pki et utilisation des cartes à puce en entreprise philippe beraud consultant principal microsoft...
TRANSCRIPT
PKI et utilisation des cartes à PKI et utilisation des cartes à puce en entreprisepuce en entreprisePKI et utilisation des cartes à PKI et utilisation des cartes à puce en entreprisepuce en entreprise
Philippe BeraudPhilippe BeraudConsultant PrincipalConsultant PrincipalMicrosoft FranceMicrosoft France
La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft
Isolation et Isolation et résiliencerésilience
Excellence Excellence dede
l’engineeringl’engineering
Conseils,Conseils,Outils,Outils,
RéponseRéponse
Mise à jourMise à jouravancéeavancée
Authentification,Authentification,Autorisation,Autorisation,
AuditAudit
SommaireSommaire
Certificats, Cartes à puce (Smart Cards) et prise en compte par Certificats, Cartes à puce (Smart Cards) et prise en compte par la plate-forme Windowsla plate-forme Windows
Utilisation des certificats et des cartes à pucesUtilisation des certificats et des cartes à puces
Déploiement des cartes à puces avec Certificate Services de Déploiement des cartes à puces avec Certificate Services de Windows Server 2003Windows Server 2003
Gabarits de certificat (Certificate Template)Gabarits de certificat (Certificate Template)
Méthodes d’enrôlement pour les certificats sur les cartes à puceMéthodes d’enrôlement pour les certificats sur les cartes à puce
Gestion des cartes à puce (et des certificats)Gestion des cartes à puce (et des certificats)
Digital Identity Management SystemDigital Identity Management System (DIMS) (DIMS)
Certificats numériquesCertificats numériquesCryptographie asymétrique (clé publique, clé privée) Cryptographie asymétrique (clé publique, clé privée)
Ex. Signature numérique d’un messageEx. Signature numérique d’un messageCréer une signature numérique (émetteur)Créer une signature numérique (émetteur)
Vérifier une signature numérique (destinataire)Vérifier une signature numérique (destinataire)
Message Message reçureçu
Même fonction de hashage
CondenséCondenséPy75c%bn&*)9|
fDe^bDFaq#xzjFr@g5=&nmdFg$5knvMd’rkvegMs”
Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5=&nmdFg$5knvMd’rkvegMs”
Clé publique Clé publique envoyée avec le envoyée avec le
messagemessage
Déchiffrement asymétrique
Signature Signature numériquenumérique
Jrf843kjfgf*£$&Hdif*7oUsd*&@:<CHD
FHSD(**
? == ?
Clé Clé privéprivé
ee
Message à Message à envoyerenvoyer
CondenséCondensé Signature numériqueSignature numérique
Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5=&nmdFg$5knvMd’rkveg
Ms”
Jrf843kjfgf*£$&Hdif*7oUsd*&@:<CHD
FHSD(**
Fonction de hashage (SHA,
MD5)
Chiffrement asymétrique
Certificats numériquesCertificats numériquesCertificats X509 v3 Certificats X509 v3 Équivalent d’une pièce d’identité pour un utilisateur ou une Équivalent d’une pièce d’identité pour un utilisateur ou une machinemachine
De plus en plus intégrés avec les services et applications De plus en plus intégrés avec les services et applications Ouverture de session par carte à puce, messagerie sécurisée, Ouverture de session par carte à puce, messagerie sécurisée, applications de signature électronique, VPN, WiFi, etc.applications de signature électronique, VPN, WiFi, etc.
