[AD CS] Agent d’inscription

 

Nous avons déjà introduit l'administration par les rôles et entre autres les rôles d'administrateur et de gestionnaire de certificat.

Nous allons parler d'un rôle qui n'est pas forcément utile dans toutes les structures. L'agent d'inscriptions, souvent membre des équipes techniques est une personne pouvant créer des certificats pour d'autres utilisateurs.

Nous allons créer un groupe de domaine local, afin de gérer les autorisations. Il est recommandé d'utiliser le modèle AGDLP déjà évoqué dans les articles précédents.

[AD CS] Activation de la séparation des rôles

L'administrateur d'une autorité de certification AD CS, peut affecter des rôles aux utilisateurs. Un utilisateur pourrait avoir plusieurs rôles au sein AD CS. Il est recommandé de séparer les rôles. Il est également possible d'activer la séparation des rôles aux niveaux de l'autorité de certification.

Avant d'activer la séparation des rôles, chaque utilisateur ne doit disposer que d'un seul rôle. Un utilisateur qui dispose de plusieurs rôles pourrait être bloqué dans ses tâches d'administrations.

 

[NEWS] Evolution en preview de LAPS

Microsoft LAPS (Local Administrator Password Solution) est une solution permettant de gérer les mots de passe des comptes d'administrations locaux des machines membres de votre domaine.

L'utilisation de LAPS pour la gestion du compte administrateur local, peut être utile dans les scénarios suivants :

[News] Windows mise à jour d’octobre

 

Microsoft a renforcé la sécurité lors de la jonction d'un ordinateur au domaine dans les mises à jour d'octobre.

Cette modification peut entraîner des erreurs. Les opérations de jointure de domaine peuvent échouer si le compte de l'ordinateur existe déjà, créant une erreur "0xaac (2732): NERR_AccountReuseBlockedByPolicy". L'erreur indique qu'un compte portant le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité, si un compte du même nom existe déjà dans l'annuaire.

{AD CS] Rôle gestionnaire de certificat

 

Les gestionnaires de certificats ont entre autres pour missions :

  • Emettre, approuver ou refuser des certificats
  • Révoquer des certificats émis

Il est recommandé d'affecter la permission d'émettre et de gérer les certificats à un groupe Active Directory et de gérer les membres du groupe en ajoutant les comptes autorisés.

Il est recommandé d'utiliser le modèle AGDLP.

Il est possible de créer plusieurs groupes différents de gestionnaire de certificats et de limiter les modèles de certificats gérés par chaque groupe.

[AD CS] Exemple de rôle administrateurs PKI

 

Les administrateurs de la PKI ont par exemple pour mission :

- l'installation de l'autorité de certification 

- arrêter et démarrer les services de l'autorité    

- Configurer les extensions (publication de la CRL) et les paramètres de l'autorité

- renouveler le certificat de l'autorité

- gérer les rôles et les permissions

 

Les administrateurs de la PKI doivent pour cela disposer d'autorisation :

- Sur les conteneurs Active Directory dans la partie configuration, s'il s'agit d'une autorité de certification d'entreprise.

[News] Disponibilité de Windows 10 22h2

 

Microsoft a annoncé la disponibilité de la version Windows10 22h2.

La nouvelle version de Windows 10 arrive un mois après la version Windows 11.

La mise à jour vers la version 22h2 de Windows est disponible pour les systèmes possédant une version 20h2 ou plus récente. Pour ces postes, la mise à jour s'installera comme une mise à jour mensuelle et l'installation devrait être rapide.

Vous trouverez des informations complémentaires sur la mise à jour et les éventuels problèmes signalés dans le lien suivant :

[AD CS] Gérer les permissions sur les modèles de certificats

 

Sur chaque modèle de certificat, il est possible de définir des permissions spécifiques pour des utilisateurs, ordinateurs ou des groupes. Il est préférable d'utiliser des groupes et de gérer les membres.

Pour qu'un utilisateur ou un ordinateur puisse obtenir un certificat, il lui faut la permission d' « inscrire ».

[AD CS] Permissions sur l’autorité de certification AD CS

Au niveau des droits accès sur une autorité de certification, il existe quatre permissions :

  • Lire
  • Emettre et gérer des certificats
  • Gérer l'autorité de certification
  • Demander des certificats

     

Par défaut, les groupes d'administrations (« admins du domaine », « admins de l'entreprise » et « administrateurs ») disposent des permissions « émettre et gérer des certificats » ainsi que de « gérer l'autorité de certification ».

Les utilisateurs authentifiés disposent de la permission de demander un certificat.

[AD CS] Administration basée sur les rôles

L'administration basée sur les rôles permet de séparer les actions qu'un administrateur peut faire sur l'autorité de certification. En séparant les rôles, les erreurs ou les actes malveillants deviennent plus rares et plus complexes.

Les comptes d'administrations des autorités de certification ne devraient pas être membre du groupe « admins du domaine », « administrateur de l'entreprise », « administrateur de schéma ».

[Microsoft Entra] Evolutions et services dépréciés

 

Au mois de mars, Microsoft avait annoncé la modification des cycles des annonces des nouveautés (4 * par an : en mars, juin, septembre et novembre) et des services en fin de vie (2* par an, en mars et septembre).

 

Parmi les services en fin de vie annoncés au 30/09, il y a l'utilisation du serveur MFA sur site. Depuis le 1er juillet 2019, cette option n'est plus disponible pour les entreprises qui ne l'ont pas déployé. La solution a été remplacée par les services MFA basé sur le cloud.

[Active Directory] Migration Serveur MFA On Premise vers Azure MFA Cloud

Il y a quelques années, Microsoft proposait une solution de serveur MFA pour les annuaires Active Directory sur site. L'installation du serveur Azure MFA sur site nécessité la mise en place d'une architecture assez complexe.

A partir de 1er juillet 2019, cette option n'était plus disponible pour les clients qui ne l'avaient pas encore installé. A partir de cette date, les clients qui le souhaitaient doivent utiliser Azure AD MFA basé sur le cloud.

Les clients ayant déjà mis en place peuvent continuer à utiliser la solution.

[News Azure AD B2C] Disponibilité de l’authentification TOTP

 

Microsoft a mis à disposition une nouvelle méthode d'authentification pour l'authentification multi-facteur dans Azure Active Directory B2C.

Azure Active Directory vous permet de gérer l'accès aux utilisateurs de vos applications. Il propose d'utiliser des méthodes d'authentification multi-facteurs (MFA).

[AD CS] Informations publiées dans le domaine AD

Ou sont stocké les informations de l'autorité de certification d'entreprise dans Active Directory ?

 

Dans une autorité de certification d'entreprise, intégré aux services de domaine Active Directory, il existe un certain nombre d'informations enregistré dans l'annuaire.

Parmi ses éléments, nous retrouvons entre autres :

[ADCS] Sécurités et rôles

 

La gestion des permissions sur un environnement AD CS est un élément crucial. L'utilisation d'un produit comme AD CS commence souvent par le besoin de répondre à une exigence applicative d'utilisation de certificat, comme un certificat pour un serveur Web.

Un certificat peut permettre l'authentification d'un client, la sécurité apportée à son utilisation a le même niveau d'importance que celle apporté à votre annuaire Active Directory et à vos protocoles d'authentification.

[Azure AD] Azure AD Connect 1.x, il est temps de migrer

Pour rappel, si vous utilisez encore une ancienne version d'Azure AD Connect 1.0, elle sera mise hors service au 31/08/2022.

https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/reference-connect-version-history

Il est temps de mettre à jour l'outil de synchronisation des comptes.

[Active Directory] Qui peut ajouter un ordinateur à un domaine ?

Dans un domaine Active Directory les comptes membres du groupe « admins du domaine » ou « administrateurs de l'entreprise » peuvent ajouter un ordinateur à un domaine.

Il est possible de déléguer l'autorisation de joindre un ordinateur au domaine à des personnes ou des groupes. Pour ce faire il faut autoriser le groupe ou l'utilisateur à créer des objets ordinateurs dans le domaine.

