PKI et utilisation des cartes à PKI et utilisation des cartes à puce en entreprisepuce en entreprisePKI et utilisation des cartes à PKI et utilisation des cartes à puce en entreprisepuce en entreprise

Philippe BeraudPhilippe BeraudConsultant PrincipalConsultant PrincipalMicrosoft FranceMicrosoft France

La stratégie sécurité de MicrosoftLa stratégie sécurité de Microsoft

Isolation et Isolation et résiliencerésilience

Excellence Excellence dede

l’engineeringl’engineering

Conseils,Conseils,Outils,Outils,

RéponseRéponse

Mise à jourMise à jouravancéeavancée

Authentification,Authentification,Autorisation,Autorisation,

AuditAudit

SommaireSommaire

Certificats, Cartes à puce (Smart Cards) et prise en compte par Certificats, Cartes à puce (Smart Cards) et prise en compte par la plate-forme Windowsla plate-forme Windows

Utilisation des certificats et des cartes à pucesUtilisation des certificats et des cartes à puces

Déploiement des cartes à puces avec Certificate Services de Déploiement des cartes à puces avec Certificate Services de Windows Server 2003Windows Server 2003

Gabarits de certificat (Certificate Template)Gabarits de certificat (Certificate Template)

Méthodes d’enrôlement pour les certificats sur les cartes à puceMéthodes d’enrôlement pour les certificats sur les cartes à puce

Gestion des cartes à puce (et des certificats)Gestion des cartes à puce (et des certificats)

Digital Identity Management SystemDigital Identity Management System (DIMS) (DIMS)

Certificats numériquesCertificats numériquesCryptographie asymétrique (clé publique, clé privée) Cryptographie asymétrique (clé publique, clé privée)

Ex. Signature numérique d’un messageEx. Signature numérique d’un messageCréer une signature numérique (émetteur)Créer une signature numérique (émetteur)

Vérifier une signature numérique (destinataire)Vérifier une signature numérique (destinataire)

Message Message reçureçu

Même fonction de hashage

CondenséCondenséPy75c%bn&*)9|

fDe^bDFaq#xzjFr@g5=&nmdFg$5knvMd’rkvegMs”

Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5=&nmdFg$5knvMd’rkvegMs”

Clé publique Clé publique envoyée avec le envoyée avec le

messagemessage

Déchiffrement asymétrique

Signature Signature numériquenumérique

Jrf843kjfgf*£$&Hdif*7oUsd*&@:<CHD

FHSD(**

? == ?

Clé Clé privéprivé

ee

Message à Message à envoyerenvoyer

CondenséCondensé Signature numériqueSignature numérique

Py75c%bn&*)9|fDe^bDFaq#xzjFr@g5=&nmdFg$5knvMd’rkveg

Ms”

Jrf843kjfgf*£$&Hdif*7oUsd*&@:<CHD

FHSD(**

Fonction de hashage (SHA,

MD5)

Chiffrement asymétrique

Certificats numériquesCertificats numériquesCertificats X509 v3 Certificats X509 v3 Équivalent d’une pièce d’identité pour un utilisateur ou une Équivalent d’une pièce d’identité pour un utilisateur ou une machinemachine

De plus en plus intégrés avec les services et applications De plus en plus intégrés avec les services et applications Ouverture de session par carte à puce, messagerie sécurisée, Ouverture de session par carte à puce, messagerie sécurisée, applications de signature électronique, VPN, WiFi, etc.applications de signature électronique, VPN, WiFi, etc.

Identité du sujetIdentité de l’émetteur

Valeur de la clé publique du sujet

Durée de validité

Signature numérique de l’Autorité de Certification (AC)

Chemin pour la CRLChemin pour la récupération du certificat AC

Sujet: Philippe BeraudÉmetteur: Issuing CAValide à partir de: 01/05/2005Valide jusqu’au: 01/05/2006CDP:URL=http://fqdn/crl/CA.crlAIA:URL=http://fqdn/ca.crtClé publique du sujet: RSA 1024..Politique d’application: Client Authentication, SmartCard Logon...Numéro de série: 78F862……… Signature: F976AD…

La signature numérique garantie l’intégrité des données (idem pour une CRL)

Outils de gestion des cléset des certificats, Audit…

Points de distribution des certificats et des CRL (CDP)

Autorité de Certification (AC)

CertificatNumérique

Services et applicationss’appuyant sur une PKI

Liste de révocationdes certificats (CRL)

Composants d’une PKIComposants d’une PKI

Chemins ldap:, http:, file:

Cartes à puce (Smart Cards)Cartes à puce (Smart Cards)

Offrent une protection forte pour les clés privées des certificatsOffrent une protection forte pour les clés privées des certificats

Permettent de réaliser des opérations cryptographiquesPermettent de réaliser des opérations cryptographiques

Offrent une réponse aux besoins d'authentification forte, de Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcéepreuve d'identité renforcée

Authentification à 2 facteursAuthentification à 2 facteurs

Permettent de disposer d’un badge d’entreprise uniquePermettent de disposer d’un badge d’entreprise uniqueRapprochement des mondes physique et numériqueRapprochement des mondes physique et numérique

Offrent une commodité d’usageOffrent une commodité d’usage Format facile à gérerFormat facile à gérer

Simplification de Simplification de l’expérience utilisateurl’expérience utilisateur

Constituent une plateforme d’accueil pour d’autres applications Constituent une plateforme d’accueil pour d’autres applications de l’entreprisede l’entreprise

Prise en compte des cartes à puce par Prise en compte des cartes à puce par WindowsWindowsInstallation du pilote du lecteur de carte (et outils associés)Installation du pilote du lecteur de carte (et outils associés)

Installation du fournisseur de service de cryptographie Installation du fournisseur de service de cryptographie ((Cryptographic Service ProviderCryptographic Service Provider ou CSP) de la carte ou CSP) de la carte

Chaque type de Smart Card nécessite un CSP spécifiqueChaque type de Smart Card nécessite un CSP spécifiqueEn standard Gemplus, Infineon, Schlumberger (Axalto)En standard Gemplus, Infineon, Schlumberger (Axalto)

Application

Crypto API

Opérations cryptographiques

Gestion de certificats et

fournisseurs de stockage

Stockage des certificats

CSP

Base des clés

CSP

Authentification forte des utilisateursAuthentification forte des utilisateurs

Ouverture de session Windows par carte à puceOuverture de session Windows par carte à puceÉgalement pour les sessions Également pour les sessions TerminalTerminal Services et Services et RemoteRemote DesktopDesktop

Authentification cliente SSL/TLS par certificat Authentification cliente SSL/TLS par certificat Portail/Application Web sécurisé, Web SSO (fédéré) avec ADFS Portail/Application Web sécurisé, Web SSO (fédéré) avec ADFS (Windows Server 2003 R2), Obtention de licences de publication (Windows Server 2003 R2), Obtention de licences de publication RMS/Consultation de contenus protégés par RMS (SP1)RMS/Consultation de contenus protégés par RMS (SP1)

Accès distant via VPNAccès distant via VPNAuthentification EAP-TLSAuthentification EAP-TLS

259880 « 259880 « Configuring a VPN to Use Extensible Authentication Protocol (EAP) Configuring a VPN to Use Extensible Authentication Protocol (EAP) »»

http://support.microsoft.com/?id=http://support.microsoft.com/?id=259880259880

Sécurisation accès wireless 802.11Sécurisation accès wireless 802.11Authentification EAP-TLSAuthentification EAP-TLS

Points communsPoints communsOuverture de session par certificatOuverture de session par certificat

Deux modes possiblesDeux modes possiblesUPN/NTAuth – userPrincipalNameUPN/NTAuth – userPrincipalName

Mappage explicite - altSecurityIdentities Mappage explicite - altSecurityIdentities

Ouverture de session par carte à puceOuverture de session par carte à puceExtension Kerberos PKINITExtension Kerberos PKINIT

248753 « 248753 « Description of PKINIT Version Implemented in Kerberos in Description of PKINIT Version Implemented in Kerberos in Windows 2000Windows 2000 » »

http://support.microsoft.com/?id=http://support.microsoft.com/?id=248753 248753

Chiffré avec la Chiffré avec la clé publiqueclé publique

MSGINA récupère le code

PIN

WINLOGON

LSA

KERBEROSSSP

KDCClé privéeClé privée

AD

a. Utilise la clé publique du certificat pour déchiffrer l’AS_REQ

b. Vérifie le NTAuthc. Mappe l’UPNd. Créer un TGT

5

7

PA_PK_AS_REQCertificat utilisateur signé avec la clé privée

PA_PK_AS_REP Contenant: TGT + PAC + clé de session + condensé NTLM du mot de passe

6

Objet utilisateur: Nom, UPN, Appartenance aux groupes, Publication Certificat

Le client Kerberos déchiffre la clé de session avec la clé privée

3

2

4

8

1

Ouverture de session par carte à puceOuverture de session par carte à puce

Nécessite des certificats « Smartcard » et « Nécessite des certificats « Smartcard » et « Domain Domain ControllerController » » validesvalides

Ces certificats doivent respecter les exigences suivantesCes certificats doivent respecter les exigences suivantesLe certificat « Smartcard » doit être émis par une AC référencée Le certificat « Smartcard » doit être émis par une AC référencée dans le magasin NTAuthdans le magasin NTAuth

La chaîne de certificats doit se terminer par une racine de La chaîne de certificats doit se terminer par une racine de confiance confiance

Tous les certificats de la chaîne doiventTous les certificats de la chaîne doivent

Contenir une extension CDP pour la CRL qui doit pouvoir être Contenir une extension CDP pour la CRL qui doit pouvoir être obtenue et être temporellement valideobtenue et être temporellement valide

Pouvoir être obtenu, en étant déjà sur la machine (cache) ou en Pouvoir être obtenu, en étant déjà sur la machine (cache) ou en étant atteignable via les transports réseauétant atteignable via les transports réseau

Aucun ne doit être révoquéAucun ne doit être révoqué

Ouverture de session et stratégies de Ouverture de session et stratégies de groupe groupe Imposer une ouverture de session par carte à puceImposer une ouverture de session par carte à puce

Par stratégie de groupePar stratégie de groupeComputer Settings\Windows Settings\Security Settings\Local Policies\Computer Settings\Windows Settings\Security Settings\Local Policies\Security OptionsSecurity Options

Interactive Login:Smart Card RequiredInteractive Login:Smart Card Required

Requiert Windows XP SP2 Requiert Windows XP SP2

Ne modifie pas le mot de passe de l’utilisateurNe modifie pas le mot de passe de l’utilisateur

Via l’attribut « Via l’attribut « Smart card is required for interactive logonSmart card is required for interactive logon » du  » du compte utilisateurcompte utilisateur

Modifie le mot de passe de l’utilisateur à une valeur non connueModifie le mot de passe de l’utilisateur à une valeur non connue

Définir le comportement lorsque la carte à puce est retiréeDéfinir le comportement lorsque la carte à puce est retiréeComputer Settings\Windows Settings\Security Settings\Local Computer Settings\Windows Settings\Security Settings\Local Policies\Security OptionsPolicies\Security Options

Interactive Login:Smart Card Removal BehaviorInteractive Login:Smart Card Removal Behavior

No ActionNo Action

Lock WorkstationLock Workstation

Force LogoutForce Logout

Authentification cliente SSL/TLS par Authentification cliente SSL/TLS par certificatcertificat

Authentification mutuelleAuthentification mutuelleLa première étape consiste à valider la chaîne de certificats La première étape consiste à valider la chaîne de certificats relative au certificat client reçu côté IISrelative au certificat client reçu côté IISLa seconde étape consiste rendre possible l’authentification et La seconde étape consiste rendre possible l’authentification et l’ouverture de session possible de par l’existence d’unl’ouverture de session possible de par l’existence d’un mappage mappage 1.1. Une tentative de mappage implicite est réalisée en premier Une tentative de mappage implicite est réalisée en premier 2.2. En cas d’échec, un mappage explicite est alors essayé en second lieuEn cas d’échec, un mappage explicite est alors essayé en second lieu

Attribut AltSecurityIdentity de l’objet utilisateurAttribut AltSecurityIdentity de l’objet utilisateur

Si un mappage implicite est utilisé, le certificat doit être chaîné à Si un mappage implicite est utilisé, le certificat doit être chaîné à une racine de confiance et l’AC émettrice doit être présente dans une racine de confiance et l’AC émettrice doit être présente dans le magasin NTAuthle magasin NTAuthSi un mappage explicite est utilisé, le certificat doit être Si un mappage explicite est utilisé, le certificat doit être simplement chaîné à une racine de confiancesimplement chaîné à une racine de confianceLe certificat est transmis au contrôleur de domaine où Le certificat est transmis au contrôleur de domaine où l’utilisateur est recherché et un PAC (l’utilisateur est recherché et un PAC (Privilege Attribute Privilege Attribute CertificateCertificate) généré) généré

Ouverture de session par carte à puce Ouverture de session par carte à puce

Authentification SSL/TLS avec un certificat clientAuthentification SSL/TLS avec un certificat client

Autres utilisations des cartes à puceAutres utilisations des cartes à puce

Tâches administrativesTâches administrativesPromotion d’un contrôleur de domainePromotion d’un contrôleur de domaine

DCPromoDCPromo avec /ADV avec /ADV

Changement de lettre de créanceChangement de lettre de créanceRunAsRunAs avec / avec /SmartcardSmartcard

Connexion à des ressources réseauConnexion à des ressources réseauNet Use avec /Net Use avec /SmartcardSmartcard

Connexion Connexion RemoteRemote Desktop/TerminalDesktop/Terminal Services Services

Messagerie sécurisée via S/MIMEMessagerie sécurisée via S/MIMEChiffrement/Signature des messagesChiffrement/Signature des messages

Outlook (Office), Outlook Express, Outlook Web Access (ActiveX)Outlook (Office), Outlook Express, Outlook Web Access (ActiveX)

Signature XMLDIGSignature XMLDIGInfopathInfopath (Office), Classes .Net (Office), Classes .Net

Certificate Services de Windows Server Certificate Services de Windows Server 20032003Service natif de la plateforme Windows Server 2003 permettant Service natif de la plateforme Windows Server 2003 permettant

la mise en œuvre d’une Autorité de Certification (AC)la mise en œuvre d’une Autorité de Certification (AC) Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 PKCS#1,7,8,10,12

Aucun coût additionnel de licence ou par certificat émisAucun coût additionnel de licence ou par certificat émis

Deux types d’ACDeux types d’ACAutonome (principalement) pour les AC racines et CA Autonome (principalement) pour les AC racines et CA intermédiaires hors ligneintermédiaires hors ligne

Entreprise pour les AC émettrices sur une infrastructure ADEntreprise pour les AC émettrices sur une infrastructure AD

Ressource de la forêt, disponible auprès des utilisateurs des Ressource de la forêt, disponible auprès des utilisateurs des domaines de la forêtdomaines de la forêt

Moyen le plus direct avec une AC d’entreprise de Moyen le plus direct avec une AC d’entreprise de déployer/gérer des certificats et de tirer parti des applications déployer/gérer des certificats et de tirer parti des applications qui les utilisentqui les utilisent

Gabarits de certificats personnalisables, enrôlement et Gabarits de certificats personnalisables, enrôlement et renouvellement automatique, support des cartes à puces, renouvellement automatique, support des cartes à puces, etc.etc.

Gabarits de certificatGabarits de certificat

Format et le contenu du certificat X509 v3Format et le contenu du certificat X509 v3« Subject » et « Alternative Subject Name »« Subject » et « Alternative Subject Name »

Rôle du certificat, « Application Rôle du certificat, « Application PoliciesPolicies » »

Validité et période de renouvellement, Validité et période de renouvellement,

Sélection d’un ou plusieurs CSPs, (archivage de la clé privée)Sélection d’un ou plusieurs CSPs, (archivage de la clé privée)

Méthodes d’enrôlement (manuel/auto) et « Méthodes d’enrôlement (manuel/auto) et « lssuance lssuance PoliciesPolicies » (quel contrôle est utilisé pour l’émission du  » (quel contrôle est utilisé pour l’émission du certificat)certificat)

Permissions d’enrôlement (ACLs)Permissions d’enrôlement (ACLs)Quel utilisateur a droit à quels certificats (Read, Quel utilisateur a droit à quels certificats (Read, EnrollEnroll, , AutoEnroll, etc.)AutoEnroll, etc.)

