Si, outre les services de certificats Active Directory, on implémente également le modèle de stratification administrative (Administrative Tiering Model) pour le service d'annuaire Active Directory, la question se pose alors de l'affectation des différents composants PKI dans ce modèle afin de pouvoir procéder à un renforcement ciblé de la sécurité.
| Composant | Classement |
|---|---|
| Autorité de certification | Animal-0 |
| Accès aux informations sur les autorités (AIA) et aux points de distribution des listes de révocation (CDP) | Animal-1 |
| Répondant en ligne (Online Certificate Status Protocol, OCSP) | Animal-1 |
| Service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) | Animal-0 |
| Services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) | Animal-0 |
| Enregistrement Web de l'autorité de certification (CAWE) | Animal-0 |
Détails sur la classification de l'organisme de certification
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
L'organisme de certification est clairement classé au niveau 0 pour les raisons suivantes :
- L'installation des rôles nécessite des droits d'administrateur d'entreprise (peut être déléguée, voir l'article „Déléguer l'installation d'une autorité de certification intégrée à Active Directory„ ).
- La configuration des modèles de certificats nécessite des droits élevés dans Active Directory (peut être déléguée, voir l'article „Déléguer la création et la gestion des modèles de certificats„ ).
- Une compromission de l'autorité de certification permet à l'attaquant d'émettre n'importe quel certificat et éventuellement de prendre le contrôle de la structure globale d'Active Directory (voir l'article „Vecteur d'attaque sur le service d'annuaire Active Directory via le mécanisme de connexion par carte à puce„ ).
- En règle générale, l'accès à l'autorité de certification ne se fait qu'à partir de systèmes du réseau interne.
Détails sur la classification de l'accès aux informations de l'autorité (AIA) et des points de distribution de listes de blocage (CRL Distribution Poins, CDP)
Les points de distribution pour l'accès aux informations sur les autorités (AIA) et les points de distribution des listes de blocage (CRL Distribution Poins, CDP) doivent être clairement attribués au niveau 1 pour les raisons suivantes :
- Les systèmes nécessitent aucun accès direct à l'autorité de certification.
- Le serveur ne doit pas nécessairement être installé en tant que membre du domaine.
- L'accès aux systèmes peut également se faire à partir de clients situés en dehors du réseau interne (p. ex. Internet). Les serveurs peuvent par exemple être placés dans une zone démilitarisée (DMZ).
Détails sur la classification du protocole de statut de certificat en ligne (Online Certificate Status Protocol, OCSP)
Le Online Responder (Online Certificate Status Protocol, OCSP) est une autre manière de fournir des informations sur le statut de révocation des certificats. Grâce à l'OCSP, les entités qui souhaitent vérifier le statut de révocation d'un certificat ne doivent pas télécharger la liste complète de tous les certificats révoqués, mais peuvent adresser une demande ciblée au répondeur en ligne pour le certificat concerné. Pour une description plus détaillée, voir l'article "Principes de base du répondeur en ligne (Online Certificate Status Protocol, OCSP)„ .
Les répondeurs en ligne (OCSP) sont clairement classés au niveau 1 pour les raisons suivantes :
- Le répondeur en ligne a normalement besoin d'un accès direct à l'autorité de certification, mais il ne dispose pas d'autorisations élevées. L'accès à l'autorité de certification peut également être totalement bloqué. Dans ce cas, le serveur ne doit pas nécessairement être installé en tant que membre du domaine.
- Accès, dans certaines circonstances, à des clients en dehors du réseau interne (par ex. Internet). Les serveurs peuvent par exemple être placés dans une zone démilitarisée (DMZ).
Détails sur la classification du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .
Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) doit être classé au niveau 0 pour les raisons suivantes :
- Nécessite les droits d'Enterprise Administrator pour l'installation des rôles (peut être contourné, voir l'article „Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator„ ).
- Le serveur doit être membre du domaine.
- Le serveur a un accès réseau direct à l'autorité de certification avec des droits pour demander des certificats.
- Le serveur possède un certificat d'agent d'enregistrement des certificats (Enrollment Agent) qui peut, dans certaines circonstances, être utilisé de manière abusive pour obtenir des certificats par l'intermédiaire d'un serveur de messagerie. Inscription à la demande de (EOBO) à demander.
Dans certaines circonstances, un déclassement au niveau 1 peut être effectué si les points suivants sont pris en compte :
- Le rôle est installé sans les droits d'administrateur d'entreprise (voir ci-dessus, mais n'est pas officiellement pris en charge par le fabricant).
- La connexion à la page web d'administration du serveur NDES se fait uniquement via Secure Sockets Layer (voir l'article „Activer le SSL (Secure Sockets Layer) pour le service d'enregistrement des périphériques réseau (NDES)„) est autorisé.
