Vous avez peut-être déjà entendu parler des problèmes sur Kerberos depuis l'installation des mises à jour du mois de novembre.

En effet des problèmes reconnus par Microsoft peuvent exister sur l'authentification Kerberos depuis l'application des mises à jour.

Il y aura pas mal de choses à dire sur les mises à jour du mois de novembre, vu qu'elle intègre deux évolutions progressives sur le protocole Kerberos et une sur Netlogon.

Nous avons déjà introduit l'administration par les rôles et entre autres les rôles d'administrateur et de gestionnaire de certificat.

Nous allons parler d'un rôle qui n'est pas forcément utile dans toutes les structures. L'agent d'inscriptions, souvent membre des équipes techniques est une personne pouvant créer des certificats pour d'autres utilisateurs.

Nous allons créer un groupe de domaine local, afin de gérer les autorisations. Il est recommandé d'utiliser le modèle AGDLP déjà évoqué dans les articles précédents.

Microsoft LAPS (Local Administrator Password Solution) est une solution permettant de gérer les mots de passe des comptes d'administrations locaux des machines membres de votre domaine.

L'utilisation de LAPS pour la gestion du compte administrateur local, peut être utile dans les scénarios suivants :

Les gestionnaires de certificats ont entre autres pour missions :

• Emettre, approuver ou refuser des certificats
• Révoquer des certificats émis

Il est recommandé d'affecter la permission d'émettre et de gérer les certificats à un groupe Active Directory et de gérer les membres du groupe en ajoutant les comptes autorisés.

Il est recommandé d'utiliser le modèle AGDLP.

Il est possible de créer plusieurs groupes différents de gestionnaire de certificats et de limiter les modèles de certificats gérés par chaque groupe.

Microsoft a annoncé la disponibilité de la version Windows10 22h2.

La nouvelle version de Windows 10 arrive un mois après la version Windows 11.

La mise à jour vers la version 22h2 de Windows est disponible pour les systèmes possédant une version 20h2 ou plus récente. Pour ces postes, la mise à jour s'installera comme une mise à jour mensuelle et l'installation devrait être rapide.

Vous trouverez des informations complémentaires sur la mise à jour et les éventuels problèmes signalés dans le lien suivant :

Au niveau des droits accès sur une autorité de certification, il existe quatre permissions :

• Lire
• Emettre et gérer des certificats
• Gérer l'autorité de certification
• Demander des certificats

   

Par défaut, les groupes d'administrations (« admins du domaine », « admins de l'entreprise » et « administrateurs ») disposent des permissions « émettre et gérer des certificats » ainsi que de « gérer l'autorité de certification ».

Les utilisateurs authentifiés disposent de la permission de demander un certificat.

Cette semaine, du 12 au 14 octobre 2022, aura lieu l'événement annuel destiné aux professionnels de l'IT.

Vous pouvez vous inscrire ou consulter plus d'information sur le site : https://ignite.microsoft.com/fr-FR/home/France?wt.mc_ID=ignite2022_az_fld_fr_bn_pd_SEA_sea_frm13 .

Il y a quelques années, Microsoft proposait une solution de serveur MFA pour les annuaires Active Directory sur site. L'installation du serveur Azure MFA sur site nécessité la mise en place d'une architecture assez complexe.

A partir de 1^er juillet 2019, cette option n'était plus disponible pour les clients qui ne l'avaient pas encore installé. A partir de cette date, les clients qui le souhaitaient doivent utiliser Azure AD MFA basé sur le cloud.

Les clients ayant déjà mis en place peuvent continuer à utiliser la solution.

Ou sont stocké les informations de l'autorité de certification d'entreprise dans Active Directory ?

Dans une autorité de certification d'entreprise, intégré aux services de domaine Active Directory, il existe un certain nombre d'informations enregistré dans l'annuaire.

Parmi ses éléments, nous retrouvons entre autres :

Pour rappel, si vous utilisez encore une ancienne version d'Azure AD Connect 1.0, elle sera mise hors service au 31/08/2022.

https://docs.microsoft.com/fr-fr/azure/active-directory/hybrid/reference-connect-version-history

Il est temps de mettre à jour l'outil de synchronisation des comptes.

Dans un domaine Active Directory les comptes membres du groupe « admins du domaine » ou « administrateurs de l'entreprise » peuvent ajouter un ordinateur à un domaine.

Il est possible de déléguer l'autorisation de joindre un ordinateur au domaine à des personnes ou des groupes. Pour ce faire il faut autoriser le groupe ou l'utilisateur à créer des objets ordinateurs dans le domaine.

L'inscription automatique de certificat permet de générer des certificats utilisateurs ou ordinateurs dans le magasin personnel du demandeur sans qu'une personne n'en fasse spécifiquement une demande.

L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégrée à Active Directory.

Pour diffuser des certificats automatiquement, il faut :

Microsoft a annoncé la disponibilité générale de l'option de laissez-passer d'accès temporaire (TAP) , en tant que méthode d'authentification supplémentaire.

TAP est un mot de passe limité dans le temps qui permet aux utilisateurs d'enregistrer des méthodes d'authentification sans mot de passe.

L'option est activable dans les méthodes d'authentification.

Le TAP est également une solution permettant de donner un accès temporaire à un compte, si l'utilisateur a oublié ou perdu son moyen d'authentification comme une clé Fido2.

Selon votre politique d'émission de certificat, il peut être intéressant de mettre en place un processus d'approbation avant de délivrer un certificat. La demande d'approbation est une option définit au niveau du modèle de certificat. Une autorité peut donc émettre certains certificats sans approbation alors que d'autres modèles l'exigent. L'approbation doit être réalisée par une personne ayant les permissions de gestion des certificats sur AD CS.

OpenSSL est un outil pratique permettant de créer des demandes et de manipuler des certificats. Il est largement utilisé dans les environnements Linux/ Apache, mais il est également possible de l'installer sur Windows.

Dans cet exemple, nous allons extraire la clé privée et le certificat d'un fichier #PKCS12 avec une extension .pfx.

La première commande avec l'option « -nokeys » permet d'exclure la clé privée de la ligne d'export.