Ce livre sur les infrastructures de PKI sécurisées et la gestion de certificats sous Windows Server 2016 s'adresse aux administrateurs et architectes système et Active Directory soucieux de sécuriser leurs infrastructures Windows. Il est également recommandé à tout professionnel de l'informatique désireux de comprendre le fonctionnement et les techniques de cryptographie ainsi que l'usage concret qui peut en être fait en entreprise.

L'approche volontairement pratique choisie par l'auteur permet à un lecteur novice sur le sujet d'en comprendre tous les tenants et aboutissants et d'implémenter des solutions. Le lecteur plus expérimenté y trouvera les informations très détaillées dont il a besoin pour conforter ou améliorer ses connaissances sur le sujet. Chaque thème est illustré d'exemples pratiques de production issus de l'expérience de terrain de l'auteur. Bien que s'appuyant sur le système Windows Server 2016 et ses nouveautés, ce livre reste facilement transposable pour une utilisation en environnement Windows 2012 R2.

Dans un chapitre dédié, l'auteur guide le lecteur pas à pas dans la mise en place de la plateforme de tests, composée d'ordinateurs virtuels, qui permet la réalisation des divers ateliers de l'ouvrage

Dans un premier temps, l'auteur introduit les concepts théoriques de base de la cryptographie pour poser les fondations essentielles permettant de comprendre les mécanismes de sécurisation mis en œuvre. Les processus d'installation d'une autorité de certification, la gestion des certificats associés et les utilisations courantes en production (sites web et réseaux sécurisés, chiffrement de fichier, signature de code...) sont ensuite détaillés. Issu de la collaboration de l'auteur avec la société Cardelya (société française spécialisée dans la sécurité numérique et le contrôle d'accès), le chapitre qui suit donne les clés de l'utilisation de cartes à puce pour un renforcement conséquent de la sécurisation de l'accès aux certificats. Un chapitre est ensuite dédié à l'implémentation d'architectures de PKI sécurisées. Ce type d'architecture fortement implémentée en entreprise garantit à la fois l'évolutivité et la sécurité des services de certificats. Les deux derniers chapitres sont consacrés aux processus fondamentaux de révocation de certificats à l'extérieur de l'entreprise, par site web et avec répondeurs OCSP.

Des éléments complémentaires sont en téléchargement sur le site www.editions-eni.fr.


Les chapitres du livre :
Introduction – Plateforme de test – Cryptographie – Autorité de certification entreprise – Gestion automatisée des certificats – Sites web sécurisés (SSL) – Signature de code PowerShell – IPsec (Internet Protocol Security) – Révocation de certificat dans l'entreprise – Archivage automatique des certificats – Utilisation de cartes à puce – Architectures PKI sécurisées – Publication de révocation en HTTP – Répondeurs OCSP

Téléchargements

• Des fichiers complémentaires (6,97 Ko)

Introduction

1. Avant-propos
2. Objectif du livre
   1. 1. Pourquoi un livre sur la PKI Microsoft ?
   2. 2. Préparation aux certifications Microsoft
3. Approche pratique
4. Conditions requises
   1. 1. Public visé
   2. 2. Connaissances préalables
5. Organisation de l'ouvrage
   1. 1. Les chapitres du livre
   2. 2. Détails des chapitres
6. L'auteur

