Renforcement cryptographique des transactions SCEP pour le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES)

Le site Protocole simple d'inscription de certificats (SCEP) Il s'agit d'un protocole très ancien datant du début des années 2000. Il ne fait pas appel au protocole TLS (Transport Layer Security). Les messages du protocole sont donc chiffrés au niveau de la couche de transport.

Lors de l'envoi de la demande de certificat au serveur NDES, le client effectuera cette demande à l'aide du certificat de chiffrement CEP du serveur NDES (qui lui a été communiqué auparavant via le message GetCACert).

À la réception du certificat émis, le serveur NDES chiffrera la réponse à l'aide d'un certificat auto-signé généré temporairement par le client SCEP.

Dans les deux cas, on utilise un algorithme de chiffrement symétrique.

Continuer la lecture de « Kryptographische Härtung der SCEP-Transaktionen für den Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Attaque contre Active Directory via Microsoft Intune - et comment l'endiguer avec TameMyCerts

Dirk-jan Mollema a récemment présenté une attaque permettant d'obtenir un certificat pour des comptes hautement privilégiés via Intune.. Celui-ci peut ensuite être utilisé pour compromettre l'ensemble de l'environnement Active Directory.

L'attaque est comparable dans ses grandes lignes à ce que j'ai déjà décrit dans l'article "De zéro à Enterprise Administrator grâce au service d'enregistrement des périphériques réseau (NDES) - et ce qui peut être fait à ce sujet" et dans l'article "Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce"(également connu sous le nom de ESC1).

La nouveauté consiste toutefois à exploiter le système de gestion des appareils mobiles (MDM) - en l'occurrence Microsoft Intune - de manière appropriée.

Ce qui n'est pas nouveau en revanche, c'est ce qui peut être fait contre cela avec le module de politique TameMyCerts pour les Active Directory Certificate Services afin de réduire drastiquement la surface d'attaque...

Continuer la lecture de « Angriff auf das Active Directory über Microsoft Intune – und wie er mit TameMyCerts eingedämmt werden kann »

Le renouvellement d'un certificat via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur CERT_E_UNTRUSTEDCA

Supposons le scénario suivant :

  • Un certificat est demandé via le service d'enregistrement des équipements de réseau (NDES).
  • Le mode de renouvellement est utilisé ici, c'est-à-dire que la demande de certificat est signée avec un certificat existant.
  • La demande du nouveau certificat échoue avec le message d'erreur suivant :
A certification chain processed correctly, but one of the CA
certificates is not trusted by the policy provider. 0x800b0112 (-2146762478 CERT_E_UNTRUSTEDCA)
Continuer la lecture de « Die Erneuerung eines Zertifikats über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlercode CERT_E_UNTRUSTEDCA »

Détails de l'événement ID 86 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :86 (0xC25A0056)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :Échec de l'initialisation de l'inscription au certificat SCEP pour %1 via %2 : %3 Méthode : %4 Étape : %5 %6
Texte de l'événement (en allemand) :Erreur lors de l'initialisation de l'enregistrement du certificat SCEP pour %1 via %2 : %3 Méthode : %4 Phase : %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 86 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

Détails de l'événement ID 87 de la source Microsoft-Windows-CertificateServicesClient-CertEnroll

Source de l'événement :Microsoft-Windows-CertificateServicesClient-CertEnroll
ID de l'événement :87 (0xC25A0057)
Journal des événements :Application
Type d'événement :Erreur
Texte de l'événement (en anglais) :Échec de l'inscription au certificat SCEP pour %1 via %2 : %3 Méthode : %4 Étape : %5 %6
Texte de l'événement (en allemand) :Erreur d'enregistrement de certificat SCEP pour %1 via %2 : %3 Méthode : %4 Phase : %5 %6
Continuer la lecture de « Details zum Ereignis mit ID 87 der Quelle Microsoft-Windows-CertificateServicesClient-CertEnroll »

De zéro à administrateur d'entreprise grâce au service d'enregistrement des périphériques réseau (NDES) – et comment y remédier

Je voudrais présenter ci-après une configuration PKI extrêmement dangereuse, qui n'est peut-être pas forcément connue du grand public, mais qui est probablement très courante dans les réseaux d'entreprise.

