Étiquette : Windows Hello for Business

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Depuis Windows NT 4.0, CryptoAPI comprend les Cryptographic Service Provider (CSP).

Le but est qu'une application n'ait pas à se soucier de la mise en œuvre concrète de la gestion des clés, mais puisse laisser cette tâche à des interfaces génériques du système d'exploitation. Cela permet également d'éviter que les clés cryptographiques soient chargées dans la mémoire vive dans le contexte de sécurité de l'utilisateur/de l'application utilisée (un incident de sécurité grave, basé précisément sur ce problème, a été le Incident Heartbleed).

Par exemple, pour le logiciel de l'autorité de certification, la manière dont votre clé privée est protégée (dans un logiciel ou à l'aide d'un module de sécurité matériel (HSM), par exemple) n'a aucune importance sur le plan technique. L'appel de la clé privée est toujours identique pour l'autorité de certification.

Avec Windows Vista et l'introduction de Cryptography Next Generation (CNG) en remplacement de CryptoAPI, les fournisseurs de stockage de clés (KSP) ont été introduits.

Continuer la lecture de « Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP) »

Détails de l'événement avec ID 4899 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4899 (0x1323)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Un modèle de services de certificats a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Template Change Information : Old Template Content : %8 New Template Content : %7 Additional Information : Domain Controller : %6
Texte de l'événement (en allemand) :Le modèle de service de certificat a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Informations sur le modèle : Contenu du modèle : %7 Description de la sécurité : %8 Informations supplémentaires : Contrôleur de domaine : %6
Continuer la lecture de « Details zum Ereignis mit ID 4899 der Quelle Microsoft-Windows-Security-Auditing »

Empêcher la connexion au réseau avec une carte à puce

Si vous installez les services de certificats Active Directory dans la configuration standard, l'environnement est automatiquement configuré pour que les connexions par carte à puce soient acceptées par les contrôleurs de domaine.

Si l'utilisation des connexions par carte à puce n'est pas souhaitée, il est donc judicieux de désactiver cette fonctionnalité afin d'éviter, en cas de compromission de l'autorité de certification, Ne pas compromettre Active Directory.

Continuer la lecture de « Smartcard Anmeldung im Netzwerk unterbinden »

Modification automatique des mots de passe pour les comptes qui nécessitent une connexion via une carte à puce ou Windows Hello for Business

Une nouvelle fonctionnalité de Windows Server 2016 est que les mots de passe pour les comptes qui utilisent uniquement Connexion avec des cartes à puce doivent être renouvelés automatiquement conformément aux directives relatives aux mots de passe.

Si l'option „ Smart card is required for interactive logon “ (Une carte à puce est requise pour la connexion interactive) est activée pour un compte utilisateur, le mot de passe du compte utilisateur est défini une seule fois sur une valeur aléatoire. Cependant, le mot de passe ne change plus par la suite, ce qui rend le compte plus vulnérable aux attaques de type « pass-the-hash ».

La nouvelle fonctionnalité résout ce problème en générant régulièrement de nouveaux mots de passe aléatoires pour les comptes concernés (en fonction de la politique de mot de passe configurée pour le compte).

Continuer la lecture de « Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern »

Modifier l'objet NTAuthCertificates dans Active Directory

Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.

Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »

Demande manuelle de certificat de contrôleur de domaine

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.

Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Domänencontroller-Zertifikats »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais