Étiquette : Windows Hello for Business

Erreur de connexion avec Windows Hello for Business : "Contactez l'administrateur système et dites-lui que le certificat KDC n'a pas pu être vérifié".

Supposons le scénario suivant :

  • L'entreprise utilise Windows Hello for Business.
  • Les utilisateurs reçoivent le message d'erreur suivant lorsqu'ils se connectent au client :
Sign-in failed. Contact your system administrator and tell them that the KDC certificate could not be validated. Additional information may be available in the system event log.
Continuer la lecture de « Anmeldefehler mit Windows Hello for Business: „Wenden Sie sich an den Systemadministrator, und teilen Sie ihm mit, dass das KDC-Zertifikat nicht überprüft werden konnte.“ »

Principes de base : fournisseur de services cryptographiques (CSP) et fournisseur de stockage de clés (KSP)

Seit Windows NT 4.0 gibt es im Rahmen der CryptoAPI die Cryptographic Service Provider (CSP).

Sinn ist, dass sich eine Anwendung nicht um die konkrete Implementierung der Schlüsselverwaltung kümmern muss, sondern dies generischen Betriebssystem-Schnittstellen überlassen kann. Ebenso soll hiermit vermieden werden, dass kryptographische Schlüssel im Sicherheitskontext des Benutzers/der verwendeten Anwendung in den Arbeitsspeicher geladen werden (ein fataler Sicherheitsvorfall, der genau auf diesem Problem basierte war der Heartbleed Vorfall).

Beispielsweise spielt es für die Zertifizierungsstellen-Software technisch keine Rolle, wie ihr privater Schlüssel geschützt ist – ob in Software oder beispielsweise mit einem Hardware Security Modul (HSM). Der Aufruf des privaten Schlüssel ist für die Zertifizierungsstelle immer identisch.

Mit Windows Vista und der Einführung der Cryptography Next Generation (CNG) als Ablösung für die CryptoAPI wurden die Key Storage Provider (KSP) eingeführt.

Continuer la lecture de « Grundlagen: Cryptographic Service Provider (CSP) und Key Storage Provider (KSP) »

Détails de l'événement avec ID 4899 de la source Microsoft Windows Security Auditing

Source de l'événement :Audit de sécurité de Microsoft Windows
ID de l'événement :4899 (0x1323)
Journal des événements :Sécurité
Type d'événement :Information
Texte de l'événement (en anglais) :Un modèle de services de certificats a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Template Change Information : Old Template Content : %8 New Template Content : %7 Additional Information : Domain Controller : %6
Texte de l'événement (en allemand) :Le modèle de service de certificat a été mis à jour. %1 v%2 (schéma V%3) %4 %5 Informations sur le modèle : Contenu du modèle : %7 Description de la sécurité : %8 Informations supplémentaires : Contrôleur de domaine : %6
Continuer la lecture de « Details zum Ereignis mit ID 4899 der Quelle Microsoft-Windows-Security-Auditing »

Smartcard Anmeldung im Netzwerk unterbinden

Installiert man die Active Directory Zertifikatdienste in der Standard-Konfiguration, wird die Umgebung automatisch dafür konfiguriert, dass Smartcard-Anmeldungen von den Domänencontrollern akzeptiert werden.

Wenn die Verwendung von Smartcard Anmeldungen nicht gewünscht ist, ist es daher sinnvoll, die Funktionalität abzustellen, um im Falle der Kompromittierung der Zertifizierungsstelle das Active Directory nicht zu gefährden.

Continuer la lecture de « Smartcard Anmeldung im Netzwerk unterbinden »

Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern

Eine neue Funktion von Windows Server 2016 ist, dass die Passwörter für Konten, die eine reine Anmeldung mit Smartcards erfordern, gemäß den Passwortlichtlinien automatisch erneuert werden.

Wird die Option „Smart card is required for interactive logon“ für ein Benutzerkonto aktiviert, wird das Kennwort des Benutzerkontos einmalig auf einen zufälligen Wert gesetzt. Das Passwort ändert sich jedoch anschließend nie mehr, was das Konto anfälliger für Pass-the-Hash Angriffe macht.

Die neu eingeführte Funktion löst dieses Problem, indem für entsprechende Konten regelmäßig (in Abhängigkeit der für das Konto konfigurierten Passwortrichtlinie) neue zufallsgenerierte Passwörter erzeugt werden.

Continuer la lecture de « Automatisches Ändern der Passwörter für Konten, die eine Anmeldung via Smartcard oder Windows Hello for Business erfordern »

Modifier l'objet NTAuthCertificates dans Active Directory

Dans la configuration standard, tous les certificats d'autorité de certification des autorités de certification intégrées dans Active Directory (Enterprise Certification Authority) se trouvent dans un objet de type CertificationAuthority appelé NTAuthCertificates au sein de la partition Configuration de l'arborescence globale d'Active Directory.

Continuer la lecture de « Bearbeiten des NTAuthCertificates Objektes im Active Directory »

Demande manuelle de certificat de contrôleur de domaine

Dans certains cas, il n'est pas possible ou souhaitable d'obtenir des certificats de contrôleur de domaine auprès d'une autorité de certification de sa propre structure globale Active Directory.

Dans ce cas, l'utilisation de modèles de certificats n'est pas possible et il faut créer manuellement une demande de certificat (Certificate Signing Request, CSR).

Continuer la lecture de « Manuelle Beantragung eines Domänencontroller-Zertifikats »
fr_FRFrançais
de_DEDeutsch en_USEnglish fr_FRFrançais