Étiquette : Identifiant de sécurité (SID)

Nouvelle faille de sécurité ESC15 découverte dans Active Directory Certificate Services - contre-mesures faciles à mettre en œuvre

Les extensions de certificat "Key Usage" et "Extended Key Usage" permettent de déterminer à quelles fins un certificat numérique peut être utilisé. Dans l'extension de certificat "Extended Key Usage", les des utilisations de clés étendues pour lesquels le certificat peut être utilisé.

Il existe toutefois, pour les certificats émis par une autorité de certification Microsoft, une autre extension de certificat appelée "Application Policies" (en anglais : "Politiques d'application"), qui contient également une liste très similaire à l'extension Extended Key Usages.

Justin Bollinger de TrustedSec a découvert queque, pour les demandes de certificats hors ligne, il est contre Modèles de certificats de la version 1 du schéma est possible (comme pour la Extension Security Identifier), n'importe quel Politiques d'application dans la demande de certificat, qui sont reprises telles quelles dans le certificat délivré et peuvent ensuite être utilisées pour attaquer la structure globale d'Active Directory. L'attaque a été baptisée ESC15.

Continuer la lecture de « Neue Sicherheitslücke ESC15 in Active Directory Certificate Services entdeckt – einfach umzusetzende Gegenmaßnahmen »

Les connexions via le serveur de stratégie réseau (NPS) échouent avec la raison suivante : "Authentication failed due to a user credentials mismatch. Soit le nom d'utilisateur fourni ne correspond pas à un compte utilisateur existant, soit le mot de passe était incorrect".

Supposons le scénario suivant :

  • Une connexion basée sur un certificat est effectuée avec des comptes d'utilisateur ou d'ordinateur pour les connecter à un réseau sans fil (IEEE 802.11 ou Wireless LAN) ou câblé (IEEE 802.3), ou une connexion d'accès à distance (par ex. DirectAccess, Routing and Remote Access (RAS), VPN toujours en ligne).
  • L'entreprise utilise comme serveur d'authentification, d'autorisation et de comptabilité (AAA) le Serveur de politiques de réseau (en anglais Network Policy Server NPS) de Microsoft.
  • La connexion au réseau n'est plus possible.
  • Le serveur de stratégie réseau consigne l'événement suivant lorsqu'une tentative de connexion est effectuée :
Network Policy Server denied access to a user. [...] Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.
Der Netzwerkrichtlinienserver hat einem Benutzer den Zugriff verweigert. [...] Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.
Continuer la lecture de « Anmeldungen über den Netzwerkrichtlinienserver (engl. Network Policy Server, NPS) scheitern mit Grund „Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.“ »

Détails de l'événement avec ID 39 de la source Microsoft-Windows-Kerberos-Key-Distribution-Center

Source de l'événement :Centre de distribution de clés Microsoft-Windows-Kerberos
ID de l'événement :39 (0x80000027)
Journal des événements :Système
Type d'événement :Avertissement ou erreur
Texte de l'événement (en anglais) :Le Centre de distribution de clés (KDC, Key Distribution Center) a rencontré un certificat d'utilisateur qui était valide mais qui ne pouvait pas être mappé à un utilisateur de manière sécurisée (par exemple via une cartographie explicite, une cartographie de confiance de clé ou un SID). De tels certificats devraient être soit remplacés, soit mappés directement à l'utilisateur via explicit mapping. Voir https://go.microsoft.com/fwlink/?linkid=2189925 pour en savoir plus. User : %1 Certificate Subject : %2 Certificate Issuer : %3 Certificate Serial Number : %4 Certificate Thumbprint : %5
Texte de l'événement (en allemand) :Le Centre de distribution de clés (KDC, Key Distribution Center) a trouvé un certificat utilisateur valide mais qui n'a pas pu être associé à un utilisateur de manière sécurisée (par exemple, via une association explicite, une association de confiance de clé ou un SID). De tels certificats doivent être soit remplacés, soit attribués directement à l'utilisateur via une attribution explicite. Pour plus d'informations, consultez le site https://go.microsoft.com/fwlink/?linkid=2189925. Utilisateur : %1 Demandeur de certificat : %2 Émetteur du certificat : %3 Numéro de série du certificat : %4 Empreinte du certificat : %5
Continuer la lecture de « Details zum Ereignis mit ID 39 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center »

Un module de politique pour les apprivoiser : Présentation du module de politique TameMyCerts pour Microsoft Active Directory Certificate Services

En tant qu'exploitant d'un organisme de certification il est responsable (entre autres) de l'identification des demandeurs et de la confirmation des identités demandées. Le fait que cette tâche soit effectuée consciencieusement et sans erreur est le pilier central de la confiance accordée à l'organisme de certification. Des entreprises renommées sont a déjà échoué dans cette tâche, ont même dû déposer le bilan à la suite de fausses expositions et/ou ont été remplacés par les grands acteurs du marché sensible punit.

Dans de nombreux cas, en tant qu'opérateurs PKI (Microsoft) dans les entreprises (indépendamment de la qualité qui en découle), nous sommes en mesure de déléguer notre tâche d'identification unique d'un demandeur à l'Active Directory. Mais dans de nombreux cas, nous devons malheureusement aussi demander à notre/nos autorité(s) de certification de délivrer simplement tout ce qui est demandé.

Continuer la lecture de « Ein Policy Modul, um sie zu bändigen: Vorstellung des TameMyCerts Policy Moduls für Microsoft Active Directory Certificate Services »

Modifications apportées à l'émission de certificats et à l'ouverture de session basée sur des certificats dans Active Directory par le correctif pour Windows Server du 10 mai 2022 (KB5014754)

Avec le correctif du 10 mai 2022, Microsoft tente de combler une faille de sécurité dans le Active Directory dans laquelle l'inscription basée sur un certificat (généralement connue sous le nom de PKINIT ou encore de Connexion par carte à puce).

La mise à jour modifie à la fois le comportement Autorité de certification que le comportement d'Active Directory lors du traitement des inscriptions basées sur des certificats.

Continuer la lecture de « Änderungen an der Zertifikatausstellung und an der zertifikatbasierten Anmeldung am Active Directory mit dem Patch für Windows Server vom 10. Mai 2022 (KB5014754) »

Sur l'option "Build this from Active Directory information" pour les modèles de certificats

Lors de la configuration d'un modèle de certificat, il faut décider du contenu prévu du certificat, c'est-à-dire, entre autres, quelles identités seront confirmées par les certificats et comment ceux-ci seront représentés.

L'onglet "Subject Name" de la boîte de dialogue de configuration des modèles de certificats permet de configurer la manière dont l'identité confirmée par le certificat est représentée.

Continuer la lecture de « Zur Option „Build this from Active Directory information“ bei Zertifikatvorlagen »

Détails de l'événement ID 4889 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4889 (0x1319)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Certificate Services set the status of a certificate request to pending. Request ID: %1 Requester: %2 Attributes: %3 Disposition: %4 SKI: %5 Subject: %6
Texte de l'événement (en allemand) :Die Zertifikatdienste haben den Status einer Zertifikatanforderung als „anstehend“ festgelegt. Anforderungs-ID: %1 Antragsteller: %2 Attribute: %3 Disposition: %4 SKI: %5 Betreff: %6
Continuer la lecture de « Details zum Ereignis mit ID 4889 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement avec ID 4887 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4887 (0x1317)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Certificate Services a approuvé une demande de certificat et a délivré un certificat. Request ID : %1 Requérant : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6
Texte de l'événement (en allemand) :Les services de certification ont approuvé une demande de certificat et délivré un certificat. ID de la demande : %1 Demandeur : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6
Continuer la lecture de « Details zum Ereignis mit ID 4887 der Quelle Microsoft-Windows-Security-Auditing »

Détails de l'événement ID 4888 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4888 (0x1318)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Les services de certification ont refusé une demande de certificat. Request ID : %1 Requérant : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6
Texte de l'événement (en allemand) :Les services de certification ont refusé une demande de certificat. ID de la demande : %1 Demandeur : %2 Attributs : %3 Disposition : %4 SKI : %5 Objet : %6
Continuer la lecture de « Details zum Ereignis mit ID 4888 der Quelle Microsoft-Windows-Security-Auditing »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais