2/29/2012 5:10 PM

La stratgie scurit de Microsoft

PKI et utilisation des cartes puce en entreprise

Isolation et rsilience

Authentification, Autorisation, Excellence Audit Mise jour de

avance lengineering Conseils, Outils, Rponse

Philippe Beraud Consultant Principal Microsoft France

Certificats numriques Sommaire

Certificats, Cartes puce (Smart Cards) et prise en compte par la plateplateforme Windows Utilisation des certificats et des cartes puces Dploiement des cartes puces avec Certificate Services de Windows Server 2003
Gabarits de certificat (Certificate Template) Mthodes denrlement pour les certificats sur les cartes puce

Cryptographie asymtrique (cl publique, cl prive) Ex. Signature numrique dun message
Crer une signature numrique (metteur)
Message envoyer Condens
Py75c%bn&*)9|fDe^bDFaq#x zjFr@g5=&nmdFg$5knvMdr kvegMs Fonction de hashage (SHA, MD5)

Signature numrique
Jrf843kjfgf*$&Hdif*7oUsd*& @:<CHDFHSD(**

Chiffrement asymtrique

Cl prive

Gestion des cartes puce (et des certificats) Digital Identity Management System (DIMS)

Vrifier une signature numrique (destinataire)

Jrf843kjfgf*$&Hdif*7oUsd*& @:<CHDFHSD(** Dchiffrement asymtrique Py75c%bn&*)9|fDe^ bDFaq#xzjFr@g5=& nmdFg$5knvMdrkve gMs

Condens

Signature numrique

Cl publique envoye avec le message ? == ?

Py75c%bn&*)9|fDe^ bDFaq#xzjFr@g5=& nmdFg$5knvMdrkve gMs

Message reu

Mme fonction de hashage

Certificats numriques
Certificats X509 v3 quivalent dune pice didentit pour un utilisateur ou une machine
Identit du sujet Identit de lmetteur Sujet: Philippe Beraud metteur: Issuing CA Valide partir de: 01/05/2005 Valide jusquau: 01/05/2006 CDP:URL=http://fqdn/crl/CA.crl AIA:URL=http://fqdn/ca.crt Cl publique du sujet: RSA 1024.. Politique dapplication: Client Authentication, SmartCard Logon... Numro de srie: 78F862 Signature: F976AD

Composants dune PKI

Outils de gestion des cls et des certificats, Audit Autorit de Certification (AC) Points de distribution des certificats et des CRL (CDP) Chemins ldap:, http:, file:

Valeur de la cl publique du sujet Signature numrique de lAutorit de Certification (AC)

Dure de validit Chemin pour la CRL Chemin pour la rcupration du certificat AC

La signature numrique garantie lintgrit des donnes (idem pour une CRL)

Certificat Numrique

Liste de rvocation des certificats (CRL)

Services et applications sappuyant sur une PKI

De plus en plus intgrs avec les services et applications

Ouverture de session par carte puce, messagerie scurise, applications de signature lectronique, VPN, WiFi, etc.

2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.

2/29/2012 5:10 PM

Cartes puce (Smart Cards)

Offrent une protection forte pour les cls prives des certificats Permettent de raliser des oprations cryptographiques Offrent une rponse aux besoins d'authentification forte, de preuve d'identit renforce
Authentification 2 facteurs

Prise en compte des cartes puce par Windows

Installation du pilote du lecteur de carte (et outils associs) Installation du fournisseur de service de cryptographie (Cryptographic (Cryptographic Service Provider ou CSP) de la carte
Application Crypto API Gestion de certificats et Oprations fournisseurs de cryptographiques stockage CSP Stockage des certificats CSP

Permettent de disposer dun badge dentreprise unique

Rapprochement des mondes physique et numrique

Offrent une commodit dusage

Format facile grer Simplification de lexprience utilisateur

Constituent une plateforme daccueil pour dautres applications de lentreprise

Base des cls

Chaque type de Smart Card ncessite un CSP spcifique

En standard Gemplus, Infineon, Schlumberger (Axalto)

Authentification forte des utilisateurs

Ouverture de session Windows par carte puce
galement pour les sessions Terminal Services et Remote Desktop

Ouverture de session par carte puce

Extension Kerberos PKINIT
248753 Description of PKINIT Version Implemented in Kerberos in Windows 2000

Authentification cliente SSL/TLS par certificat

Portail/Application Web scuris, Web SSO (fdr) avec ADFS (Windows Server 2003 R2), Obtention de licences de publication RMS/Consultation de contenus protgs par RMS (SP1)

http://support.microsoft.com/?id=248753 http://support.microsoft.com/?id=248753
WINLOGON 1
MSGINA rcupre le code PIN

Accs distant via VPN

Authentification EAP-TLS EAP259880 Configuring a VPN to Use Extensible Authentication Protocol (EAP) http://support.microsoft.com/?id=259880 http://support.microsoft.com/?id=259880

2 LSA

Objet utilisateur: Nom, UPN, Appartenance aux groupes, Publication Certificat

AD

5 3 Cl prive 4 8 KERBEROS SSP PA_PK_AS_REQ

Certificat utilisateur sign avec la cl prive

6 KDC

Scurisation accs wireless 802.11

Authentification EAP-TLS EAP-

PA_PK_AS_REP
Contenant: TGT + PAC + cl de session + condens NTLM du mot de passe a. Utilise la cl publique du certificat pour dchiffrer lAS_REQ Vrifie le NTAuth Mappe lUPN Crer un TGT

Points communs
Ouverture de session par certificat Deux modes possibles
UPN/NTAuth userPrincipalName Mappage explicite - altSecurityIdentities

Le client Kerberos dchiffre la cl de session avec la cl prive

Chiffr avec la cl publique 7

b. c. d.

Ouverture de session par carte puce

Ncessite des certificats Smartcard et Domain Controller valides Ces certificats doivent respecter les exigences suivantes
Le certificat Smartcard doit tre mis par une AC rfrence dans le magasin NTAuth La chane de certificats doit se terminer par une racine de confiance Tous les certificats de la chane doivent Contenir une extension CDP pour la CRL qui doit pouvoir tre obtenue et tre temporellement valide Pouvoir tre obtenu, en tant dj sur la machine (cache) ou en tant atteignable via les transports rseau Aucun ne doit tre rvoqu

Ouverture de session et stratgies de groupe

Imposer une ouverture de session par carte puce
Par stratgie de groupe
Computer Settings\Windows Settings\Security Settings\Local Policies\Security Settings\ Settings\ Settings\ Policies\ Options Interactive Login:Smart Card Required Requiert Windows XP SP2 Ne modifie pas le mot de passe de lutilisateur

Via lattribut utilisateur

Smart card is required for interactive logon du compte

Modifie le mot de passe de lutilisateur une valeur non connue

Dfinir le comportement lorsque la carte puce est retire

Computer Settings\Windows Settings\Security Settings\Local Settings\ Settings\ Settings\ Policies\ Policies\Security Options
Interactive Login:Smart Card Removal Behavior No Action Lock Workstation Force Logout

2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.

2/29/2012 5:10 PM

Authentification cliente SSL/TLS par certificat

Authentification mutuelle La premire tape consiste valider la chane de certificats relative au certificat client reu ct IIS La seconde tape consiste rendre possible lauthentification et louverture de session possible de par lexistence dun mappage
1. 2.

Une tentative de mappage implicite est ralise en premier En cas dchec, un mappage explicite est alors essay en second lieu Attribut AltSecurityIdentity de lobjet utilisateur

Si un mappage implicite est utilis, le certificat doit tre chan une racine de confiance et lAC mettrice doit tre prsente dans le magasin NTAuth Si un mappage explicite est utilis, le certificat doit tre simplement chan une racine de confiance Le certificat est transmis au contrleur de domaine o lutilisateur est recherch et un PAC (Privilege Attribute Certificate) gnr (Privilege Certificate)

Ouverture de session par carte puce Authentification SSL/TLS avec un certificat client

Autres utilisations des cartes puce

Tches administratives
Promotion dun contrleur de domaine
DCPromo avec /ADV

Certificate Services de Windows Server 2003

Service natif de la plateforme Windows Server 2003 permettant la mise en uvre dune Autorit de Certification (AC) Bas sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 Aucun cot additionnel de licence ou par certificat mis Deux types dAC
Autonome (principalement) pour les AC racines et CA intermdiaires hors ligne Entreprise pour les AC mettrices sur une infrastructure AD Ressource de la fort, disponible auprs des utilisateurs des domaines de la fort

Changement de lettre de crance

RunAs avec /Smartcard /Smartcard

Connexion des ressources rseau

Net Use avec /Smartcard /Smartcard

Connexion Remote Desktop/Terminal Services

Messagerie scurise via S/MIME

Chiffrement/Signature des messages
Outlook (Office), Outlook Express, Outlook Web Access (ActiveX)

Signature XMLDIG
Infopath (Office), Classes .Net

Moyen le plus direct avec une AC dentreprise de dployer/grer des certificats et de tirer parti des applications qui les utilisent Gabarits de certificats personnalisables, enrlement et renouvellement automatique, support des cartes puces, etc.

Gabarits de certificat
Format et le contenu du certificat X509 v3
Subject et Alternative Subject Name Rle du certificat, Application Policies Validit et priode de renouvellement, Slection dun ou plusieurs CSPs, (archivage de la cl prive)

Mthodes denrlement pour les certificats sur les cartes puce

Agent denrlement Enrlement automatique

Mthodes denrlement (manuel/auto) et lssuance Policies (quel contrle est utilis pour lmission du certificat) Permissions denrlement (ACLs)
Quel utilisateur a droit quels certificats (Read, Enroll, AutoEnroll, etc.) Enroll, LAC vrifie lautorisation du demandeur sur le gabarit rfrenc

Le certificat est enrl pour le compte de lutilisateur Utiliser un agent denrlement

Si vous avez des clients Windows 2000 sur le rseau Si vous exigez une remise en main propre de la carte Si la politique de scurit le ncessite

Utiliss par les ACs dentreprise de la fort

Gabarits version 1 et 2 crs par dfaut lors de linstallation dune AC dentreprise Modifiables (version 2) Windows 2003 comprend 29 gabarits prdfinis

Distribution de carte vierge et activation de lenrlement automatique Utiliser lenrlement automatique

Si vous avez des clients Windows XP et Windows 2003 sur le rseau Si les types de CSPs sont en nombre limit Si la politique de scurit autorise lenrlement automatique

2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.

2/29/2012 5:10 PM

Agent denrlement
Enrlement pour le compte dun tiers, suivant le modle dautorit denregistrement (Registration Authority) (Registration Authority)
Processus de dlivrance analogue aux cartes didentits et passeports Principalement pour la demande de certificats de type SmartCard

Agent denrlement - recommandations

Le pouvoir de lagent denrlement impose des prcautions
Contrler prcisment lmission du certificat Enrollment Agent et lintgrit la cl prive correspondante Configuration des permissions sur le gabarit Enrollment Agent Amlioration de la scurit avec les gabarits Version 2 Exiger lapprobation du Gestionnaire de certificats

Disponible avec une AC dentreprise

Lagent obtient un certificat sur la base du gabarit
Application Policies: Certificate Request Agent

Enrollment Agent

Issuance Requirements - CA certificate manager approval

Lagent peut enrler nimporte quel entit du domaine Les requtes sont relatives des gabarits pour lesquels lagent denrlement dispose des permissions ncessaires Au niveau des gabarits, les lssuance Policies doivent requrir une seule signature, celle de lagent denrlement

Ajouter une politique de certificat dcrivant le processus dmission des certificats Retirer les permissions sur le gabarit Enrollment Agent aprs mission des certificats Enrollment Agent


Bonnes pratiques
Placer le certificat/cl prive Enrollment Agent sur une carte puce Pour lmission de carte puce, utiliser une station denrlement double lecteur de carte Une pour la carte de lagent denrlement Une pour la carte mettre


Application Web denrlement (Station denrlement)

Enrlement automatique
Offre une gestion automatique du cycle de vie des certificats des utilisateurs et des machines
Obtention initiale dun certificat Renouvellement/Remplacement dun certificat Purge et Archivage des certificats Gestion des magasins de certificats personnels

Ralise des tches de maintenance

Mise jour et en cache des gabarits Mise jour des magasins des racines de confiance Mise jour des certifications croises connues (AIA)

Maintient les certificats de lattribut userCertificate du compte dans AD

Certificats expirs, certificats rvoqus et archivage de certificat

Ne sapplique quaux certificats pour lesquels le gabarit comprend la permission AutoEnroll pour le compte

Mise en
a. b. c. d.

uvre de lenrlement automatique

Gestionnaire de certificats
Crer un gabarit de certificat avec AutoEnrollment Activer linteraction Utilisateur (PIN) au niveau du gabarit de certificat Positionner les permissions Read, Enroll et AutoEnroll sur le gabarit Publier le gabarit de certificat sur une AC dentreprise

Administrateur du domaine
a. Positionner une stratgie de groupe pour lenrlement automatique, le renouvellement et la mise jour des certificats User Configuration\Windows Settings\Security Settings\Public Key Configuration\ Settings\ Settings\ Policies Autoenrollment Settings
Enroll certificates automatically Renew expired certificates, update pending certificates, and remove revoked certificates Update certificates that use certificate templates