Plateforme de test

1. Introduction
2. Prérequis ordinateur physique
3. Sources d'installation
   1. 1. Accès aux sources d’installation
   2. 2. Activation des sources d’installation
4. Raccourcis-clavier essentiels
5. Atelier Plateforme de test
   1. 1. Objectif
   2. 2. Hyper-V
      1. a. Installer le rôle Hyper-V
      2. b. Configurer Hyper-V
      3. c. Créer les commutateurs virtuels
   3. 3. Base Windows 2016
      1. a. Installer la base serveur 2016
      2. b. Personnaliser la base Server 2016
      3. c. Généraliser la base serveur 2016
   4. 4. Base Windows 10
      1. a. Installer la base Windows 10
      2. b. Personnaliser la base Windows 10
      3. c. Généraliser la base Windows 10
   5. 5. Créer les ordinateurs virtuels
      1. a. Créer le disque de différenciationdu serveur s1
      2. b. Créer l’ordinateur virtuel s1
   6. 6. Personnaliser les ordinateurs virtuels
      1. a. Finaliser l’installation des serveurs
      2. b. Finaliser l’installation du client w10
      3. c. Activer la licence des ordinateurs virtuels
      4. d. Paramétrer les ordinateurs virtuels
   7. 7. Créer un point de contrôle BASE
   8. 8. Active Directory (corp.lan)
      1. a. Installer Active Directory
      2. b. Valider l’installation de l’Active Directory
      3. c. Personnaliser l’Active Directory
   9. 9. Intégrer les ordinateurs au domaine
   10. 10. Créer un point de contrôle AD

Cryptographie

1. Introduction
2. Chiffrement des données (confidentialité)
   1. 1. Chiffrement symétrique
   2. 2. Chiffrement asymétrique
   3. 3. Comparatif chiffrement symétrique et asymétrique
3. EFS (Encrypting File System)
   1. 1. Fonctionnement
   2. 2. Partage de fichiers chiffrés
   3. 3. Agent de récupération EFS
      1. a. Fonctionnement
   4. 4. Conclusion
4. Atelier : Chiffrement EFS
   1. 1. Objectif
   2. 2. Préparation de l’atelier
      1. a. Restauration de l’ordinateur w10 en Workgroup
      2. b. Partage de fichiers chiffrés
   3. 3. Sauvegarde de certificats
   4. 4. Agent de récupération EFS
      1. a. Méthodologie
      2. b. Génération des certificats d’agentde récupération

Autorité de certification entreprise

1. Introduction
2. Installation
   1. 1. Méthodologie
   2. 2. Recommandations d’installation
   3. 3. Obtenir un certificat
      1. a. Localiser l’autorité de certification
      2. b. Qui peut obtenir un certificat ?
3. Authenticité des certificats
   1. 1. Processus de signature d’un certificat
   2. 2. Processus de validation de la signature d’un certificat
   3. 3. Validation de l’intégrité d’un certificat
      1. a. Calcul de Hash
      2. b. Intégrité du certificat
4. Types d'autorités de certification
5. Atelier : Algorithmes de hachage
6. Atelier : Installer une autorité de certification
   1. 1. Objectif
   2. 2. Installer le rôle
   3. 3. Configurer le rôle
   4. 4. Valider l’installation
   5. 5. Inscrire un certificat
   6. 6. Créer un point de contrôle

Gestion automatisée des certificats

1. Introduction
2. Modèle de certificat
   1. 1. Modèle de certificat par défaut
   2. 2. Personnalisation de modèles
   3. 3. Propriétés des modèlesde certificats
      1. a. Onglet Général
      2. b. Onglet Traitement de la demande
      3. c. Onglet Chiffrement
      4. d. Onglet Conditions d’émission
      5. e. Onglet Modèles obsolètes
      6. f. Onglet Extensions
      7. g. Onglet Sécurité
      8. h. Onglet Attestation de clé
      9. i. Onglet Nom du sujet
      10. j. Onglet Serveur
      11. k. Onglet compatibilité
3. Déploiement automatique de certificats
4. Stratégies de groupe
   1. 1. Activation du déploiement automatique decertificat
5. Chiffrement des fichiers EFS dans un domaine
   1. 1. Chiffrement de fichiers
   2. 2. Agent de récupération EFS
6. Atelier : Chiffrement EFS dans un domaine
   1. 1. Objectif
   2. 2. Créer un nouveau modèle de certificatsEFS Basique
   3. 3. Modifier le modèle de certificat utilisé pourEFS
   4. 4. Déploiement de certificat par stratégiede groupe
   5. 5. Chiffrement EFS
      1. a. Menu contextuel pour le chiffrement
      2. b. Validation du certificat EFS
      3. c. Chiffrement de fichiers EFS
7. Atelier : Agent de récupération EFS dans un domaine
   1. 1. Supprimer l’ancien agent de récupérationEFS
   2. 2. Obtenir un certificat d’agent de récupérationEFS
   3. 3. Activer l’agent de récupération
   4. 4. Récupération de fichiers chiffrésavec EFS

Sites web sécurisés (SSL)

1. Introduction
2. Processus de connexion SSL
3. Méthodologie d'implémentation
4. Atelier : Serveur web sécurisé
   1. 1. Objectif
   2. 2. Créer un serveur web IIS (Internet InformationServices) (S3)
      1. a. Installer le rôle
      2. b. Valider l’installation
      3. c. Créer le document par défaut
      4. d. Tester l’accès au site depuis lenavigateur Internet
   3. 3. Sécuriser l’accès au site avec SSL
      1. a. Obtenir un certificat pour le serveur web
      2. b. Lier le certificat avec le service IIS
   4. 4. Valider la connexion SSL
   5. 5. Tester les erreurs de connexion sécuriséeau site web
      1. a. Navigation SSL avec URL incorrecte
      2. b. Navigation SSL sans certificat d’autorité decertification
   6. 6. Révoquer les certificats de serveurs web

Signature de code PowerShell

1. Introduction
2. Niveaux de restriction d'exécution de script PowerShell
3. Méthodologie de signature de code
4. Éditeurs approuvés
5. Durée de validité des scripts
   1. 1. Révocation du certificat de signature
   2. 2. Renouvellement de certificat de signature de code
6. Horodatage numérique
7. Atelier : Signature de code PowerShell
   1. 1. Objectif
   2. 2. Obtenir un certificat de signature de code
   3. 3. Modifier le niveau d’exécution PowerShell
   4. 4. Signature du script
   5. 5. Éditeur authentifié
      1. a. Visualiser le certificat de l’éditeurapprouvé
      2. b. Déployer les certificats d’éditeurpar stratégies de groupe
   6. 6. Intégrité du script
   7. 7. Horodatage du script
      1. a. Connexion à Internet
      2. b. Horodatage du script
   8. 8. Révocation de certificats de signature descripts

IPsec (Internet Protocol Security)

1. Introduction
2. Avantages d'IPsec
3. Règles de sécurité de connexion
4. Déploiement des règles de stratégies
5. Fonctionnement IPsec
6. Audit
7. Méthodologie d'implémentation
8. Atelier : Implémenter les connexions IPsec
   1. 1. Objectif
   2. 2. Créer une règle IPsec
   3. 3. Audit des associations de sécurité
   4. 4. Lien IPsec et pare-feu Windows
   5. 5. Exiger IPsec
   6. 6. Chiffrement IPsec
   7. 7. Authentification avec certificats

Révocation de certificat dans l'entreprise

1. Introduction
2. Liste de révocation
   1. 1. Type de liste de révocation
   2. 2. Emplacement des listes de révocation
   3. 3. Signature des listes de révocation
3. Processus de validation des certificats
4. Révocation d'un certificat
5. Dépannage des listes de révocation
   1. 1. Fréquence de publication
   2. 2. Mise en cache des listes de révocation
6. Emplacement des listes de révocation dans Active Directory
7. Atelier : Révocation de certificats
   1. 1. Objectif
   2. 2. Modifier les durées de publication
   3. 3. Révocation d’un certificat de site web
      1. a. Révoquer le certificat du serveur web
      2. b. Visualiser la liste de révocation
      3. c. Valider la publication dans Active Directory
      4. d. Valider la révocation
   4. 4. Révocation de certificats de signature descripts
      1. a. Révocation du certificat
      2. b. Valider la révocation
      3. c. Annuler une révocation de certificat

Archivage automatique des certificats

1. Introduction
2. Activation de l'archivage automatique
   1. 1. Agent de récupération de clés
   2. 2. Certificat archivé
3. Méthodologie d'activation de l'archivage automatique
4. Restauration de certificats archivés
5. Bonnes pratiques
   1. 1. Plusieurs agents de récupérationde clés
   2. 2. Sauvegarde des certificats d’agent de récupérationde clés
   3. 3. Partitionner les rôles
   4. 4. Exiger l’approbation du gestionnaire de certificat
   5. 5. Auditer les événements de récupérationde clés
6. Atelier : Archivage automatique des certificats
   1. 1. Obtenir un certificat d’agent de récupérationde clés
   2. 2. Activer l’archivage des clés
   3. 3. Inscrire un modèle supportant l’archivagede clé
   4. 4. Récupération d’un certificat archivé

Utilisation de cartes à puce

1. Introduction
2. Fournisseur de carte à puce (Cardelya)
   1. 1. Carte à puce
   2. 2. Token
   3. 3. Gestion des cartes à puce
3. Agent d'inscription
4. Utilisation des cartes à puces
5. Application pratique : Gestion de carte à puce
   1. 1. Objectif
   2. 2. Installer le logiciel de gestion
   3. 3. Mode Session étendue
      1. a. Activer le mode Session étendue
      2. b. Se connecter en mode Session étendue
   4. 4. Ouverture de session par carte à puce
      1. a. Personnaliser le modèle Connexion par carte à puce
      2. b. Tester l’ouverture de session avec la carte à puce
   5. 5. Agent d’inscription
      1. a. Personnaliser le modèle de certificat agentd’inscription
      2. b. Inscrire un certificat pour l’agent d’inscription
      3. c. Modifier le modèle d’ouverture de sessionpar carte à puce pour une inscription par agent d’inscription
      4. d. Inscrire un certificat carte à puce pourun utilisateur avec l’agent d’inscription
   6. 6. Ouverture de session par carte à puce pouru1
      1. a. Autoriser l’ouverture de session Bureau à distance
      2. b. Intégrer le compte U1 au groupe Admins dudomaine
      3. c. Ouvrir une session avec la carte à puce
   7. 7. Gestion des cartes à puce
      1. a. Connexion de la carte à puce
      2. b. Modification du code PIN
      3. c. Supprimer un certificat sur la carte

Architectures PKI sécurisées

1. Introduction
2. Hiérarchie à plusieurs niveaux
   1. 1. Hiérarchie à deux niveaux
   2. 2. Hiérarchie à trois niveaux
3. Particularités d'implémentation
4. Fichier CAPolicy.inf
   1. 1. Avantages
   2. 2. Sections du fichier CAPolicy.inf
      1. a. Section Version
      2. b. Sections PolicyStatementExtension et LegalPolicy
      3. c. Section [EnhancedKeyUsageExtension]
      4. d. Section [Certsrv_Server]
      5. e. Section [BasicConstraintsExtension]
5. Tâches de postconfiguration
6. Publication manuelle dans Active Directory
   1. 1. Publication manuelle
      1. a. Publication manuelle des listes de révocation
      2. b. Publication manuelle du certificat de l’autorité
   2. 2. Emplacement des éléments publiés
7. Extensions AIA et CDP
   1. 1. Ajout aux certificats émis
   2. 2. Accès interne et externe
   3. 3. Options des emplacements CDP
      1. a. Options Publier
      2. b. Options Inclure
      3. c. Option IDP
   4. 4. Option des emplacements AIA
      1. a. Inclure dans l’extension AIA des certificats émis
   5. 5. Extensions par défaut
   6. 6. Modification des extensions
      1. a. Extensions sur l’autorité racine
      2. b. Extensions sur l’autorité secondaire émettrice
      3. c. Automatiser les modifications d’extension
8. Méthodologie d'implémentation
9. Atelier : Architecture de PKI sécurisée
   1. 1. Objectif
   2. 2. Restauration des points de contrôle
   3. 3. Autorité de certification racine hors connexion
      1. a. Installer le rôle
      2. b. Configurer le rôle
      3. c. Valider l’installation
   4. 4. Modifier les extensions de l’autorité racine
   5. 5. Publications des listes de révocation etAIA dans l’Active Directory
   6. 6. Installation de l’autorité secondaire émettrice
      1. a. Fixer la durée de validité de l’autorité decertification secondaire
      2. b. Configurer le rôle
      3. c. Valider l’installation
   7. 7. Validation de l’architecture
   8. 8. Point de contrôle architecture PKI sécurisée

