Simple and secure by Design but Business compliant [Benoît SAUTIERE / MVP]

Simple, yes, Secure Maybe, by design for sure, Business compliant always

Common Tasks

Recent Posts

Tags

Community

Email Notifications

Blogs

Archives

décembre 2009 - Posts

Associer un certificat d’authentification carte à puce à plusieurs comptes Active Directory

Non, je n’ai pas besoin de vacances (j’en reviens déjà). Mais quand je suis tombé sur cet article, je suis tombé de haut.

 

On savait tous que sous Windows XP, le système d’exploitation n’acceptait de reconnaître les certificats pour l’authentification par carte à puce que s’il étaient placés dans le champ 0 (Un administrateur avait donc deux cartes à puces). On savait aussi que Windows VISTA permettait de lever cette limitation.

 

Par contre, on ignorait qu’il était possible d’associer un même certificat d’authentification par carte à puce à plusieurs comptes Active Directory. Quel intérêt me direz-vous? Et bien proposer à vos utilisateurs de disposer d’une seule carte à puce permettant de s’authentifier avec plusieurs comptes, ce qui est fort utile pour les administrateurs par exemple. Coté poste de travail, voila comment cela se présente :

Smartcard

L’utilisateur doit saisir le code PIN de sa carte à puce mais aussi indiquer sous quelle identité il désire travailler. Pour ceux que cela intéresse, je conseille la lecture du post Mapping One Smartcard Certificate to Multiple Accounts, de l’équipe de support Active Directory.

 

BenoîtS – Simple by Design

Troubleshooting de DirectAccess

Après l’excellent article de Stanislas QUASTANA sur le troubleshooting de DirectAccess, Microsoft vient de publier sur le site Technet de nouvelles informations à ce sujet. Une section “DirectAccess Troubleshooting Guide” vient être ajoutée. Celle-ci comprend à la fois les outils de dépannage mais plus important la méthodologie à suivre car mine de rien, DirectAccess regroupe un nombre important de technologies.

 

Benoîts – Simple and Secure by Design

Blue Screen suite à l’installation d’Hyper-V R2

Alors que l’installation d’Hyper-V (Windows 2008) ne pose pas de problème particulier sur notre serveur flambant neuf, l’opération échoue lamentablement avec Hyper-V V2.

 

Microsoft vient de publier la KB974598. La raison invoquée est que la virtualisation matérielle est bien activée dans le BIOS mais que le “C State” du processeur n’est pas supporté par Hyper-V. Microsoft propose un Hofix pour adresser la problématique ainsi qu’un contournement.

 

Benoîts – Simple and Secure by Design

SYSInternals frappe encore : Disk2Vhd

Cette équipe ne s’arrête jamais. Tout le monde connait le PSEXEC.EXE utilisé entre pour l’exécution à distance ou dans un contexte de sécurité particulier (Local System pour ne pas le citer). L’équipe propose désormais un outil autorisant la conversion d’un disque physique en un disque virtuel VHD. La grosse caractéristique de Disk2Vhd est de pouvoir fonctionner “Online”.

 

En plus, on ne peut pas faire plus simple :

Disk2Vhd

 

Donc un outil précieux, tout comme cette URL, qui permet de toujours avoir les outils SYSInternals à disposition.

 

BenoîtS – Simple and Secure by Design.

Impossible de supprimer un Sid-History pour raison de sécurité

Dans un projet de migration Active Directory, il est nécessaire d’établir un lien entre le compte utilisateur du domaine “source” avec un compte utilisateur dans le domaine “cible” de migration.

 

Pour établir le lien entre les deux, on dispose de l’attribut “Sid-History. Lorsque l’utilisateur du domaine “cible” accède à une ressource dans le domaine “source” de la migration, celui-ci se présente sous son identité du domaine “source”. C’est de cette manière qu’on peut préserver l’accès aux ressources pendant la migration.

 

Maintenant si on associe un mauvais utilisateur dans le Sid-History, on pourrait croire qu’il suffit simplement de supprimer l”information à l’aide de la console ADSIEDIT.MSC. Depuis Windows 2003, la réponse sera invariablement :

DENIED

Accès refusé, même si on utilise un compte administrateur. Pourtant, pour ceux qui comme moi ont réalisé des migration NT4 vers Windows 2000 se souviennent que cela ne posait pas de problème. Pourquoi?

 

La première raison, c’est que depuis Windows 2003, la manipulation de l’attribut Sid-History passe nécessairement par une nouvelle API : DsAddSidHistory. La seconde raison, c’est que la console d’administration ne réalise pas la bonne opération.

L’API : DsAddSidHistory a été introduite pour parer à une problématique d’élévation de privilèges lors de la migration. Prenons un utilisateur d’un domaine “cible” de migration” capable de modifier son propre attribut Sid-History (je l’avoue c’est assez rare). Il peut s’associer le SID d’un utilisateur dans le domaine “source” (tant que celui-ci n’est pas encore associé à un autre utilisateur du domaine “cible”). Donc, un simple utilisateur peut se faire passer pour un administrateur du domaine “source”.  Voila donc le pourquoi de l’API.

 

Maintenant, question comment corriger l’association d’un mauvais SID à un utilisateur. La console ne réalisant qu’une opération LDAP UPDATE et non LDAP DELETE, c’est donc vers le scripting qu’il faut se tourner. La réponse se trouve dans la KB295758 qui propose une solution en Vbscript qui réalise une opération “DELETE” :

vArray = oDirObject.GetEx("sIDHistory")

For Each vSid in vArray

oDirObject.PutEx ADS_PROPERTY_DELETE, "sIDHistory", array(vSid)

oDirObject.SetInfo

Next

 

Avec un peu de développement, il est possible de rechercher à quel utilisateur correspond le SID dans le domaine source. Encore faut-il être capable de manipuler les SID en VbScript, ce qui n’est pas une sinécure.

 

Benoîts – Simple and Secure by Design

Hyper-V V2 et les processeurs Xeon 5500

La couche logicielle de l’hyperviseur de Microsoft a beau être très réduite en terme de taille, il n’en reste pas moins qu’elle est étroitement liée aux processeurs sur laquelle elle fonctionne. S’il y a le moindre grain de sable qui vient se loger entre les deux, les conséquences peuvent être désastreuses. Si en plus le grain de sable se trouve dans le processeur, …

 

Microsoft vient de publier la KB975530, proposant un correctif pour Hyper-V V2 lorsque celui-ci est utilisé sur la génération de processeurs Nehalem (Xeon série 5500). Selon cette fiche KB Microsoft indique qu’Hyper-V V2 serait instable sur cette génération de processeurs à cause d’un bogue ou comportement non prévu par les spécifications d’Intel. L’application du correctif est donc plus que recommandée.

 

Comme quoi les bogues ne sont pas toujours logiciels.

 

Benoîts – Simple and Secure by Design

Infrastructure Planning and Design Guide DirectAccess

La documentation de DirectAccess grossit de jour en jour. Certes, on est encore loin de ce que peut proposer l’équipe Exchange (une véritable bible) mais le guide de conception de DirectAccess est enfin disponible.

Le principal intérêt de ce guide est de poser la démarche générale, pour se poser les bonnes question avant de foncer tête baissée dans la technique, ce qui avec DirectAccess est une stratégie voué à l’échec.

 

Benoîts – Simple and Secure by design

Les mystères de la CRL enfin expliqués

Pour ceux qui ont de près ou de loin touché à la PKI se sont forcément cassé les dents sur les grand mystères autour de la gestion des listes de révocation (CRL et CRLD). Disons le clairement, il arrive souvent que cela tombe en marche sans que nous puissions réellement l’expliquer. Pour la génération Windows XP/Windows Server 2003, on disposait d’une référence assez complète à cette URL.

 

Par contre, avec l’arrivée de Windows VISTA/Windows Server 2008, les choses se sont compliquées (OCSP, mise en cache HTTP, …). Bref un nouveau cauchemar. Après un peu d’attente, l’équipe PKI chez Microsoft a enfin compilé toutes les informations en un seul et unique document disponible à cette adresse.

 

Bonne PKI à vous :)

 

Benoîts – Simple and Secure by Design

Vous avez dit DNSSEC?

Une petite pause dans la série (NAP & IPSEC) pour compléter un sujet déjà partiellement abordé, à savoir DNSSEC. Partiellement oui, car on a déjà abordé avec DirectAccess, à savoir la Name Resolution Policy Table. Ce composant magique qui permettait de rediriger les requêtes DNS pour certains domaines DNS (voire même pour tous) pour résoudre des noms dans les zones DNS internes de l’entreprise.

 

Voila un des usages de NRPT. Plus généralement, ce composant est impliqué dans la mise en œuvre de DNSEEC. Pour ceux qui ont suivi l’actualité informatique de l’année dernière, un certain Dan Kaminsky a découvert une faille dans le protocole DNS pouvant permettre de tromper l’internaute quand au site qu’il désire accéder. La faille étant liée au protocole, toutes les implémentations de DNS devaient être corrigées. La faille a été comblée, cependant cela ne résout pas le problème de base de DNS : Ce protocole n’a jamais été conçu pour intégrer des mécanismes de sécurité.

 

C’est pour répondre à cette problématique qu’a été développé DNSSEC (RFC 4033, 4034, et 4035). Le mécanisme général est de permettre aux serveurs DNS de disposer d’une signature numérique que les clients pourront venir vérifier. Cette approche permet de se prémunir contre le Spoofing et les attaques de type “Man in the Middle”.

 

Si le sujet vous intéresse, Microsoft vient de mettre à disposition un document nommé “DNSSEC Deployment Guide”. Dès que j’ai un peu de temps, je reviendrai certainement dessus.

 

BenoîtS – Simple and Secure by Design.

Utiliser Hyper-V Server 2008 R2 depuis une clé USB

Lorsque j’ai lu cette annonce la première fois, je ne comprenais pas l’intérêt de cela. Mais après réflexion, cela présente un intérêt pour industrialiser le déploiement des serveurs hôtes.

 

Si on regarde ce que propose déjà VMWARE, il est possible aujourd’hui d’acheter des serveurs intégrant un module Flash avec VMWARE ESXi. Et bien, bientôt, il sera possible de faire la même chose pour Hyper-V Server 2008 R2.

 

Si le cœur vous en dit de tester, la démarche technique a été industrialisée. C'est disponible à cette adresse.

 

Benoîts – Simple and Secure by Design

La bible de DirectAccess

Non, je n’ai pas écrit un livre sur le sujet (absolument pas le temps, surtout sur un sujet aussi vaste), mais chez Microsoft, il y a des personnes qui visiblement ont décidé de communiquer de la manière la plus claire possible sur le sujet. Tout ou presque tout ce qu’il y a à savoir sur la conception et la mise en œuvre de DirectAccess est disponible sous forme d’un seul et unique fichier Word.

 

Le document couvre tous les aspects de la conception et de la mise en œuvre de la fonctionnalité, dans différents scénarios. Globalement, il ne manque plus que l’intégration de NAP et c’est tout bon.

 

Pour ceux qui veulent toujours avoir une version actualisée, je ne peux que conseiller de conserver cette URL dans vos favoris de navigateur.

 

Benoîts – Simple and Secure by Design

More Posts « Previous page