Dans le cadre des mesures de renforcement de la sécurité contre le service d'annuaire Active Directory, on se demande souvent pourquoi les autorités de certification intégrées à Active Directory (Enterprise Certification Authority) sont membres du groupe de sécurité Pre-Windows 2000 Compatible Access.
Lors de l'installation d'une autorité de certification intégrée à Active Directory, l'objet informatique du serveur sur lequel l'autorité de certification est installée est automatiquement inscrit comme membre de ce groupe par la routine d'installation, si l'utilisateur qui installe l'autorité de certification y est autorisé.
Quel est le problème ?
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le groupe de sécurité Pre-Windows 2000 Compatible Access permet à ses membres d'accéder en lecture à tous les objets de l'utilisateur et de l'ordinateur. Cela pourrait fournir à un attaquant de précieuses informations sur le réseau de l'entreprise.
Le groupe d'accès compatible pré-Windows 2000 est utilisé pour la compatibilité en amont des ordinateurs fonctionnant sous Microsoft Windows NT 4.0 et antérieurs. Les membres de ce groupe ont accès en lecture à tous les utilisateurs et groupes du domaine.
https://support.microsoft.com/en-us/help/325363/how-to-add-users-to-the-pre-windows-2000-compatible-access-group-in-wi
Pourquoi les organismes de certification sont-ils membres de ce groupe ?
Dans la mesure où l'on utilise la fonction des gestionnaires de certificats restreints, les autorités de certification doivent être membres de ce groupe.
Si une AC est en cours d'exécution sur un serveur membre et que la propriété Restrict certificate manager est activée, le serveur membre doit alors être ajouté au groupe intégré Pre-Windows 2000 Compatible Access de chaque domaine duquel il recevra des demandes de certificat. Une fois ajouté à ces groupes, l'administrateur de l'AC est autorisé à émettre un certificat pour les sujets de ces domaines.
http://technet.microsoft.com/en-us/library/cc773190(v=ws.10).aspx
Puis-je supprimer sans risque les autorités de certification du groupe et cela est-il utile ?
Si la fonction des gestionnaires de certificats restreints n'est pas utilisée, les autorités de certification peuvent être supprimées sans risque du groupe de sécurité Pre-Windows 2000 Compatible Access.
D'autre part, les autorités de certification sont de toute façon des systèmes de sécurité critiques hautement privilégiés qui appartiennent à la couche administrative 0 (Tier-0). On aurait donc des problèmes plus graves si l'autorité de certification devait être compromise.
Liens complémentaires :
Sources externes
- Configurer les restrictions du gestionnaire de certificats (Microsoft)
- Certaines applications et API nécessitent l'accès à des informations d'autorisation sur des objets de compte (Mirosoft)
- Les risques de l'accès de compatibilité pré-Windows 2000 (Guido Grillenmeier, Semperis)
Français 
Deutsch 
English
Les commentaires sont fermés.