Publication de révocation en HTTP

1. Introduction
2. Publication en HTTP (serveur web IIS)
   1. 1. Emplacement du serveur web de publication
   2. 2. Fichiers à publier en HTTP
   3. 3. Méthode de publication
   4. 4. Configuration du serveur web
3. Modification des extensions CDP et AIA
4. Validation de l'accès aux emplacements CDP\AIA
5. Atelier pratique : Révocation Wan (VPN SSTP)
   1. 1. Restauration de l’architecture PKI sécurisée
   2. 2. Installer un serveur VPN
      1. a. Configuration du serveur VPN
      2. b. Installation et configuration du rôle VPN
      3. c. Personnalisation du serveur VPN
   3. 3. Résolution DNS publique
      1. a. Obtenir un certificat pour le serveur VPN SSTP
      2. b. Publier le nouveau modèle de certificat
      3. c. Inscrire un certificat VPN
   4. 4. Lier le certificat au service VPN
   5. 5. Connexion VPN depuis le client
      1. a. Autoriser l’utilisateur u1 à seconnecter au serveur VPN
      2. b. Connecter le client sur le Wan
      3. c. Créer la connexion VPN
      4. d. Tester la connexion VPN
   6. 6. Point de contrôle VPN SSTP
   7. 7. Déplacer les listes de révocationsur le serveur web
   8. 8. Créer et paramétrer le répertoirevirtuel
      1. a. Créer le répertoire virtuel certenroll
      2. b. Paramétrage du nouveau répertoirevirtuel
   9. 9. Ajout du nouveau chemin de révocation (CDP)
      1. a. Ajout des nouvelles extensions CDP et AIA
      2. b. Vérifier l’accès aux listesde révocation
   10. 10. Obtenir un nouveau certificat pour le serveur VPN
   11. 11. Valider l’accès aux emplacementsCDP et AIA
       1. a. Valider les extensions du certificat VPN
       2. b. Valider les extensions avec PKI Entreprise
       3. c. Valider les extensions depuis le client w10
   12. 12. Établir la connexion cliente SSTP
       1. a. Associer le nouveau certificat au service SSTP
       2. b. Établir la connexion

Répondeurs OCSP

1. Introduction
   1. 1. Fonctionnement
   2. 2. Protocole OCSP
2. Configuration de révocation
   1. 1. Assistant de configuration de révocation
   2. 2. Certificat OCSP
3. Signature de réponses OCSP
   1. 1. Nombre de répondeurs OCSP
4. Modification des extensions AIA
5. Processus de validation de la révocation
   1. 1. Mise en cache des réponses OCSP
   2. 2. Listes de révocation OCSP
6. Validation de la révocation OCSP
   1. 1. Validation rapide
   2. 2. Validation de révocation OCSP détaillée
7. Méthodologie d'implémentation
8. Application pratique : Répondeur OCSP
   1. 1. Objectif
   2. 2. Restaurer le point de contrôle VPN SSTP
   3. 3. Installer le serveur OCSP
   4. 4. Configuration de révocation
   5. 5. Modification des extensions
   6. 6. Valider le bon fonctionnement du serveur OCSP
   7. 7. Obtenir un nouveau certificat pour le serveur SSTP
   8. 8. Associer le nouveau certificat au service SSTP
   9. 9. Valider le serveur OCSP depuis le client