- Des certificats d'autorité d'enregistrement renforcés sont utilisés (voir l'article „Utiliser ses propres modèles de certificats d'autorité d'enregistrement (RA) pour le service d'enregistrement des périphériques réseau (NDES)„) Certificats et modèles de dispositifs (voir l'article „Configurer un modèle de périphérique pour le service d'enregistrement des périphériques réseau (NDES)„) est utilisé.
- Le serveur est relié à une autorité de certification qui présente un niveau de confiance suffisamment faible et dont la sécurité est renforcée en conséquence (voir l'article „Durcissement de la sécurité d'un organisme de certification„) est.
- L'autorité de certification associée n'est pas membre de NTAuthCertificates dans Active Directory.
- Les possibilités pour le contenu du certificat pouvant être demandé sont définies par Restrictions de nom de l'organisme de certification ou le Module TameMyCerts Policy pour l'autorité de certification limitée.
Détails sur la classification du service web de politique d'inscription des certificats (Certificate Enrollment Policy Web Service, CEP)
Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .
Le service web de politique d'inscription des certificats (Certificate Enrollment Policy Web Service, CEP) est classé au niveau 0 pour les raisons suivantes :
- L'installation des rôles nécessite des droits d'administrateur d'entreprise. Il n'existe pas non plus de solution de contournement pour cela.
- Doit être membre du domaine.
- (Nécessite aucun accès direct à l'autorité de certification)
Détails sur la classification du service web d'enregistrement des certificats (Certificate Enrollment Web Service, CES)
Le service web d'inscription des certificats (Certificate Enrollment Web Service, CES) est classé au niveau 0 pour les raisons suivantes :
- L'installation des rôles nécessite des droits d'administrateur d'entreprise. Il n'existe pas non plus de solution de contournement pour cela.
- Doit être membre du domaine.
- A un accès direct au réseau de l'autorité de certification.
- Nécessite une délégation Kerberos avec ou sans transition de protocole, selon la configuration (voir l'article „Présentation des paramètres de délégation possibles pour le service Web d'enregistrement de certificats (CES)„ ).
Détails sur la classification de l'inscription sur le web des autorités de certification (Certificate Authority Web Enrollment, CAWE)
Le Certificate Authority Web Enrollment (CAWE) est un site web qui permet aux demandeurs d'envoyer leurs demandes de certificat à une autorité de certification via une interface web. Il est donc particulièrement adapté à la soumission de demandes de certificat manuelles. Pour une description plus détaillée, voir l'article „Principes de base de l'inscription sur le web des autorités de certification (CAWE)„ .
L'enregistrement web des autorités de certification est une très vieille fonction datant de l'époque de Windows 2000 - et a été adaptée pour la dernière fois lors de la sortie de Windows Server 2003. Le code est donc ancien et potentiellement peu sûr. De même, la fonction pas de modèles de certificats avec la version 3 ou plus récente - les modèles de certificats qui utilisent des fonctions introduites avec Windows Vista / Windows Server 2008 ou plus récent ne sont donc pas utilisables. Il est recommandé de ne pas utiliser l'enregistrement web de l'autorité de certification et d'effectuer une demande de certificat par le biais des outils de bord ou de l'interface utilisateur. PSCertificateEnrollment module PowerShell.
Le Certificate Authority Web Enrollment (CAWE) est classé au niveau 0 pour les raisons suivantes :
- Doit être installé directement sur l'autorité de certification (non recommandé) ou nécessite une délégation Kerberos avec transition de protocole pour fonctionner correctement (voir l'article „Aperçu des paramètres de délégation possibles pour l'enregistrement Web de l'autorité de certification (CAWE)„ ).
- Doit être membre du domaine.
- A un accès direct au réseau de l'autorité de certification.
- Paramètres de délégation peuvent être utilisés pour attaquer l'autorité de certification..
Un déclassement dans le Tier-1 peut avoir lieu si seule l'authentification de base est utilisée et qu'aucune délégation Kerberos avec transition de protocole n'est donc nécessaire.
Liens complémentaires :
- Principes fondamentaux et analyse des risques Paramètres de délégation
- Règles de pare-feu requises pour Active Directory Certificate Services
- Installation d'une autorité de certification racine autonome (Standalone Root CA)
- Installation d'un Certificate Enrollment Web Service (CES)
- Installation d'un service web Certificate Enrollment Policy (CEP)
- Installer l'enregistrement web de l'autorité de certification (CAWE)
- Installer le service d'enregistrement des périphériques réseau (NDES) sans les droits d'Enterprise Administrator
Français 
Deutsch 
English
Les commentaires sont fermés.