Mise en

uvre de lenrlement automatique

Rside au niveau du processus userinit.exe

Dclench par Winlogon (ouverture de session interactive) pour les utilisateurs (Au dmarrage pour les machines) Dclench par lapplication des stratgies de groupe Intervalle 8 heures par dfaut GPUpdate.exe pour dclenchement manuel

Utilisateur
a. Slectionner linfo bulle denrlement b. Insrer la carte puce dans le lecteur et saisir le code PIN

Enrlement dun certificat Contoso SmartId par le biais dun agent denrlement Cration dun gabarit Contoso Signature S/MIME avec support de lenrlement automatique sur carte puce Enrlement automatique dun certificat Contoso Signature S/MIME
  

2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.

2/29/2012 5:10 PM

Gestion des cartes puce

La gestion des cartes puce et des certificats ne sarrte pas lenrlement initial
Ncessit de grer les cartes oublies, perdues/voles ou dtriores, le blocage des cartes, etc.
Situation temporaire vs. Remplacement de la carte Dfinition des scnarios de retour en mode Mot de passe


Digital Identity Management System (DIMS)

Constats
Les certificats et les cls prives sont lis une machine et ne sont pas errants Pour un mme usage (S/MIME par exemple), les utilisateurs peuvent possder diffrents jeux de certificats et de cls prives sur chaque machine Options possibles
Carte puce Nombre limit de lettres de crance Profils itinrants Difficile grer et administrer


Que se passe-t-il lorsque les cartes sont cours despace de stockage ? passeComment les purger ? Quand les purger ? Que doit-on conserver sur la doitcarte ?

Besoin de grer le cycle de vie complet au-del du seul enrlement auPersonnalisation des cartes, enrlement, dlivrance, gestion des PIN, renouvellement de certificats, renouvellement des cartes

Intgration de Certificate Services avec des solutions dautorits denregistrement (Registration Authority) et de gestion de cartes (Card (Registration Authority) (Card Management Systems) Systems)
Alacris idNexus, Gemplus SafeITes Card Manager, Intercede MyID Manager, Enterprise, Enterprise, Spyrus Signal IM, etc.

DIMS permet de dlivrer les lettres de crance la machine courante de lutilisateur via la rplication Active Directory et les stratgies de groupes
Facilite lusage de fonctions comme lauthentification client et la messagerie scurise

Disponible dans le SP1 de Windows Server 2003

Modle de fichier ADM Requiert une extension de schma Configure credential roaming


http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/633d425 8-557a-4bfc-86e1-bb30265f52b4.mspx 557a-4bfc-86e1-

Rsum de la session
La carte puce est un lment cl en rponse aux besoins de scurit interne de lentreprise Le dploiement dune infrastructure PKI avec Windows Server 2003 permet dintgrer simplement et rapidement la carte puce
Les applications existent et en tirent parti Les applications sur mesure peuvent en tirer parti et ainsi amliorer leur niveau de scurit

Utilisation des cartes puces au sein de Microsoft

Microsoft Operation and Technology group chose to deploy Smart Cards because of the cumulative sum of its reliability, performance, cost, features, mobility benefits, and integration with the Microsoft OTG Windows network environment
Smart Card Deployment at Microsoft
http://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.mspx

Une seule carte est aujourdhui ncessaire pour accder lensemble des actifs physiques et dinformation Microsoft Le PIN initial doit tre chang de faon avant toute connexion au rseau
Les PINs doivent tre alphanumrique et comprendre entre 5 et 8 caractres

Usage impos (obligatoire) pour tous les accs RAS et VPN

Pour plus dinformations

Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologi es/security/ws3pkibp.mspx Implementing and Administering Certificate Templates in Windows Server 2003
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/securit y/ws03crtm.mspx

Certificate Autoenrollment in Windows Server 2003

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/securit y/autoenro.mspx

Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon

http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890fhttp://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f45d307b8cc88/smrtcrdtrbl.doc

Smart Cards in the Enterprise: Lifecycle Management Systems are a Key Component
http://www.burtongroup.com/research_consulting/doc.asp?docid=8 http://www.burtongroup.com/research_consulting/doc.asp?docid=8

Microsoft France 18, avenue du Qubec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com

2005 Microsoft Corporation . All rights reserved. This presentation is for inform ationa l purposes only. Microsoft make s no warranties, expre ss or implied, in this sum mary.