Étiquette : Registre

Interdire la lecture de la configuration de l'autorité de certification par des comptes non privilégiés

Lors des tests d'intrusion et pour les attaquants qui recherchent des cibles potentielles sur le réseau, il est très intéressant d'avoir un aperçu de la configuration de l'autorité de certification.

Outre d'éventuelles erreurs de configuration, les pirates peuvent obtenir des informations sur le module Policy utilisé sur l'autorité de certification.

Continuer la lecture de « Auslesen der Konfiguration der Zertifizierungsstelle durch unprivilegierte Konten unterbinden »

L'installation ou la désinstallation d'une fonctionnalité Windows échoue avec le message d'erreur "The service is configured to not accept any remote shell requests".

Supposons le scénario suivant :

  • Une rôle Windows concernant les services de certificats Active Directory (autorité de certification, service d'enregistrement des périphériques réseau (NDES), enregistrement Web des autorités de certification (CAWE), services Web d'enregistrement des certificats (CEP, CES) ou répondeur en ligne (OCSP)) doit être installé ou désinstallé.
  • L'installation ou la désinstallation échoue avec le message d'erreur suivant :
The status of the role services on the target machine cannot be determined. Please retry. The error is The WS-Management service cannot process the request. The service is configured to not accept any remote shell requests.
Continuer la lecture de « Die Installation oder Deinstallation eines Windows-Features schlägt fehl mit Fehlermeldung „The service is configured to not accept any remote shell requests.“ »

Configurer le niveau de journalisation (Log Level) pour le journal des événements de l'autorité de certification

Certains les événements Windows générés par l'autorité de certification ne sont générés qu'à partir d'un certain niveau de journalisation.

Les paragraphes suivants décrivent comment déterminer et modifier le niveau de journalisation d'une autorité de certification.

Continuer la lecture de « Protokollierungsebene (Log Level) für das Ereignisprotokoll der Zertifizierungsstelle konfigurieren »

Configurer le „Magic Number“ pour le répondeur en ligne

Même si un répondeur en ligne est présent sur le réseau et que les autorités de certification ont inscrit son adresse dans l'extension Authority Information Access (AIA) des certificats délivrés, il n'est pas toujours garanti que le répondeur en ligne soit effectivement utilisé.

Le „Magic Number“, présent sur chaque système d'exploitation Windows, est une variable d'ajustement. Il a pour effet que le système se replie sur les listes de blocage (si elles existent) si trop de demandes sont faites par OCSP pour la même autorité de certification.

Continuer la lecture de « Die „Magic Number“ für den Onlineresponder konfigurieren »

Détails de l'événement avec ID 131 de la source Microsoft-Windows-CertificationAuthority

Source de l'événement :Microsoft-Windows-CertificationAuthority
ID de l'événement :131 (0x83)
Journal des événements :Application
Type d'événement :Avertissement
Texte de l'événement (en anglais) :Un OID invalide a été détecté dans le paramètre de configuration EKUOIDsForPublishExpiredCertInCRL. Pour résoudre ce problème, exécutez : „certutil -getreg ca\EKUOIDsForPublishExpiredCertInCRL“ pour identifier l'OID invalide et le corriger. Les OID par défaut („1.3.6.1.5.5.7.3.3“ et „1.3.6.1.4.1.311.61.1.1“) seront utilisés.
Texte de l'événement (en allemand) :Un OID non valide a été détecté dans le paramètre de configuration „EKUOIDsForPublishExpiredCertInCRL“. Pour le corriger, exécutez la commande „certutil -getreg ca\EKUOIDsForPublishExpiredCertInCRL“ afin de déterminer et de corriger l'OID invalide. Les OID par défaut („1.3.6.1.5.5.7.3.3“ et „1.3.6.1.4.1.311.61.1.1“) seront utilisés.
Continuer la lecture de « Details zum Ereignis mit ID 131 der Quelle Microsoft-Windows-CertificationAuthority »

Jeton pour la configuration CDP et AIA d'une autorité de certification

Nachfolgend eine Übersicht über die Tokens für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle.

Continuer la lecture de « Token für die CDP- und AIA- Konfiguration einer Zertifizierungsstelle »

Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle

In der Standardkonfiguration ist die Zertifikatbeantragungs-Schnittstelle der Zertifizierungsstelle darauf konfiguriert, dynamische Ports für die eingehenden RPC/DCOM Verbindungen auszuhandeln (näheres siehe Artikel „Règles de pare-feu requises pour Active Directory Certificate Services„).

Es ist jedoch auch möglich, die Zertifizierungsstelle auf einen statischen Port zu konfigurieren (siehe Artikel „Konfigurieren der Zertifizierungsstelle auf einen statischen Port (RPC-Endpunkt)„).