[AD CS] Certificat et auto-inscription

 

L'inscription automatique de certificat permet de générer des certificats utilisateurs ou ordinateurs dans le magasin personnel du demandeur sans qu'une personne n'en fasse spécifiquement une demande.

L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégrée à Active Directory.

Pour diffuser des certificats automatiquement, il faut :

[Azure AD] mot de passe d’accès temporaire (TAP)

Microsoft a annoncé la disponibilité générale de l'option de laissez-passer d'accès temporaire (TAP) , en tant que méthode d'authentification supplémentaire.

TAP est un mot de passe limité dans le temps qui permet aux utilisateurs d'enregistrer des méthodes d'authentification sans mot de passe.

L'option est activable dans les méthodes d'authentification.

Le TAP est également une solution permettant de donner un accès temporaire à un compte, si l'utilisateur a oublié ou perdu son moyen d'authentification comme une clé Fido2.

[Azure AD News] Paramètre de sécurité par défaut

En octobre 2019, Microsoft avait décidé de mettre à disposition pour les nouveaux clients des règles afin de renforcer la sécurité par défaut.

 

Microsoft a publié un article, il y a un mois environ sur l'activation dans les prochaines semaines des paramètres de sécurité par défaut pour les tenants datant d'avant octobre 2019.

Dans ce cas, l'administrateur général reçoit (ou a reçu) un courriel de notification. Il dispose de 14 jours avant l'activation automatique des paramètres.

[AD CS] Approuver ou refuser un certificat

 

Selon votre politique d'émission de certificat, il peut être intéressant de mettre en place un processus d'approbation avant de délivrer un certificat. La demande d'approbation est une option définit au niveau du modèle de certificat. Une autorité peut donc émettre certains certificats sans approbation alors que d'autres modèles l'exigent. L'approbation doit être réalisée par une personne ayant les permissions de gestion des certificats sur AD CS.

[AD CS] Révoquer un certificat

 

La révocation d'un certificat consiste à ajouter le numéro de série d'un certificat dans une liste de révocation qui est publié et disponible aux différents systèmes qui ont besoin de vérifier la validité du certificat. Un certificat révoqué ne devrait donc plus être utilisable si l'application gère la consultation des listes de révocations ou si elle interroge un répondeur OCSP.

Il existe des situations dans lesquelles le certificat doit être révoqué. La liste suivante, non-exhaustive illustre des motifs devant entraîner la révocation d'un certificat :

[AD CS] Extraire information #PKCS12 (.pfx) avec OpenSSL

 

OpenSSL est un outil pratique permettant de créer des demandes et de manipuler des certificats. Il est largement utilisé dans les environnements Linux/ Apache, mais il est également possible de l'installer sur Windows.

Dans cet exemple, nous allons extraire la clé privée et le certificat d'un fichier #PKCS12 avec une extension .pfx.

La première commande avec l'option « -nokeys » permet d'exclure la clé privée de la ligne d'export. 

 

[AD CS] Demander un certificat avec OpenSSL sur Windows

OpenSSL est un outil très utilisé sous Linux ou Apache qui permet de manipuler des certificats et générer des clés et de demande de certificat.

Nous verrons dans cet exemple l'utilisation d' OpenSSL afin de générer une demande de certificat ainsi que la clé privée correspondante.

Vous avez également la possibilité d'installer les outils OpenSSL sur votre poste de travail Windows sans disposer d'un serveur Apache.

https://www.tbs-certificats.com/FAQ/fr/openssl-windows.html

[AD CS] Exporter des certificats : les différents types de fichiers

Il est possible d'exporter un certificat depuis l'autorité de certification sans la clé privée. La clé privée n'est pas enregistrée dans la base de données de l'autorité de certification. Sous Windows, elle est enregistrée avec le certificat dans le magasin personnel du compte utilisateur ou ordinateur dans la session.

Si vous exportez le certificat sans la clé privée, vous pouvez le transmettre à n'importe qui sans corrompre votre environnement.

Selon les paramètres du modèle de certificat utilisé, la clé privée peut être enregistrée comme non-exportable.

Pages

S'abonner à Philippe BARTH RSS