PKI sous Windows Server 2016 Sécurité, cryptographie et certificats

Transcription

1 Introduction 1. Avant-propos Objectif du livre Pourquoi un livre sur la PKI Microsoft? Préparation aux certifications Microsoft Approche pratique Conditions requises Public visé Connaissances préalables Organisation de l'ouvrage Les chapitres du livre Détails des chapitres L'auteur 23 Plateforme de test 1. Introduction Prérequis ordinateur physique Sources d'installation Accès aux sources d'installation Activation des sources d'installation Raccourcis-clavier essentiels 29 1/15

2 5. Atelier Plateforme de test Objectif Hyper-V Installer le rôle Hyper-V Configurer Hyper-V Créer les commutateurs virtuels Base Windows Installer la base serveur Personnaliser la base Server Généraliser la base serveur Base Windows Installer la base Windows Personnaliser la base Windows Généraliser la base Windows Créer les ordinateurs virtuels Créer le disque de différenciation du serveur s Créer l'ordinateur virtuel s Personnaliser les ordinateurs virtuels Finaliser l'installation des serveurs Finaliser l'installation du client w Activer la licence des ordinateurs virtuels Paramétrer les ordinateurs virtuels Créer un point de contrôle BASE Active Directory (corp.lan) Installer Active Directory Valider l'installation de l'active Directory Personnaliser l'active Directory Intégrer les ordinateurs au domaine Créer un point de contrôle AD 61 Cryptographie 1. Introduction 63 2/15

3 2. Chiffrement des données (confidentialité) Chiffrement symétrique Chiffrement asymétrique Comparatif chiffrement symétrique et asymétrique EFS (Encrypting File System) Fonctionnement Partage de fichiers chiffrés Agent de récupération EFS Fonctionnement Conclusion Atelier : Chiffrement EFS Objectif Préparation de l'atelier Restauration de l'ordinateur w10 en Workgroup Partage de fichiers chiffrés Sauvegarde de certificats Agent de récupération EFS Méthodologie Génération des certificats d agent de récupération 97 Autorité de certification entreprise 1. Introduction Installation Méthodologie Recommandations d'installation Obtenir un certificat Localiser l'autorité de certification Qui peut obtenir un certificat? 110 3/15

4 3. Authenticité des certificats Processus de signature d'un certificat Processus de validation de la signature d'un certificat Validation de l'intégrité d'un certificat Calcul de Hash Intégrité du certificat Types d'autorités de certification Atelier : Algorithmes de hachage Atelier : Installer une autorité de certification Objectif Installer le rôle Configurer le rôle Valider l'installation Inscrire un certificat Créer un point de contrôle 130 Gestion automatisée des certificats 1. Introduction Modèle de certificat Modèle de certificat par défaut Personnalisation de modèles Propriétés des modèles de certificats Onglet Général Onglet Traitement de la demande Onglet Chiffrement Onglet Conditions d'émission Onglet Modèles obsolètes 141 4/15

5 2.3.6 Onglet Extensions Onglet Sécurité Onglet Attestation de clé Onglet Nom du sujet Onglet Serveur Onglet compatibilité Déploiement automatique de certificats Stratégies de groupe Activation du déploiement automatique de certificat Chiffrement des fichiers EFS dans un domaine Chiffrement de fichiers Agent de récupération EFS Atelier : Chiffrement EFS dans un domaine Objectif Créer un nouveau modèle de certificats EFS Basique Modifier le modèle de certificat utilisé pour EFS Déploiement de certificat par stratégie de groupe Chiffrement EFS Menu contextuel pour le chiffrement Validation du certificat EFS Chiffrement de fichiers EFS Atelier : Agent de récupération EFS dans un domaine Supprimer l'ancien agent de récupération EFS Obtenir un certificat d'agent de récupération EFS Activer l'agent de récupération Récupération de fichiers chiffrés avec EFS 180 Sites web sécurisés (SSL) 5/15