Nachfolgend wird beschrieben, wie die aktuelle Konfiguration der Zertifizierungsstelle überprüft werden kann.

Continuer la lecture de « Abfrage der konfigurierten RPC-Endpunkte einer Zertifizierungsstelle »

Suppression d'anciens certificats d'autorité de certification de la configuration d'une autorité de certification

Im Laufe der Lebenszeit einer Zertifizierungsstelle werden Zertifizierungsstellen-Zertifikate gemäß der Planung für deren Lebenszyklus erneuert. Hierbei kann optional ein neues Schlüsselpaar verwendet werden. Die vorigen Zertifizierungsstellen-Zertifikate laufen ab oder werden widerrufen.

Abgelaufene Zertifizierungsstellen-Zertifikate können unter Umständen zum Problem werden, wenn beispielsweise die zugehörigen privaten Schlüssel auf alten Hardware Security Modulen (HSM) gespeichert sind, und diese nur unter größeren Schwierigkeiten auf neue Hardware migriert werden können.

In einem solchen Fall kann es sinnvoll sein, alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen.

Continuer la lecture de « Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle »

Suppression d'une politique de demande de certificat (Enrollment Policy) configurée manuellement

Si vous travaillez avec les Certificate Enrollment Web Services et que vous inscrivez manuellement des politiques d'enregistrement de certificats (Enrollment Policies) sur des ordinateurs clients, vous êtes confronté au phénomène suivant : il n'existe aucune possibilité de les modifier ou de les supprimer dans la console de gestion des certificats.

Continuer la lecture de « Löschen einer manuell konfigurierten Zertifikatbeantragungs-Richtlinie (Enrollment Policy) »

Modifier le mot de passe statique du Network Device Enrollment Service (NDES)

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Le serveur NDES est configuré pour utiliser un mot de passe statique.
  • Le mot de passe statique doit être modifié.
Continuer la lecture de « Das statische Passwort des Network Device Enrollment Service (NDES) ändern »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • L'erreur HTTP 500 (Internal Server Error) est signalée lors de l'appel de la page web de demande NDES (mscep) et de la page web d'administration NDES (certsrv/mscep_admin).
  • Il s'agit de la Événement n° 2 enregistré dans le journal des événements de l'application : 
The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot be started (0x80070002). The system cannot find the file specified.“ »

Configurer le Network Device Enrollment Service (NDES) pour qu'il fonctionne sans mot de passe

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants. Certaines solutions ne peuvent pas du tout gérer un mot de passe.

Dans ce cas, on peut configurer NDES pour qu'il ne génère ni ne demande de mot de passe.

Continuer la lecture de « Den Network Device Enrollment Service (NDES) für den Betrieb ohne Passwort konfigurieren »

Configurer le service d'enregistrement des périphériques réseau (NDES) pour qu'il fonctionne avec un mot de passe statique

Il existe des situations dans lesquelles il n'est pas possible d'utiliser un NDES avec des mots de passe changeants. C'est généralement le cas lorsqu'il n'existe pas de solution de gestion pour les appareils à gérer ou lorsque celle-ci ne peut pas gérer les mots de passe changeants.

Dans ce cas, on peut configurer NDES pour qu'il génère un mot de passe statique qui ne change plus par la suite.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) für den Betrieb mit einem statischen Passwort konfigurieren »

Le service d'enregistrement des périphériques réseau (NDES) consigne le message d'erreur "The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Le serveur NDES est configuré pour fonctionner avec un mot de passe statique.
  • Lors de l'appel de la page web d'administration NDES (certsrv/mscep_admin), les utilisateurs sont toujours invités à s'authentifier malgré des données de connexion correctes.
  • L'événement suivant est enregistré dans le journal des événements de l'application :
The Network Device Enrollment Service cannot create or modify the registry key "Software\Microsoft\Cryptography\MSCEP\EncryptedPassword". Grant Read and Write permissions on the registry key "Software\Microsoft\Cryptography\MSCEP" to the account that the Network Device Enrollment Service is running as.
Continuer la lecture de « Der Registrierungsdienst für Netzwerkgeräte (NDES) protokolliert die Fehlermeldung „The Network Device Enrollment Service cannot create or modify the registry key Software\Microsoft\Cryptography\MSCEP\EncryptedPassword.“ »

La page web d'administration du Network Device Enrollment Service (NDES) (certsrv/mscep_admin) signale "The password cache is full".

Supposons le scénario suivant :

  • Un serveur NDES est configuré sur le réseau.
  • Lors de l'appel de la page web d'administration (certsrv/mscep_admin), le message suivant apparaît :
The password cache is full.
Continuer la lecture de « Die Network Device Enrollment Service (NDES) Administrations-Webseite (certsrv/mscep_admin) meldet „The password cache is full.“ »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais