Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator

Supposons le scénario suivant :

  • On installe un serveur NDES (Network Device Enrollment Service).
  • La configuration des rôles échoue avec le message d'erreur suivant : 
Insufficient access rights to perform this operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS

Habituellement, la configuration des rouleaux NDES exige que l'utilisateur qui effectue l'installation est membre du groupe "Enterprise Admins. Toutefois, cela n'est pas techniquement nécessaire et va à l'encontre des recommandations de Microsoft en matière de durcissement de la sécurité, car NDES n'est pas (nécessairement) un système classé dans la couche de sécurité la plus élevée (Tier-0).

Ci-dessous est décrite une manière de configurer le rôle NDES même sans les droits requis.

Continuer la lecture de « Den Registrierungsdienst für Netzwerkgeräte (NDES) ohne Enterprise Administrator Berechtigungen installieren »

La configuration des rôles pour le service d'enregistrement des périphériques réseau (NDES) échoue avec le message d'erreur "CMSCEPSetup::SetMSCEPSetupProperty : Access is denied. 0x80070005 (WIN32 : 5 ERROR_ACCESS_DENIED)".

Scénario suivant

  • On installe un serveur NDES (Network Device Enrollment Service)
  • La configuration des rôles échoue avec le message d'erreur suivant : 
CMSCEPSetup::SetMSCEPSetupProperty: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)
Continuer la lecture de « Die Rollenkonfiguration für den Registrierungsdienst für Netzwerkgeräte (NDES) schlägt fehl mit Fehlermeldung „CMSCEPSetup::SetMSCEPSetupProperty: Access is denied. 0x80070005 (WIN32: 5 ERROR_ACCESS_DENIED)“ »

Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)

Le service d'inscription des périphériques réseau (Network Device Enrollment Service, NDES) utilise deux modèles de certificats pour sa fonction interne afin de fonctionner comme une autorité d'inscription (Registration Authority, RA). Ceux-ci sont publiés sur l'autorité de certification configurée pendant la configuration des rôles du service NDES et des certificats sont demandés :

  • CEP Encryption
  • Agent d'inscription Exchange (demande hors ligne)

Ces modèles de certificats sont des modèles standard issus du monde Windows 2000 (modèles de la version 1), c'est-à-dire qu'ils ne peuvent pas être modifiés. De plus, le modèle Exchange Enrollment Agent (Offline Request) est marqué comme modèle utilisateur, c'est-à-dire que pendant la configuration des rôles NDES, le certificat est demandé dans le contexte de l'utilisateur qui l'installe et est ensuite importé dans le magasin de la machine. Les choses se compliquent ici au plus tard lorsque les certificats doivent être renouvelés au bout de deux ans.

Il est donc préférable d'utiliser ses propres modèles de certificats pour NDES. Ceux-ci peuvent par exemple être adaptés en ce qui concerne la longueur de la clé. Il est également possible d'utiliser des modules de sécurité matériels (HSM) de cette manière. Il est même possible de configurer un renouvellement automatique.

Continuer la lecture de « Eigene Registration Authority (RA) Zertifikatvorlagen für den Registrierungsdienst für Netzwerkgeräte (NDES) verwenden »

Lors de l'installation d'un nouveau certificat d'autorité de certification, on reçoit le message d'erreur "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)".

Supposons le scénario suivant :

  • On installe un nouveau certificat d'autorité de certification sur l'autorité de certification, soit parce que l'autorité de certification a été réinstallée, soit parce que le certificat d'autorité de certification a été renouvelé.
  • Le certificat d'autorité de certification a été délivré par une autorité de certification supérieure.
  • Lors de l'installation, on obtient le message d'erreur suivant :
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Continuer la lecture de « Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung „The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Insufficient access rights to perform the operation. 0x80072098 (WIN32 : 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant : 
Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Insufficient access rights to perform the operation. 0x80072098 (WIN32: 8344 ERROR_DS_INSUFF_ACCESS_RIGHTS)“ »

La publication d'une liste de révocation de certificats (CRL) échoue avec le message d'erreur "Directory object not found. 0x8007208d (WIN32 : 8333 ERROR_DS_OBJ_NOT_FOUND)".

Supposons le scénario suivant :

  • On essaie de publier une nouvelle liste de révocation de certificats (CRL) sur une autorité de certification.
  • L'autorité de certification est configurée pour publier les listes de révocation de certificats dans Active Directory (LDAP CDP).
  • La publication de la liste de révocation des certificats échoue avec le message d'erreur suivant :
Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)
Continuer la lecture de « Die Veröffentlichtung einer Zertifikatsperrliste (CRL) schlägt fehl mit der Fehlermeldung „Directory object not found. 0x8007208d (WIN32: 8333 ERROR_DS_OBJ_NOT_FOUND)“ »

Les contrôleurs de domaine ne vérifient pas l'utilisation étendue de la clé lors de la connexion par carte à puce.

