure suivante décrit comment vérifier la configuration actuelle de l'autorité de certification.
Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »Supposons le scénario suivant :
There is a problem with the resource you are looking for, and it cannot be displayed.Continuer la lecture de « Die Beantragung eines Zertifikats über die Zertifizierungsstellen-Webregistrierung (CAWE) schlägt fehl mit HTTP Fehlercode 500 „Internal Server error“ »
Lorsque l'on implémente un service d'inscription de périphériques réseau (NDES), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für den Registrierungsdienst für Netzwerkgeräte (NDES) »Lorsque l'on implémente un service web de politique d'enregistrement des certificats (CEP), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für den Zertifikatregistrierungsrichtlinien-Webdienst (CEP) »Lorsque l'on implémente un service web d'enregistrement de certificats (CES), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für den Zertifikatregistrierungs-Webdienst (CES) »Si l'on implémente un répondeur en ligne (OCSP), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für den Onlineresponder (OCSP) »Supposons le scénario suivant :
Lors de l'implémentation d'un Certificate Authority Web Enrollment (CAWE), il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Vous trouverez ci-dessous une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.
Continuer la lecture de « Benötigte Firewallregeln für die Zertifizierungsstellen-Webregistrierung (CAWE) »Supposons le scénario suivant :
The operation timed out 0x80072ee2 (INet: 12002 ERROR_INTERNET_TIMEOUT)Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „ERROR_INTERNET_TIMEOUT“ »
Supposons le scénario suivant :
Certificate Request Processor: A connection with the server could not be established 0x80072efd (WinHttp: 12029 ERROR_WINHTTP_CANNOT_CONNECT)Continuer la lecture de « Die Beantragung eines Zertifikats über den Certificate Enrollment Web Service (CES) schlägt fehl mit Fehlercode „ERROR_WINHTTP_CANNOT_CONNECT“ »
Français 
Deutsch 
English