Nous avons vu comment mettre en place des certificats pour les connexions LDAP sécurisées SSL ou StartTLS dans le magasin de certificat du compte de l'ordinateur du contrôleur de domaine.

La solution est généralement suffisante, mais il peut arriver que vos contrôleurs de domaine disposent de plusieurs certificats qui répondent au besoin des connexions LDAP sécurisées pour des usages différents.

Nous avons vu dans la première partie, comment activer les audits afin de rechercher les connexions LDAP non sécurisées sur le port 389(ou 3268 pour le catalogue global).

Lorsque vous avez détecté et corrigé les connexions non sécurisées, vous pouvez activer des paramètres pour les postes clients Windows et pour les contrôleurs de domaine afin d'exiger la signature. Cela supprime les authentifications simples et SASL non signé.

Il est recommandé de configurer les clients avant la mise en œuvre du paramètre sur les contrôleurs de domaine.

Microsoft a prévu de renforcer la sécurité du protocole Kerberos et de Netlogon dans les prochains mois.

Microsoft SCT pour Security & Compliance Toolkit est un outil qui permet d'analyser, d'exporter ou d'importer des paramètres de configuration notamment concernant la sécurité.

L'administrateur d'une autorité de certification AD CS, peut affecter des rôles aux utilisateurs. Un utilisateur pourrait avoir plusieurs rôles au sein AD CS. Il est recommandé de séparer les rôles. Il est également possible d'activer la séparation des rôles aux niveaux de l'autorité de certification.

Avant d'activer la séparation des rôles, chaque utilisateur ne doit disposer que d'un seul rôle. Un utilisateur qui dispose de plusieurs rôles pourrait être bloqué dans ses tâches d'administrations.

Microsoft a renforcé la sécurité lors de la jonction d'un ordinateur au domaine dans les mises à jour d'octobre.

Cette modification peut entraîner des erreurs. Les opérations de jointure de domaine peuvent échouer si le compte de l'ordinateur existe déjà, créant une erreur "0xaac (2732): NERR_AccountReuseBlockedByPolicy". L'erreur indique qu'un compte portant le même nom existe dans Active Directory. La réutilisation du compte a été bloquée par la politique de sécurité, si un compte du même nom existe déjà dans l'annuaire.

Les administrateurs de la PKI ont par exemple pour mission :

- l'installation de l'autorité de certification 

- arrêter et démarrer les services de l'autorité    

- Configurer les extensions (publication de la CRL) et les paramètres de l'autorité

- renouveler le certificat de l'autorité

- gérer les rôles et les permissions

Les administrateurs de la PKI doivent pour cela disposer d'autorisation :

- Sur les conteneurs Active Directory dans la partie configuration, s'il s'agit d'une autorité de certification d'entreprise.

Sur chaque modèle de certificat, il est possible de définir des permissions spécifiques pour des utilisateurs, ordinateurs ou des groupes. Il est préférable d'utiliser des groupes et de gérer les membres.

Pour qu'un utilisateur ou un ordinateur puisse obtenir un certificat, il lui faut la permission d' « inscrire ».

L'administration basée sur les rôles permet de séparer les actions qu'un administrateur peut faire sur l'autorité de certification. En séparant les rôles, les erreurs ou les actes malveillants deviennent plus rares et plus complexes.

Les comptes d'administrations des autorités de certification ne devraient pas être membre du groupe « admins du domaine », « administrateur de l'entreprise », « administrateur de schéma ».

Au mois de mars, Microsoft avait annoncé la modification des cycles des annonces des nouveautés (4 * par an : en mars, juin, septembre et novembre) et des services en fin de vie (2* par an, en mars et septembre).

Parmi les services en fin de vie annoncés au 30/09, il y a l'utilisation du serveur MFA sur site. Depuis le 1^er juillet 2019, cette option n'est plus disponible pour les entreprises qui ne l'ont pas déployé. La solution a été remplacée par les services MFA basé sur le cloud.

Microsoft a mis à disposition une nouvelle méthode d'authentification pour l'authentification multi-facteur dans Azure Active Directory B2C.

Azure Active Directory vous permet de gérer l'accès aux utilisateurs de vos applications. Il propose d'utiliser des méthodes d'authentification multi-facteurs (MFA).

La gestion des permissions sur un environnement AD CS est un élément crucial. L'utilisation d'un produit comme AD CS commence souvent par le besoin de répondre à une exigence applicative d'utilisation de certificat, comme un certificat pour un serveur Web.

Un certificat peut permettre l'authentification d'un client, la sécurité apportée à son utilisation a le même niveau d'importance que celle apporté à votre annuaire Active Directory et à vos protocoles d'authentification.

Dans l'actualité Microsoft depuis quelques mois l'évolution des services d'identités avec un nouveau nom, Microsoft Entra et une nouvelle interface d'administration :

https://entra.microsoft.com/#home

Microsoft Entra comprend :

L'inscription automatique de certificat permet de générer des certificats utilisateurs ou ordinateurs dans le magasin personnel du demandeur sans qu'une personne n'en fasse spécifiquement une demande.

L'utilisation de l'inscription automatique n'est valable que pour une autorité de certification d'entreprise donc intégrée à Active Directory.

Pour diffuser des certificats automatiquement, il faut :

Microsoft a annoncé la disponibilité générale de l'option de laissez-passer d'accès temporaire (TAP) , en tant que méthode d'authentification supplémentaire.

TAP est un mot de passe limité dans le temps qui permet aux utilisateurs d'enregistrer des méthodes d'authentification sans mot de passe.

L'option est activable dans les méthodes d'authentification.

Le TAP est également une solution permettant de donner un accès temporaire à un compte, si l'utilisateur a oublié ou perdu son moyen d'authentification comme une clé Fido2.