Identité du sujetIdentité de l’émetteur
Valeur de la clé publique du sujet
Durée de validité
Signature numérique de l’Autorité de Certification (AC)
Chemin pour la CRLChemin pour la récupération du certificat AC
Sujet: Philippe BeraudÉmetteur: Issuing CAValide à partir de: 01/05/2005Valide jusqu’au: 01/05/2006CDP:URL=http://fqdn/crl/CA.crlAIA:URL=http://fqdn/ca.crtClé publique du sujet: RSA 1024..Politique d’application: Client Authentication, SmartCard Logon...Numéro de série: 78F862……… Signature: F976AD…
La signature numérique garantie l’intégrité des données (idem pour une CRL)
Outils de gestion des cléset des certificats, Audit…
Points de distribution des certificats et des CRL (CDP)
Autorité de Certification (AC)
CertificatNumérique
Services et applicationss’appuyant sur une PKI
Liste de révocationdes certificats (CRL)
Composants d’une PKIComposants d’une PKI
Chemins ldap:, http:, file:
Cartes à puce (Smart Cards)Cartes à puce (Smart Cards)
Offrent une protection forte pour les clés privées des certificatsOffrent une protection forte pour les clés privées des certificats
Permettent de réaliser des opérations cryptographiquesPermettent de réaliser des opérations cryptographiques
Offrent une réponse aux besoins d'authentification forte, de Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcéepreuve d'identité renforcée
Authentification à 2 facteursAuthentification à 2 facteurs
Permettent de disposer d’un badge d’entreprise uniquePermettent de disposer d’un badge d’entreprise uniqueRapprochement des mondes physique et numériqueRapprochement des mondes physique et numérique
Offrent une commodité d’usageOffrent une commodité d’usage Format facile à gérerFormat facile à gérer
Simplification de Simplification de l’expérience utilisateurl’expérience utilisateur
Constituent une plateforme d’accueil pour d’autres applications Constituent une plateforme d’accueil pour d’autres applications de l’entreprisede l’entreprise
Prise en compte des cartes à puce par Prise en compte des cartes à puce par WindowsWindowsInstallation du pilote du lecteur de carte (et outils associés)Installation du pilote du lecteur de carte (et outils associés)
Installation du fournisseur de service de cryptographie Installation du fournisseur de service de cryptographie ((Cryptographic Service ProviderCryptographic Service Provider ou CSP) de la carte ou CSP) de la carte
Chaque type de Smart Card nécessite un CSP spécifiqueChaque type de Smart Card nécessite un CSP spécifiqueEn standard Gemplus, Infineon, Schlumberger (Axalto)En standard Gemplus, Infineon, Schlumberger (Axalto)
Application
Crypto API
Opérations cryptographiques
Gestion de certificats et
fournisseurs de stockage
Stockage des certificats
CSP
Base des clés
CSP
Authentification forte des utilisateursAuthentification forte des utilisateurs
Ouverture de session Windows par carte à puceOuverture de session Windows par carte à puceÉgalement pour les sessions Également pour les sessions TerminalTerminal Services et Services et RemoteRemote DesktopDesktop
Authentification cliente SSL/TLS par certificat Authentification cliente SSL/TLS par certificat Portail/Application Web sécurisé, Web SSO (fédéré) avec ADFS Portail/Application Web sécurisé, Web SSO (fédéré) avec ADFS (Windows Server 2003 R2), Obtention de licences de publication (Windows Server 2003 R2), Obtention de licences de publication RMS/Consultation de contenus protégés par RMS (SP1)RMS/Consultation de contenus protégés par RMS (SP1)
Accès distant via VPNAccès distant via VPNAuthentification EAP-TLSAuthentification EAP-TLS
259880 « 259880 « Configuring a VPN to Use Extensible Authentication Protocol (EAP) Configuring a VPN to Use Extensible Authentication Protocol (EAP) »»
http://support.microsoft.com/?id=http://support.microsoft.com/?id=259880259880
Sécurisation accès wireless 802.11Sécurisation accès wireless 802.11Authentification EAP-TLSAuthentification EAP-TLS
Points communsPoints communsOuverture de session par certificatOuverture de session par certificat
Deux modes possiblesDeux modes possiblesUPN/NTAuth – userPrincipalNameUPN/NTAuth – userPrincipalName
Mappage explicite - altSecurityIdentities Mappage explicite - altSecurityIdentities
Ouverture de session par carte à puceOuverture de session par carte à puceExtension Kerberos PKINITExtension Kerberos PKINIT
248753 « 248753 « Description of PKINIT Version Implemented in Kerberos in Description of PKINIT Version Implemented in Kerberos in Windows 2000Windows 2000 » »
http://support.microsoft.com/?id=http://support.microsoft.com/?id=248753 248753
Chiffré avec la Chiffré avec la clé publiqueclé publique
MSGINA récupère le code
PIN
WINLOGON
LSA
KERBEROSSSP
KDCClé privéeClé privée
AD
a. Utilise la clé publique du certificat pour déchiffrer l’AS_REQ
b. Vérifie le NTAuthc. Mappe l’UPNd. Créer un TGT
5
7
PA_PK_AS_REQCertificat utilisateur signé avec la clé privée
PA_PK_AS_REP Contenant: TGT + PAC + clé de session + condensé NTLM du mot de passe
6
Objet utilisateur: Nom, UPN, Appartenance aux groupes, Publication Certificat
Le client Kerberos déchiffre la clé de session avec la clé privée
3
2
4
8
1
Ouverture de session par carte à puceOuverture de session par carte à puce
Nécessite des certificats « Smartcard » et « Nécessite des certificats « Smartcard » et « Domain Domain ControllerController » » validesvalides
Ces certificats doivent respecter les exigences suivantesCes certificats doivent respecter les exigences suivantesLe certificat « Smartcard » doit être émis par une AC référencée Le certificat « Smartcard » doit être émis par une AC référencée dans le magasin NTAuthdans le magasin NTAuth
La chaîne de certificats doit se terminer par une racine de La chaîne de certificats doit se terminer par une racine de confiance confiance
Tous les certificats de la chaîne doiventTous les certificats de la chaîne doivent
Contenir une extension CDP pour la CRL qui doit pouvoir être Contenir une extension CDP pour la CRL qui doit pouvoir être obtenue et être temporellement valideobtenue et être temporellement valide
Pouvoir être obtenu, en étant déjà sur la machine (cache) ou en Pouvoir être obtenu, en étant déjà sur la machine (cache) ou en étant atteignable via les transports réseauétant atteignable via les transports réseau
Aucun ne doit être révoquéAucun ne doit être révoqué
Ouverture de session et stratégies de Ouverture de session et stratégies de groupe groupe Imposer une ouverture de session par carte à puceImposer une ouverture de session par carte à puce
Par stratégie de groupePar stratégie de groupeComputer Settings\Windows Settings\Security Settings\Local Policies\Computer Settings\Windows Settings\Security Settings\Local Policies\Security OptionsSecurity Options
Interactive Login:Smart Card RequiredInteractive Login:Smart Card Required
Requiert Windows XP SP2 Requiert Windows XP SP2
Ne modifie pas le mot de passe de l’utilisateurNe modifie pas le mot de passe de l’utilisateur
Via l’attribut « Via l’attribut « Smart card is required for interactive logonSmart card is required for interactive logon » du » du compte utilisateurcompte utilisateur
Modifie le mot de passe de l’utilisateur à une valeur non connueModifie le mot de passe de l’utilisateur à une valeur non connue
Définir le comportement lorsque la carte à puce est retiréeDéfinir le comportement lorsque la carte à puce est retiréeComputer Settings\Windows Settings\Security Settings\Local Computer Settings\Windows Settings\Security Settings\Local Policies\Security OptionsPolicies\Security Options
Interactive Login:Smart Card Removal BehaviorInteractive Login:Smart Card Removal Behavior
No ActionNo Action
Lock WorkstationLock Workstation
Force LogoutForce Logout
Authentification cliente SSL/TLS par Authentification cliente SSL/TLS par certificatcertificat
Authentification mutuelleAuthentification mutuelleLa première étape consiste à valider la chaîne de certificats La première étape consiste à valider la chaîne de certificats relative au certificat client reçu côté IISrelative au certificat client reçu côté IISLa seconde étape consiste rendre possible l’authentification et La seconde étape consiste rendre possible l’authentification et l’ouverture de session possible de par l’existence d’unl’ouverture de session possible de par l’existence d’un mappage mappage 1.1. Une tentative de mappage implicite est réalisée en premier Une tentative de mappage implicite est réalisée en premier 2.2. En cas d’échec, un mappage explicite est alors essayé en second lieuEn cas d’échec, un mappage explicite est alors essayé en second lieu
Attribut AltSecurityIdentity de l’objet utilisateurAttribut AltSecurityIdentity de l’objet utilisateur
Si un mappage implicite est utilisé, le certificat doit être chaîné à Si un mappage implicite est utilisé, le certificat doit être chaîné à une racine de confiance et l’AC émettrice doit être présente dans une racine de confiance et l’AC émettrice doit être présente dans le magasin NTAuthle magasin NTAuthSi un mappage explicite est utilisé, le certificat doit être Si un mappage explicite est utilisé, le certificat doit être simplement chaîné à une racine de confiancesimplement chaîné à une racine de confianceLe certificat est transmis au contrôleur de domaine où Le certificat est transmis au contrôleur de domaine où l’utilisateur est recherché et un PAC (l’utilisateur est recherché et un PAC (Privilege Attribute Privilege Attribute CertificateCertificate) généré) généré
Ouverture de session par carte à puce Ouverture de session par carte à puce
Authentification SSL/TLS avec un certificat clientAuthentification SSL/TLS avec un certificat client
Autres utilisations des cartes à puceAutres utilisations des cartes à puce
Tâches administrativesTâches administrativesPromotion d’un contrôleur de domainePromotion d’un contrôleur de domaine
DCPromoDCPromo avec /ADV avec /ADV
Changement de lettre de créanceChangement de lettre de créanceRunAsRunAs avec / avec /SmartcardSmartcard
Connexion à des ressources réseauConnexion à des ressources réseauNet Use avec /Net Use avec /SmartcardSmartcard
Connexion Connexion RemoteRemote Desktop/TerminalDesktop/Terminal Services Services
Messagerie sécurisée via S/MIMEMessagerie sécurisée via S/MIMEChiffrement/Signature des messagesChiffrement/Signature des messages
Outlook (Office), Outlook Express, Outlook Web Access (ActiveX)Outlook (Office), Outlook Express, Outlook Web Access (ActiveX)
Signature XMLDIGSignature XMLDIGInfopathInfopath (Office), Classes .Net (Office), Classes .Net
Certificate Services de Windows Server Certificate Services de Windows Server 20032003Service natif de la plateforme Windows Server 2003 permettant Service natif de la plateforme Windows Server 2003 permettant
la mise en œuvre d’une Autorité de Certification (AC)la mise en œuvre d’une Autorité de Certification (AC) Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 PKCS#1,7,8,10,12
Aucun coût additionnel de licence ou par certificat émisAucun coût additionnel de licence ou par certificat émis
Deux types d’ACDeux types d’ACAutonome (principalement) pour les AC racines et CA Autonome (principalement) pour les AC racines et CA intermédiaires hors ligneintermédiaires hors ligne
Entreprise pour les AC émettrices sur une infrastructure ADEntreprise pour les AC émettrices sur une infrastructure AD
Ressource de la forêt, disponible auprès des utilisateurs des Ressource de la forêt, disponible auprès des utilisateurs des domaines de la forêtdomaines de la forêt
Moyen le plus direct avec une AC d’entreprise de Moyen le plus direct avec une AC d’entreprise de déployer/gérer des certificats et de tirer parti des applications déployer/gérer des certificats et de tirer parti des applications qui les utilisentqui les utilisent
Gabarits de certificats personnalisables, enrôlement et Gabarits de certificats personnalisables, enrôlement et renouvellement automatique, support des cartes à puces, renouvellement automatique, support des cartes à puces, etc.etc.
Gabarits de certificatGabarits de certificat
Format et le contenu du certificat X509 v3Format et le contenu du certificat X509 v3« Subject » et « Alternative Subject Name »« Subject » et « Alternative Subject Name »
Rôle du certificat, « Application Rôle du certificat, « Application PoliciesPolicies » »
Validité et période de renouvellement, Validité et période de renouvellement,
Sélection d’un ou plusieurs CSPs, (archivage de la clé privée)Sélection d’un ou plusieurs CSPs, (archivage de la clé privée)
Méthodes d’enrôlement (manuel/auto) et « Méthodes d’enrôlement (manuel/auto) et « lssuance lssuance PoliciesPolicies » (quel contrôle est utilisé pour l’émission du » (quel contrôle est utilisé pour l’émission du certificat)certificat)
Permissions d’enrôlement (ACLs)Permissions d’enrôlement (ACLs)Quel utilisateur a droit à quels certificats (Read, Quel utilisateur a droit à quels certificats (Read, EnrollEnroll, , AutoEnroll, etc.)AutoEnroll, etc.)
L’AC vérifie l’autorisation du demandeur sur le gabarit référencéL’AC vérifie l’autorisation du demandeur sur le gabarit référencé
Utilisés par les ACs d’entreprise de la forêtUtilisés par les ACs d’entreprise de la forêtGabarits version 1 et 2 créés par défaut lors de l’installation Gabarits version 1 et 2 créés par défaut lors de l’installation d’une AC d’entreprise d’une AC d’entreprise
Modifiables (version 2)Modifiables (version 2)
Windows 2003 comprend 29 gabarits prédéfinisWindows 2003 comprend 29 gabarits prédéfinis
Méthodes d’enrôlement pour les certificats sur Méthodes d’enrôlement pour les certificats sur les cartes à puceles cartes à puce
Le certificat est enrôlé pour le Le certificat est enrôlé pour le compte de l’utilisateur compte de l’utilisateur Utiliser un agent Utiliser un agent d’enrôlementd’enrôlement
Si vous avez des clients Si vous avez des clients Windows 2000 sur le réseauWindows 2000 sur le réseauSi vous exigez une remise Si vous exigez une remise « en main propre » de la carte« en main propre » de la carteSi la politique de sécurité le Si la politique de sécurité le nécessitenécessite
Distribution de carte vierge et Distribution de carte vierge et activation de l’enrôlement automatique activation de l’enrôlement automatique
Utiliser l’enrôlement automatiqueUtiliser l’enrôlement automatiqueSi vous avez des clients Windows XP et Si vous avez des clients Windows XP et Windows 2003 sur le réseauWindows 2003 sur le réseau
Si les types de CSPs sont en nombre Si les types de CSPs sont en nombre limitélimité
Si la politique de sécurité autorise Si la politique de sécurité autorise l’enrôlement automatiquel’enrôlement automatique
Agent d’enrôlement
Enrôlement automatiqu
e
Agent d’enrôlementAgent d’enrôlement
Enrôlement pour le compte d’un tiers, suivant le modèle Enrôlement pour le compte d’un tiers, suivant le modèle d’autorité d’enregistrement (d’autorité d’enregistrement (Registration AuthorityRegistration Authority))
Processus de délivrance « analogue » aux cartes d’identités et Processus de délivrance « analogue » aux cartes d’identités et passeports passeports
Principalement pour la demande de certificats de type « Principalement pour la demande de certificats de type « SmartCardSmartCard » »
Disponible avec une AC d’entrepriseDisponible avec une AC d’entrepriseL’agent obtient un certificat sur la base du gabarit « L’agent obtient un certificat sur la base du gabarit « EnrollmentEnrollment Agent »Agent »
Application Policies: Certificate Request AgentApplication Policies: Certificate Request Agent
L’agent peut enrôler n’importe quel entité du domaineL’agent peut enrôler n’importe quel entité du domaine
Les requêtes sont relatives à des gabarits pour lesquels l’agent Les requêtes sont relatives à des gabarits pour lesquels l’agent d’enrôlement dispose des permissions nécessairesd’enrôlement dispose des permissions nécessaires
Au niveau des gabarits, les « Au niveau des gabarits, les « lssuance Policieslssuance Policies » doivent requérir une » doivent requérir une seule signature, celle de l’agent d’enrôlementseule signature, celle de l’agent d’enrôlement
Application Web d’enrôlement (Station d’enrôlement)Application Web d’enrôlement (Station d’enrôlement)
Agent d’enrôlement - recommandationsAgent d’enrôlement - recommandations
Le pouvoir de l’agent d’enrôlement impose des précautionsLe pouvoir de l’agent d’enrôlement impose des précautionsContrôler précisément l’émission du certificat « Contrôler précisément l’émission du certificat « EnrollmentEnrollment Agent » Agent » et l’intégrité la clé privée correspondanteet l’intégrité la clé privée correspondante
Configuration des permissions sur le gabarit « Enrollment Configuration des permissions sur le gabarit « Enrollment Agent »Agent »Amélioration de la sécurité avec les gabarits Version 2Amélioration de la sécurité avec les gabarits Version 2
Exiger l’approbation du Gestionnaire de certificatsExiger l’approbation du Gestionnaire de certificatsIssuance Requirements - CA certificate manager approvalIssuance Requirements - CA certificate manager approval
Ajouter une politique de certificat décrivant le processus Ajouter une politique de certificat décrivant le processus d’émission des certificatsd’émission des certificats
Retirer les permissions sur le gabarit « Retirer les permissions sur le gabarit « EnrollmentEnrollment Agent » après Agent » après émission des certificats « émission des certificats « EnrollmentEnrollment Agent » Agent »
Bonnes pratiquesBonnes pratiquesPlacer le certificat/clé privée « Placer le certificat/clé privée « EnrollmentEnrollment Agent » sur une carte à Agent » sur une carte à pucepucePour l’émission de carte à puce, utiliser une station d’enrôlement à Pour l’émission de carte à puce, utiliser une station d’enrôlement à double lecteur de cartedouble lecteur de carte
Une pour la carte de l’agent d’enrôlementUne pour la carte de l’agent d’enrôlementUne pour la carte à émettreUne pour la carte à émettre
Enrôlement automatiqueEnrôlement automatique
Offre une gestion automatique du cycle de vie des certificats Offre une gestion automatique du cycle de vie des certificats des utilisateurs et des machinesdes utilisateurs et des machines
Obtention initiale d’un certificatObtention initiale d’un certificat
Renouvellement/Remplacement d’un certificatRenouvellement/Remplacement d’un certificat
Purge et Archivage des certificatsPurge et Archivage des certificats
Gestion des magasins de certificats personnelsGestion des magasins de certificats personnels
Réalise des tâches de maintenanceRéalise des tâches de maintenanceMise à jour et en cache des gabaritsMise à jour et en cache des gabarits
Mise à jour des magasins des racines de confianceMise à jour des magasins des racines de confiance
Mise à jour des certifications croisées connues (AIA)Mise à jour des certifications croisées connues (AIA)
Maintient les certificats de l’attribut userCertificate du compte Maintient les certificats de l’attribut userCertificate du compte dans ADdans AD
Certificats expirés, certificats révoqués et archivage de certificatCertificats expirés, certificats révoqués et archivage de certificat
Ne s’applique qu’aux certificats pour lesquels le gabarit Ne s’applique qu’aux certificats pour lesquels le gabarit comprend la permission AutoEnroll pour le comptecomprend la permission AutoEnroll pour le compte
Mise en œuvre de l’enrôlement Mise en œuvre de l’enrôlement automatiqueautomatique
Gestionnaire de certificatsGestionnaire de certificatsa.a. Créer un gabarit de certificat avec Créer un gabarit de certificat avec AutoEnrollmentAutoEnrollment
b.b. Activer l’interaction Utilisateur (PIN) au niveau du gabarit de Activer l’interaction Utilisateur (PIN) au niveau du gabarit de certificatcertificat
c.c. Positionner les permissions Positionner les permissions Read, Enroll et AutoEnroll Read, Enroll et AutoEnroll sur le gabaritsur le gabarit
d.d. Publier le gabarit de certificat sur une AC d’entreprisePublier le gabarit de certificat sur une AC d’entreprise
Administrateur du domaineAdministrateur du domainea.a. Positionner une stratégie de groupe pour l’enrôlement automatique, Positionner une stratégie de groupe pour l’enrôlement automatique,
le renouvellement et la mise à jour des certificats le renouvellement et la mise à jour des certificats
User Configuration\Windows Settings\Security Settings\Public User Configuration\Windows Settings\Security Settings\Public Key PoliciesKey Policies
Autoenrollment SettingsAutoenrollment SettingsEnroll certificates automaticallyEnroll certificates automatically
Renew expired certificates, update pending certificates, and Renew expired certificates, update pending certificates, and remove revoked certificatesremove revoked certificates
Update certificates that use certificate templatesUpdate certificates that use certificate templates
Mise en œuvre de l’enrôlement Mise en œuvre de l’enrôlement automatiqueautomatique
Réside au niveau du processus Réside au niveau du processus userinit.exeuserinit.exeDéclenché par Déclenché par WinlogonWinlogon (ouverture de session interactive) pour les (ouverture de session interactive) pour les utilisateursutilisateurs
(Au démarrage pour les machines)(Au démarrage pour les machines)
Déclenché par l’application des stratégies de groupeDéclenché par l’application des stratégies de groupe
Intervalle 8 heures par défautIntervalle 8 heures par défaut
GPUpdate.exeGPUpdate.exe pour déclenchement manuel pour déclenchement manuel
UtilisateurUtilisateura.a. Sélectionner l’info bulle d’enrôlementSélectionner l’info bulle d’enrôlement
b.b. Insérer la carte à puce dans le lecteur et saisir le code PINInsérer la carte à puce dans le lecteur et saisir le code PIN
Enrôlement d’un certificat « Enrôlement d’un certificat « Contoso SmartIdContoso SmartId » » par le biais d’un agent d’enrôlementpar le biais d’un agent d’enrôlement
Création d’un gabarit « Création d’un gabarit « Contoso Signature Contoso Signature S/MIMES/MIME » avec support de l’enrôlement » avec support de l’enrôlement automatique sur carte à puceautomatique sur carte à puce
Enrôlement automatique d’un certificat Enrôlement automatique d’un certificat « « Contoso Signature S/MIMEContoso Signature S/MIME » »
Gestion des cartes à puceGestion des cartes à puceLa gestion des cartes à puce et des certificats ne s’arrête pas à La gestion des cartes à puce et des certificats ne s’arrête pas à l’enrôlement initiall’enrôlement initial
Nécessité de gérer les cartes oubliées, perdues/volées ou Nécessité de gérer les cartes oubliées, perdues/volées ou détériorées, le blocage des cartes, etc.détériorées, le blocage des cartes, etc.
Situation temporaire vs. Remplacement de la carteSituation temporaire vs. Remplacement de la carte
Définition des scénarios de retour en mode « Mot de passe » Définition des scénarios de retour en mode « Mot de passe »
Que se passe-t-il lorsque les cartes sont à cours d’espace de Que se passe-t-il lorsque les cartes sont à cours d’espace de stockage ?stockage ?
Comment les « purger » ? Quand les « purger » ? Que doit-on conserver Comment les « purger » ? Quand les « purger » ? Que doit-on conserver sur la carte ? sur la carte ?
Besoin de gérer le cycle de vie complet au-delà du seul Besoin de gérer le cycle de vie complet au-delà du seul enrôlementenrôlement
Personnalisation des cartes, enrôlement, délivrance, gestion des PIN, Personnalisation des cartes, enrôlement, délivrance, gestion des PIN, renouvellement de certificats, renouvellement des cartesrenouvellement de certificats, renouvellement des cartes
Intégration de Intégration de Certificate ServicesCertificate Services avec des solutions d’autorités avec des solutions d’autorités d’enregistrement (d’enregistrement (Registration AuthorityRegistration Authority) et de gestion de cartes ) et de gestion de cartes ((Card Management SystemsCard Management Systems))
Alacris idNexus, Gemplus SafeITes Card ManagerAlacris idNexus, Gemplus SafeITes Card Manager, , Intercede MyIDIntercede MyID EnterpriseEnterprise, Spyrus Signal IM, etc. , Spyrus Signal IM, etc.
Digital Identity Management SystemDigital Identity Management System (DIMS)(DIMS)
ConstatsConstatsLes certificats et les clés privées sont liés à une machine et ne sont Les certificats et les clés privées sont liés à une machine et ne sont pas errantspas errantsPour un même usage (S/MIME par exemple), les utilisateurs Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés privées peuvent posséder différents jeux de certificats et de clés privées sur chaque machinesur chaque machineOptions possiblesOptions possibles
Carte à puceCarte à puceNombre limité de « lettres de créance »Nombre limité de « lettres de créance »
Profils itinérantsProfils itinérantsDifficile à gérer et à administrerDifficile à gérer et à administrer
DIMS permet de délivrer les « lettres de créance » à la machine DIMS permet de délivrer les « lettres de créance » à la machine courante de l’utilisateur via la réplication Active Directory et les courante de l’utilisateur via la réplication Active Directory et les stratégies de groupesstratégies de groupes
Facilite l’usage de fonctions comme l’authentification client et la Facilite l’usage de fonctions comme l’authentification client et la messagerie sécuriséemessagerie sécurisée
Disponible dans le SP1 de Windows Server 2003Disponible dans le SP1 de Windows Server 2003Modèle de fichier ADMModèle de fichier ADMRequiert une extension de schémaRequiert une extension de schéma« « Configure credential roamingConfigure credential roaming » »
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/633d4258-557a-4bfc-86e1-bb30265f52b4.mspxServerHelp/633d4258-557a-4bfc-86e1-bb30265f52b4.mspx
Utilisation des cartes à puces au sein de Utilisation des cartes à puces au sein de MicrosoftMicrosoft
«« Microsoft Operation and Technology group chose to deploy Microsoft Operation and Technology group chose to deploy Smart Cards because of the cumulative sum of its reliability, Smart Cards because of the cumulative sum of its reliability, performance, cost, features, mobility benefits, and integration performance, cost, features, mobility benefits, and integration with the Microsoft OTG Windows network environmentwith the Microsoft OTG Windows network environment » »Smart Card Deployment at MicrosoftSmart Card Deployment at Microsoft
http://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.mspxhttp://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.mspx
Une seule carte est aujourd’hui nécessaire pour accéder Une seule carte est aujourd’hui nécessaire pour accéder l’ensemble des actifs physiques et d’information l’ensemble des actifs physiques et d’information MicrosoftMicrosoftLe PIN initial doit être changé de façon avant toute connexion Le PIN initial doit être changé de façon avant toute connexion au réseauau réseau
Les PINs doivent être alphanumérique et comprendre entre 5 et 8 Les PINs doivent être alphanumérique et comprendre entre 5 et 8 caractèrescaractères
Usage imposé (obligatoire) pour tous les accès RAS et VPNUsage imposé (obligatoire) pour tous les accès RAS et VPN
Résumé de la sessionRésumé de la session
La carte à puce est un élément clé en réponse aux besoins de La carte à puce est un élément clé en réponse aux besoins de sécurité interne de l’entreprisesécurité interne de l’entreprise
Le déploiement d’une infrastructure PKI avec Windows Server Le déploiement d’une infrastructure PKI avec Windows Server 2003 permet d’intégrer simplement et rapidement la carte à 2003 permet d’intégrer simplement et rapidement la carte à pucepuce
Les applications existent et en tirent partiLes applications existent et en tirent parti
Les applications « sur mesure » peuvent en tirer parti et ainsi Les applications « sur mesure » peuvent en tirer parti et ainsi améliorer leur niveau de sécuritéaméliorer leur niveau de sécurité
Pour plus d’informationsPour plus d’informations« « Best Practices for Implementing a Microsoft Windows Server 2003 Best Practices for Implementing a Microsoft Windows Server 2003 Public Key InfrastructurePublic Key Infrastructure » »
http://www.microsoft.com/technet/prodtechnol/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx windowsserver2003/technologies/security/ws3pkibp.mspx
« « Implementing and Administering Certificate Templates in Windows Implementing and Administering Certificate Templates in Windows Server 2003Server 2003 » »
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technolohttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspxgies/security/ws03crtm.mspx
« « Certificate Autoenrollment in Windows Server 2003Certificate Autoenrollment in Windows Server 2003 » »http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspxtechnologies/security/autoenro.mspx
« « Troubleshooting Windows 2000 PKI Deployment and Smart Card Troubleshooting Windows 2000 PKI Deployment and Smart Card LogonLogon »»
http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f-http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f-45d307b8cc88/smrtcrdtrbl.doc45d307b8cc88/smrtcrdtrbl.doc
«« Smart Cards in the Enterprise: Lifecycle Management Systems are a Smart Cards in the Enterprise: Lifecycle Management Systems are a Key ComponentKey Component »»
http://http://www.burtongroup.com/research_consulting/doc.asp?docid=8www.burtongroup.com/research_consulting/doc.asp?docid=8
Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec
91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex
www.microsoft.com/france
0 825 827 8290 825 827 829
[email protected]@microsoft.com