Quiconque souhaite utiliser la fonction Smartcard Logon dans l'entreprise a tout intérêt à veiller à ce que la sécurité de son autorité de certification soit aussi renforcée que possible. Cela implique quelques mesures essentielles :

  • Suppression de tous les certificats d'autorité de certification inutiles de l'objet NTAuthCertificates dans Active DirectoryChaque autorité de certification qui se trouve dans ce magasin est autorisée à émettre des certificats de connexion de carte à puce dans l'Active Directory pour l'ensemble de la structure.
  • Utiliser la subordination qualifiéeLimiter les certificats d'autorité de certification afin de ne leur faire confiance que pour les extended key usages effectivement délivrés. En cas de compromission de l'autorité de certification, le dommage est alors limité à ces Extended Key Usages. Le "Smart Card Logon" Extended Key Usage ne serait alors présent que dans le certificat d'autorité de certification de l'autorité de certification qui délivre effectivement de tels certificats.

Ce qui est intéressant dans ces réflexions, c'est que les contrôleurs de domaine ne vérifient pas du tout les Extended Key Usages lors de la connexion via carte à puce.

Continuer la lecture de « Domänencontroller überprüfen erweiterte Schlüsselverwendung (Extended Key Usage) bei Smartcard Anmeldung nicht »

Mise en danger de la structure globale d'Active Directory par le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2

En réseau circulent malheureusement beaucoup sur beaucoup de Instructions (même les grands acteurs n'en sont pas excluspas même Microsoft lui-même ou le Grand Maître Komar), qui recommandent fatalement que le drapeau EDITF_ATTRIBUTESUBJECTALTNAME2 soit activé sur l'autorité de certification - soi-disant pour être en mesure d'émettre des certificats avec l'extension Subject Alternative Name (SAN) pour les demandes de certificats faites manuellement.

Malheureusement, cette procédure n'est pas seulement inutile, elle a aussi quelques effets secondaires désagréables qui peuvent, dans le pire des cas, aider un attaquant à prendre le contrôle de toute la structure globale d'Active Directory.

Continuer la lecture de « Gefährdung der Active Directory Gesamtstruktur durch das Flag EDITF_ATTRIBUTESUBJECTALTNAME2 »

Quelles conditions doivent être remplies du côté de l'infrastructure pour que les inscriptions par carte à puce soient possibles ?

Pour qu'une inscription par carte à puce réussisse, certaines conditions doivent être remplies dans l'environnement Active Directory :

Continuer la lecture de « Welche Voraussetzungen müssen auf Infrastruktur-Seite erfüllt sein, damit Smartcard-Anmeldungen möglich sind? »

Suppression des extensions spécifiques à ADCS des certificats

Si l'on utilise Active Directory Certificates, on remarque que les certificats des autorités de certification et les certificats qu'elles émettent comportent certaines extensions qui ne sont pas définies dans les RFC pertinents et qui sont spécifiques à AD CS.

Continuer la lecture de « Entfernen der ADCS-spezifischen Erweiterungen aus Zertifikaten »

Règles de pare-feu requises pour Active Directory Certificate Services

Si l'on implémente une autorité de certification intégrée à Active Directory, il est souvent nécessaire de planifier les règles de pare-feu à créer sur le réseau. Voici une liste des règles de pare-feu nécessaires et des éventuels pièges à éviter.

Continuer la lecture de « Benötigte Firewallregeln für Active Directory Certificate Services »

Description du drapeau EDITF_ADDOLDKEYUSAGE

Lorsque l'on installe une autorité de certification subordonnée, il se peut que l'on se heurte au comportement suivant :

  • On demande une extension Key Usage qui est par exemple marquée comme critique ou qui ne contient pas DigitalSignature.
  • Cependant, le certificat délivré par l'autorité de certification parente contient DigitalSignature et l'extension Key Usage est marquée comme non critique.
  • L'autorité de certification supérieure est une autorité de certification autonome, c'est-à-dire sans intégration Active Directory.
Continuer la lecture de « Beschreibung des Flags EDITF_ADDOLDKEYUSAGE »

Installer les outils de gestion du serveur distant pour Active Directory Certificate Services sur Windows 10 (version 1809 ou ultérieure)

Depuis la version 1809 de Windows 10, les outils de gestion du serveur distant ne sont plus disponibles en tant que téléchargement autonome, mais font partie des fonctionnalités à la demande.

Continuer la lecture de « Remoteserver-Verwaltungstools für Active Directory Certificate Services auf Windows 10 ab Version 1809 installieren »

Quel est le degré de sécurité du paramètre "Allow private key to be exported" dans les modèles de certificats ?

Les administrateurs PKI partent souvent du principe que l'option dans le modèle de certificat , de ne pas autoriser l'exportation de la clé privée, est obligatoire.

Continuer la lecture de « Wie sicher ist die Einstellung „Allow private key to be exported“ in den Zertifikatvorlagen? »

Importer un certificat dans une carte à puce

Il est parfois nécessaire d'importer dans une carte à puce un certificat qui utilise une clé logicielle.

Continuer la lecture de « Importieren eines Zertifikats in eine Smartcard »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais