Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme








télécharger 333.15 Kb.
titreRésumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme
page6/14
date de publication09.09.2018
taille333.15 Kb.
typeRésumé
ar.21-bal.com > loi > Résumé
1   2   3   4   5   6   7   8   9   ...   14

b.3Administration et Exploitation

b.3.1Séparation des rôles


Les services de certificats Active Directory de Windows Server 2008 (R2) intègrent un modèle d’administration qui permet de satisfaire aux exigences des critères communs (Common Criteria en anglais) concernant la séparation des rôles et assurant ainsi qu’une seule personne ne soit pas capable de compromettre la sécurité des services d’IGC.

Les rôles que l’on peut ainsi mettre en œuvre sont conformes à ceux décrits dans le document Certificate Issuing and Management Components Family of Protection Profiles48.

procedure_ddUne AC AD CS propose en standard des rôles d’administration qui peuvent s’adapter à la plupart des processus de gestion du cycle de vie des certificats et des services d’IGC :

  • Gestionnaire de services d’IGC (CA Administrator) - Configure et administre les serveurs de certificats, désigne les gestionnaires et renouvelle les certificats des autorités de certification (via le composant enfichable MMC Autorité de certification (Certificate Authority en anglais) ;

  • Gestionnaire de certificats (Certificate Manager, Officer dans CIMC) - Émet et révoque les certificats pour des groupes d'utilisateurs sur lesquels ils ont juridiction via le composant enfichable MMC Autorité de certification (Certificate Authority en anglais) ;

  • Agent de recouvrement (Key Recovery Agent - KRA) – Configuration des KRAs (certificats) via le composant enfichable MMC Autorité de certification (Certificate Authority en anglais) ;

  • Auditeur (Auditor) - Audite les actions des administrateurs locaux, des gestionnaires de services et de certificats ;

  • Opérateur de sauvegardes (Backup Operator) ;

A ces rôles correspondent des droits d’accès à l’AC et au serveur qui l’héberge. Ces rôles possèdent également des équivalences en rôle d’administration Windows, facilitant ainsi leur implémentation.

L’activation de la séparation des rôles s’effectue via la commande Certutil -setreg ca\RoleSeparationEnabled 1

Les « bonnes pratiques » à observer dans ce domaine pourraient se résumer ainsi :

  • assigner les rôles à des groupes (et non pas des comptes utilisateurs) ;

  • s'assurer qu'un compte utilisateur ne se voit assigné qu'un seul rôle ;

  • s’assurer que les groupes pour lesquels les rôles Gestionnaire de services d’IGC, et Gestionnaire de certificats sont assignés ne soient pas aussi administrateur local ;

  • garder à l'esprit que les administrateurs locaux restent tout puissants et ces droits sont nécessaires pour le renouvellement du certificat de l’AC.

b.3.2Délégation des rôles


Ceci est réalisable notamment au travers de la séparation des rôles.

La version 3 des modèles de certificats permet d’aller plus loin dans la délégation par type de certificats et par type de populations (Cf. section § b.1.9 Définition des modèles de certificat).

Enfin, l’environnement FIM permet de définir très précisément la gestion attendue pour les processus à prendre en considération.

b.3.3Type d’interface (Web ou autre)


Les interfaces utilisateurs sont aussi bien :

  • de type Windows avec le Gestionnaire de serveur (Server Manager en anglais) et la fonction Gérer le rôle (Manage Role en anglais) pour le rôle Services de certificats Active Directory (Active Directory Certificate Services en anglais).



Différents composants enfichable MMC comme Modèles de certificat (Certificate Templates en anglais), Autorité de certification (Certification Authority en anglais), etc. sont alors utilisés.

  • de type ligne de commandes avec les outils Certutil.exe (gestion de l'AC et des certificats) et Certreq.exe (requête de certificat vis-à-vis d'une AC ou pour la cross-certification) (ou encore, avec le Kit de Ressources Techniques, Krt.exe pour le recouvrement de clés ou Chkcdp.exe pour la vérification des extensions CDP et AIA d'un certificat).

Enfin, les fonctions AC et AE disposent d'une interface Web pour l’enrôlement (Cf. section § b.1.1 Fonction d’enregistrement).

b.3.4Accès sécurisé aux interfaces


Dans le contexte d’une infrastructure Active Directory, un administrateur d’entreprise possède des privilèges élevés. Cependant, le compte d’administrateur d’entreprise par défaut n’est pas obligatoire pour installer et administrer les services et les ressources d’une IGC. Il est tout à fait possible de mettre en place la délégation de droits.

Au travers de l’activation de la séparation des rôles (Cf. section § b.3.1 Séparation des rôles), les services de certificats Active Directory (AD CS) intègrent un modèle d’administration qui permet de satisfaire aux exigences des Critères Communs (Common Criteria en anglais) concernant la séparation de rôle, assurant ainsi qu’une seule personne n’est pas capable de compromettre la sécurité des services d’IGC.

Les rôles ainsi proposés sont Gestionnaire de services d’IGC, Gestionnaire de certificats, Agent de recouvrement, Auditeur et Opérateur de sauvegardes.

L’administrateur d’entreprise peut in fine s’octroyer tout type de droits (comme tout administrateur système, quelle que soit la plate-forme considérée), mais cette action est auditable et peut être limitée en assurant une protection physique des serveurs concernés.

b.3.5Ergonomie


Les services de certificats Active Directory de Windows Server 2008 (R2) disposent de composants enfichables MMC, comme Autorité de certification (Certification Authority) ou encore de Modèles de certificats (Certificate Template) invoqués directement par le Gestionnaire de Serveur (Server Manager).

Ces composants MMC autorisent une administration entièrement graphique (et à distance si besoin) des différents services de ce rôle.

b.3.6Provisionnement


Une AC émettrice AD CS en mode entreprise fonctionne selon le principe de définition des droits d’accès lié à l’appartenance à des groupes de sécurité.

Ceci consiste simplement à positionner les utilisateurs dans des groupes (API AD).

Par ailleurs, la séparation des rôles peut être mise en place (Cf. section § b.3.1 Séparation des rôles).

b.3.7Traçabilité


L’architecture de la plateforme Windows propose une structure d’accueil pour l’enregistrement d’évènements dans différents journaux (application, sécurité, système, etc.) avec des mécanismes de notification et de collecte, chaque évènement ayant des attributs clairement identifiés comme une source, un ID, un contexte de sécurité, un numéro de séquence, etc.

Des interfaces d’instrumentation de la plate-forme comme WMI (Windows Management Instrumentation en anglais) ou des solutions de supervision comme Microsoft System Center Operation Manager (SCOM en abrégé) tirent directement bénéfices de cette approche standard plate-forme pour proposer une exploitation avancée de ces informations comme notamment de la corrélation d’évènements pour le déclenchement automatisé d’opérations de tâches d’exploitation.

Les journaux utilisés peuvent être dimensionnés en conséquence et offrent une gestion circulaire si besoin.

Comme toute application respectant les règles de développement plateforme, les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) s’appuient de façon appropriée sur ces journaux pour l’enregistrement des évènements qui lui sont relatifs. Le format d’exportation peut être converti au standard W3C.

b.3.8Archive de la trace


Au-delà de ce comportement par défaut décrit à la section précédente, rien n’empêche la configuration d’un module de sortie (exit module en anglais), l’un des deux points d’extensibilité du moteur tel que décrit dans la page MSDN Certificate Services Architecture50 ; ce dernier recevant l’ensemble des notifications du moteur lorsque des opérations ont lieu (par exemple l’émission d’un certificat) et peut donc stocker les logs dans une base SQL ou dans un fichier de log.

L’utilisation d’un module de sortie personnalisé pour le stockage des logs dans une base Microsoft SQL Server conjointement à l’utilisation de Microsoft Reporting Services permet d’élaborer des états avancés.

Cette approche est, par exemple, celle suivie par la composante CMS (Card Management System en anglais) de l’environnement FIM.

Alternativement, des solutions partenaires comme Quest InTrust décrite à l’adresse http://www.quest.com/intrust/ peuvent être utilisées.

b.3.9Intégrité de la trace


Il est possible de signer les fichiers, mais cette fonctionnalité n’est pas intégrée nativement.

D’autre part, il est possible de tracer les actions (modifications) sur les traces.

Enfin, dans le contexte de la mise en œuvre de SCOM, le service ACS (Audit Collection Services) collecte les événements qui sont entrés dans le journal de sécurité et stocke ces événements dans une base de données centrale en quasi temps réel via les notifications WMI. Lorsque la connexion est établie entre un redirecteur (forwarder en anglais) ACS et le collecteur (collector en anglais) ACS, le redirecteur ACS envoie les événements d'audit au collecteur ACS dès qu'ils se produisent. Lors de l'envoi d'événements immédiatement au référentiel central, la fenêtre donnée à un attaquant pour altérer la trace d'audit et supprimer des éléments de preuve d'une attaque se trouve des plus réduite.

Au-delà d’une authentification mutuelle du redirecteur ACS et du collecteur ACS et du chiffrement de la communication résultante, ACS assure sa propre sécurité en offrant une détection des lacunes dans les données transmises avec un mécanisme d’alerte. Les lacunes dans les données transmises pourraient signifier qu'un attaquant a falsifié/altéré le redirecteur ACS. Techniquement, comme précisé précédemment, chaque événement dispose d’un numéro de séquence uniformément croissant exprimé sous la forme d'un entier 32 bits. ACS mémorise le numéro de séquence de chaque événement et s'attend à ce que le prochain numéro de séquence soit supérieur d’un à celui en cours. Si ce n'est pas le cas, une alerte est générée. ACS peut différencier un journal effacé vs. un journal « wrappé » dans le conteste de la gestion circulaire vs. un numéro de séquence « wrappé »  vs. une falsification/altération. 

b.3.10Supervision


Par défaut, les services de certificats Active Directory (de Windows Server 2008 (R2) proposent le composant enfichable MMC PKI d’entreprise (Enterprise PKI en anglais) qui permet de valider le statut d’une hiérarchie d’AC.

Un pack de gestion est également proposé à destination de SCOM ; ce pack exploite la journalisation effectuée par AD CS ainsi que les compteurs de performances exposés par AD CS (Cf. section § c.3.3 Suivi des performances).

Du fait du faible niveau de sécurité proposé par le Simple Network Management Protocol (SNMP), il n’est pas possible d’utiliser ce protocole pour superviser la solution, d’ailleurs aucun des acteurs du marché de la supervision (comme notamment HP OV, CA TNG et IBM TIVOLI) n’utilise SNMP pour la supervision des environnements Windows et ce, depuis de nombreuses années.

b.3.11Notification


Si les services de certificats Active Directory (AD CS) de Windows Server 2008 (R2) ne proposent pas directement cette fonctionnalité, il est possible par contre d’interfacer les AC AD CS avec une solution de supervision comme SCOM.

Par ailleurs, il convient de noter que les plateformes Windows Vista, Windows Server 2008 et ultérieures disposent de notifications d’expiration dans le cas du modèle d’auto-enrôlement de façon à améliorer les conditions d’usages notamment pour les scénarios hors ligne.

La mise en place de notifications d’expiration de certificats à destination de systèmes non-Windows peut se faire au travers des interfaces ICertAdmin et ICertAdmin2 exposées par le moteur d’AD CS et mentionnées précédemment, Cf. section § b.1.11 Gestion des certificats en masse.

C’est en substance l’utilisation de ces interfaces qui permet à la commande suivante de définir les certificats qui vont expirer dans les 30 jours : Certutil –view –restrict "NotAfter<=September 5,2009 08:00AM,NotAfter>=August 24,2009 08:00AM" –out "RequestID,RequesterName"
1   2   3   4   5   6   7   8   9   ...   14

similaire:

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconSolutions Chip pc
«clonage avancé» des terminaux, Chip pc a choisi de développer un logiciel basé sur un concept totalement différent du clonage et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconJean-Frédéric karcher
«Etudes et Développement de Services» au sein du Groupe sfr cegetel dans la Direction Réseaux et Services de sfr

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconEn recherche active

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconDevis descriptif architectural de usg
«Fire Resistance Directory», dans les listes de certification de Warnock Hersey ou dans la liste d'un autre organisme d'essais et...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  icon1 Des fondements pour une pédagogie active et la technologie

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconOpportunity Notice Services professionnels d'ingenieurs-conseils...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconCroissance et transformations sectorielles : d’une économie post-industrielle...
«sociologique», rôle accru de l’Etat, rôle moteur des services collectifs. Ce thème sera repris au tournant du xxème siècle à travers...

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconPassation des marchés de fourniture et montage d’installations
«Procurement Policy and Services Group, Operational Core Services Network» (ocspr), seront consultés

Résumé Le rôle serveur Services de certificats Active Directory (Active Directory Certificate Services en anglais ou ad cs en abrégé) au sein de la plateforme  iconTraducteur en interne, anglais – français, Connected Language Services, Marseille
«Transfert de technologie entre la recherche publique et l’industrie» (simultané)








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com