Je montre comment, en exploitant diverses circonstances malheureuses dans l'infrastructure PKI Windows, il est possible d'obtenir une augmentation des droits, allant du simple accès au réseau à la prise de contrôle totale de l'Active Directory.

Dans cet exemple, le point d'attaque initial est le service d'enregistrement des périphériques réseau (NDES).

Continuer la lecture de « Von Null auf Enterprise Administrator durch den Registrierungsdienst für Netzwerkgeräte (NDES) – und was dagegen getan werden kann »

SSCEP : Le sujet de notre demande ne correspond pas à celui du certificat renvoyé !

Supposons le scénario suivant :

sscep: Subject of our request does not match that of the returned Certificate!
Continuer la lecture de « SSCEP: Subject of our request does not match that of the returned Certificate! »

Installer SSCEP pour Linux (Debian Buster) et demander des certificats via le service d'enregistrement des périphériques réseau (NDES)

Si l'on souhaite équiper une grande quantité de systèmes avec des certificats, il faut une demande manuelle et le renouvellement des certificats ne sont pas une option. La seule voie possible est l'automatisation.

Pour les systèmes qui ne sont pas membres de la structure globale d'Active Directory, une demande automatique de certificat via RPC/DCOM pas une option.

Pour certains cas d'application, le Simple Certificate Enrollment Protocol (SCEP) est une alternative intéressante. Pour ce protocole, il n'existe pas seulement des clients pour Windows, mais aussi pour Linux avec SSCEP. SSCEP est notamment utilisé par les clients légers avec le protocole Système d'exploitation eLux est utilisé.

Voici comment configurer le client SSCEP sur un système Debian Buster Linux, soit pour administrer des serveurs, soit pour tester le comportement côté client.

Continuer la lecture de « SSCEP für Linux (Debian Buster) installieren und Zertifikate über den Registrierungsdienst für Netzwerkgeräte (NDES) beantragen »

Zertifikatbeantragung für Windows-Systeme mit dem SCEP-Protokollüber den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell

Si l'on souhaite équiper de certificats des systèmes Windows qui n'ont pas la possibilité de communiquer directement avec une autorité de certification intégrée à Active Directory ou qui ne se trouvent pas du tout dans la même structure globale d'Active Directory, il ne reste dans la plupart des cas que l'installation manuelle des certificats.

Depuis Windows 8.1 / Windows Server 2012 R2, un client intégré pour le Simple Certificate Enrollment Protocoll (SCEP) se trouve toutefois à bord. Côté serveur, SCEP est géré par le Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) mis en œuvre dans l'infrastructure à clés publiques de Microsoft depuis Windows Server 2003.

Une caractéristique particulièrement intéressante de SCEP est que le protocole permet de renouveler un certificat en indiquant un certificat déjà existant. Quoi de plus logique donc que d'utiliser cette interface ? Ce qui manque encore, c'est une automatisation correspondante via Windows PowerShell.

Continuer la lecture de « Zertifikatbeantragung für Windows-Systeme mit dem SCEP-Protokollüber den Registrierungsdienst für Netzwerkgeräte (NDES) mit Windows PowerShell »

Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)

Le Simple Certificate Enrollment Protocol (SCEP) a été développé par Verisign pour Cisco au début des années 2000 afin de pouvoir utiliser une méthode simplifiée pour demander des certificats. Auparavant, il fallait générer manuellement une demande de certificat pour chaque appareil du réseau, la transmettre à une autorité de certification, puis réinstaller manuellement le certificat délivré sur l'appareil correspondant.

Continuer la lecture de « Grundlagen Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES) »

Détails de l'événement ID 34 de la source Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft Windows NetworkDeviceEnrollmentService
ID de l'événement :34 (0x22)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :EVENT_SCEP_RA_EXPIRE
Texte de l'événement (en anglais) :Au moins l'un des certificats du service d'inscription des périphériques réseau a expiré. Vérifiez que les certificats de chiffrement et de signature sont valides, puis redémarrez le service.
Texte de l'événement (en allemand) :Au moins un certificat pour le service d'enregistrement des périphériques réseau a expiré. Assurez-vous que les certificats de chiffrement et de signature sont valides, puis redémarrez le service.
Continuer la lecture de « Details zum Ereignis mit ID 34 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Détails de l'événement ID 35 de la source Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft Windows NetworkDeviceEnrollmentService
ID de l'événement :35 (0x23)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :EVENT_SCEP_RA_CLOSE_TO_EXPIRE
Texte de l'événement (en anglais) :Au moins l'un des certificats du service d'inscription des périphériques réseau va bientôt expirer. Vérifiez la période de validité des certificats de chiffrement et de signature. Renouvelez tous les certificats dont la période de validité arrive à expiration et redémarrez le service.
Texte de l'événement (en allemand) :Au moins un certificat pour le service d'enregistrement des périphériques réseau va bientôt expirer. Vérifiez la période de validité des certificats de chiffrement et de signature. Renouvelez tous les certificats dont la période de validité expire bientôt, puis redémarrez le service.
Continuer la lecture de « Details zum Ereignis mit ID 35 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Détails de l'événement ID 36 de la source Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft Windows NetworkDeviceEnrollmentService
ID de l'événement :36 (0x24)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :EVENT_SCEP_SERVER_SUPPORT
Texte de l'événement (en anglais) :Le service d'inscription des périphériques réseau a échoué lors de la tentative d'écriture de la partie en-tête d'une réponse http (%1). %2
Texte de l'événement (en allemand) :Une erreur s'est produite dans le service d'enregistrement des périphériques réseau lors d'une tentative d'écriture dans la zone d'en-tête d'une réponse HTTP (%1). %2
Continuer la lecture de « Details zum Ereignis mit ID 36 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

Détails de l'événement ID 37 de la source Microsoft-Windows-NetworkDeviceEnrollmentService

Source de l'événement :Microsoft Windows NetworkDeviceEnrollmentService
ID de l'événement :37 (0x25)
Journal des événements :Application
Type d'événement :Erreur
Nom symbolique :EVENT_SCEP_WRITE_DATA
Texte de l'événement (en anglais) :Le service d'inscription des périphériques réseau a échoué lors de la tentative d'écriture de la partie données d'une réponse http (%1). %2
Texte de l'événement (en allemand) :Une erreur s'est produite dans le service d'enregistrement des périphériques réseau lors d'une tentative d'écriture dans la zone de données d'une réponse HTTP (%1). %2
Continuer la lecture de « Details zum Ereignis mit ID 37 der Quelle Microsoft-Windows-NetworkDeviceEnrollmentService »

La demande de certificats via le service d'enregistrement des périphériques réseau (NDES) échoue avec le code d'erreur HTTP 503 et aucune entrée n'apparaît dans l'observateur d'événements.

Supposons le scénario suivant :

  • Un service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) est implémenté dans le réseau.
  • Le serveur NDES utilise un compte de domaine ou un compte de service géré par le groupe (gMSA) pour l'identité du pool d'applications SCEP IIS.
  • La demande de certificats via NDES échoue avec le code d'erreur HTTP 503 (serveur indisponible).
  • L'appel des pages mscep et mscep_admin échoue également avec le code d'erreur HTTP 500.
  • Même après une réinitialisation iisreset ou un redémarrage du serveur NDES, aucun événement indiquant que le service NDES a été démarré ou qu'il y a eu des erreurs n'apparaît après avoir appelé la page mscep ou mscsp_admin.
Continuer la lecture de « Die Beantragung von Zertifikaten über den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt mit HTTP Fehlercode 503 fehl, und es gibt keine Einträge in der Ereignisanzeige »
fr_FRFrançais