6 1. Introduction Processus de connexion SSL Méthodologie d'implémentation Atelier : Serveur web sécurisé Objectif Créer un serveur web IIS (Internet Information Services) (S3) Installer le rôle Valider l'installation Créer le document par défaut Tester l accès au site depuis le navigateur Internet Sécuriser l'accès au site avec SSL Obtenir un certificat pour le serveur web Lier le certificat avec le service IIS Valider la connexion SSL Tester les erreurs de connexion sécurisée au site web Navigation SSL avec URL incorrecte Navigation SSL sans certificat d'autorité de certification Révoquer les certificats de serveurs web 204 Signature de code PowerShell 1. Introduction Niveaux de restriction d'exécution de script PowerShell Méthodologie de signature de code Éditeurs approuvés 207 6/15

7 5. Durée de validité des scripts Révocation du certificat de signature Renouvellement de certificat de signature de code Horodatage numérique Atelier : Signature de code PowerShell Objectif Obtenir un certificat de signature de code Modifier le niveau d exécution PowerShell Signature du script Éditeur authentifié Visualiser le certificat de l éditeur approuvé Déployer les certificats d'éditeur par stratégies de groupe Intégrité du script Horodatage du script Connexion à Internet Horodatage du script Révocation de certificats de signature de scripts 232 IPsec (Internet Protocol Security) 1. Introduction Avantages d'ipsec Règles de sécurité de connexion Déploiement des règles de stratégies Fonctionnement IPsec 238 7/15

8 6. Audit Méthodologie d'implémentation Atelier : Implémenter les connexions IPsec Objectif Créer une règle IPsec Audit des associations de sécurité Lien IPsec et pare-feu Windows Exiger IPsec Chiffrement IPsec Authentification avec certificats 251 Révocation de certificat dans l'entreprise 1. Introduction Liste de révocation Type de liste de révocation Emplacement des listes de révocation Signature des listes de révocation Processus de validation des certificats Révocation d'un certificat Dépannage des listes de révocation Fréquence de publication Mise en cache des listes de révocation Emplacement des listes de révocation dans Active Directory 265 8/15

9 7. Atelier : Révocation de certificats Objectif Modifier les durées de publication Révocation d'un certificat de site web Révoquer le certificat du serveur web Visualiser la liste de révocation Valider la publication dans Active Directory Valider la révocation Révocation de certificats de signature de scripts Révocation du certificat Valider la révocation Annuler une révocation de certificat 276 Archivage automatique des certificats 1. Introduction Activation de l'archivage automatique Agent de récupération de clés Certificat archivé Méthodologie d'activation de l'archivage automatique Restauration de certificats archivés Bonnes pratiques Plusieurs agents de récupération de clés Sauvegarde des certificats d'agent de récupération de clés Partitionner les rôles Exiger l'approbation du gestionnaire de certificat Auditer les événements de récupération de clés 283 9/15

10 6. Atelier : Archivage automatique des certificats Obtenir un certificat d'agent de récupération de clés Activer l'archivage des clés Inscrire un modèle supportant l'archivage de clé Récupération d'un certificat archivé 295 Utilisation de cartes à puce 1. Introduction Fournisseur de carte à puce (Cardelya) Carte à puce Token Gestion des cartes à puce Agent d'inscription Utilisation des cartes à puces Application pratique : Gestion de carte à puce Objectif Installer le logiciel de gestion Mode Session étendue Activer le mode Session étendue Se connecter en mode Session étendue Ouverture de session par carte à puce Personnaliser le modèle Connexion par carte à puce Tester l ouverture de session avec la carte à puce Agent d'inscription Personnaliser le modèle de certificat agent d inscription Inscrire un certificat pour l'agent d'inscription /15

11 5.5.3 Modifier le modèle d'ouverture de session par carte à puce pour une inscription par agent d'inscription Inscrire un certificat carte à puce pour un utilisateur avec l'agent d'inscription Ouverture de session par carte à puce pour u Autoriser l ouverture de session Bureau à distance Intégrer le compte U1 au groupe Admins du domaine Ouvrir une session avec la carte à puce Gestion des cartes à puce Connexion de la carte à puce Modification du code PIN Supprimer un certificat sur la carte 325 Architectures PKI sécurisées 1. Introduction Hiérarchie à plusieurs niveaux Hiérarchie à deux niveaux Hiérarchie à trois niveaux Particularités d'implémentation Fichier CAPolicy.inf Avantages Sections du fichier CAPolicy.inf Section Version Sections PolicyStatementExtension et LegalPolicy Section [EnhancedKeyUsageExtension] Section [Certsrv_Server] Section [BasicConstraintsExtension] Tâches de postconfiguration /15

12 6. Publication manuelle dans Active Directory Publication manuelle Publication manuelle des listes de révocation Publication manuelle du certificat de l'autorité Emplacement des éléments publiés Extensions AIA et CDP Ajout aux certificats émis Accès interne et externe Options des emplacements CDP Options Publier Options Inclure Option IDP Option des emplacements AIA Inclure dans l'extension AIA des certificats émis Extensions par défaut Modification des extensions Extensions sur l'autorité racine Extensions sur l'autorité secondaire émettrice Automatiser les modifications d'extension Méthodologie d'implémentation Atelier : Architecture de PKI sécurisée Objectif Restauration des points de contrôle Autorité de certification racine hors connexion Installer le rôle Configurer le rôle Valider l'installation Modifier les extensions de l'autorité racine Publications des listes de révocation et AIA dans l Active Directory Installation de l'autorité secondaire émettrice Fixer la durée de validité de l'autorité de certification secondaire /15

13 9.6.2 Configurer le rôle Valider l'installation Validation de l'architecture Point de contrôle architecture PKI sécurisée 402 Publication de révocation en HTTP 1. Introduction Publication en HTTP (serveur web IIS) Emplacement du serveur web de publication Fichiers à publier en HTTP Méthode de publication Configuration du serveur web Modification des extensions CDP et AIA Validation de l'accès aux emplacements CDP\AIA Atelier pratique : Révocation Wan (VPN SSTP) Restauration de l'architecture PKI sécurisée Installer un serveur VPN Configuration du serveur VPN Installation et configuration du rôle VPN Personnalisation du serveur VPN Résolution DNS publique Obtenir un certificat pour le serveur VPN SSTP Publier le nouveau modèle de certificat Inscrire un certificat VPN Lier le certificat au service VPN Connexion VPN depuis le client Autoriser l utilisateur u1 à se connecter au serveur VPN Connecter le client sur le Wan /15

14 5.5.3 Créer la connexion VPN Tester la connexion VPN Point de contrôle VPN SSTP Déplacer les listes de révocation sur le serveur web Créer et paramétrer le répertoire virtuel Créer le répertoire virtuel certenroll Paramétrage du nouveau répertoire virtuel Ajout du nouveau chemin de révocation (CDP) Ajout des nouvelles extensions CDP et AIA Vérifier l accès aux listes de révocation Obtenir un nouveau certificat pour le serveur VPN Valider l accès aux emplacements CDP et AIA Valider les extensions du certificat VPN Valider les extensions avec PKI Entreprise Valider les extensions depuis le client w Établir la connexion cliente SSTP Associer le nouveau certificat au service SSTP Établir la connexion 443 Répondeurs OCSP 1. Introduction Fonctionnement Protocole OCSP Configuration de révocation Assistant de configuration de révocation Certificat OCSP Signature de réponses OCSP Nombre de répondeurs OCSP Modification des extensions AIA /15

15 5. Processus de validation de la révocation Mise en cache des réponses OCSP Listes de révocation OCSP Validation de la révocation OCSP Validation rapide Validation de révocation OCSP détaillée Méthodologie d'implémentation Application pratique : Répondeur OCSP Objectif Restaurer le point de contrôle VPN SSTP Installer le serveur OCSP Configuration de révocation Modification des extensions Valider le bon fonctionnement du serveur OCSP Obtenir un nouveau certificat pour le serveur SSTP Associer le nouveau certificat au service SSTP Valider le serveur OCSP depuis le client 479 Index /15