L’AC vérifie l’autorisation du demandeur sur le gabarit référencéL’AC vérifie l’autorisation du demandeur sur le gabarit référencé

Utilisés par les ACs d’entreprise de la forêtUtilisés par les ACs d’entreprise de la forêtGabarits version 1 et 2 créés par défaut lors de l’installation Gabarits version 1 et 2 créés par défaut lors de l’installation d’une AC d’entreprise d’une AC d’entreprise

Modifiables (version 2)Modifiables (version 2)

Windows 2003 comprend 29 gabarits prédéfinisWindows 2003 comprend 29 gabarits prédéfinis

Méthodes d’enrôlement pour les certificats sur Méthodes d’enrôlement pour les certificats sur les cartes à puceles cartes à puce

Le certificat est enrôlé pour le Le certificat est enrôlé pour le compte de l’utilisateur compte de l’utilisateur Utiliser un agent Utiliser un agent d’enrôlementd’enrôlement

Si vous avez des clients Si vous avez des clients Windows 2000 sur le réseauWindows 2000 sur le réseauSi vous exigez une remise Si vous exigez une remise « en main propre » de la carte« en main propre » de la carteSi la politique de sécurité le Si la politique de sécurité le nécessitenécessite

Distribution de carte vierge et Distribution de carte vierge et activation de l’enrôlement automatique activation de l’enrôlement automatique

Utiliser l’enrôlement automatiqueUtiliser l’enrôlement automatiqueSi vous avez des clients Windows XP et Si vous avez des clients Windows XP et Windows 2003 sur le réseauWindows 2003 sur le réseau

Si les types de CSPs sont en nombre Si les types de CSPs sont en nombre limitélimité

Si la politique de sécurité autorise Si la politique de sécurité autorise l’enrôlement automatiquel’enrôlement automatique

Agent d’enrôlement

Enrôlement automatiqu

e

Agent d’enrôlementAgent d’enrôlement

Enrôlement pour le compte d’un tiers, suivant le modèle Enrôlement pour le compte d’un tiers, suivant le modèle d’autorité d’enregistrement (d’autorité d’enregistrement (Registration AuthorityRegistration Authority))

Processus de délivrance « analogue » aux cartes d’identités et Processus de délivrance « analogue » aux cartes d’identités et passeports passeports 

Principalement pour la demande de certificats de type « Principalement pour la demande de certificats de type « SmartCardSmartCard » »

Disponible avec une AC d’entrepriseDisponible avec une AC d’entrepriseL’agent obtient un certificat sur la base du gabarit « L’agent obtient un certificat sur la base du gabarit « EnrollmentEnrollment Agent »Agent »

Application Policies: Certificate Request AgentApplication Policies: Certificate Request Agent

L’agent peut enrôler n’importe quel entité du domaineL’agent peut enrôler n’importe quel entité du domaine

Les requêtes sont relatives à des gabarits pour lesquels l’agent Les requêtes sont relatives à des gabarits pour lesquels l’agent d’enrôlement dispose des permissions nécessairesd’enrôlement dispose des permissions nécessaires

Au niveau des gabarits, les « Au niveau des gabarits, les « lssuance Policieslssuance Policies » doivent requérir une  » doivent requérir une seule signature, celle de l’agent d’enrôlementseule signature, celle de l’agent d’enrôlement

Application Web d’enrôlement (Station d’enrôlement)Application Web d’enrôlement (Station d’enrôlement)

Agent d’enrôlement - recommandationsAgent d’enrôlement - recommandations

Le pouvoir de l’agent d’enrôlement impose des précautionsLe pouvoir de l’agent d’enrôlement impose des précautionsContrôler précisément l’émission du certificat « Contrôler précisément l’émission du certificat « EnrollmentEnrollment Agent » Agent » et l’intégrité la clé privée correspondanteet l’intégrité la clé privée correspondante

Configuration des permissions sur le gabarit « Enrollment Configuration des permissions sur le gabarit « Enrollment Agent »Agent »Amélioration de la sécurité avec les gabarits Version 2Amélioration de la sécurité avec les gabarits Version 2

Exiger l’approbation du Gestionnaire de certificatsExiger l’approbation du Gestionnaire de certificatsIssuance Requirements - CA certificate manager approvalIssuance Requirements - CA certificate manager approval

Ajouter une politique de certificat décrivant le processus Ajouter une politique de certificat décrivant le processus d’émission des certificatsd’émission des certificats

Retirer les permissions sur le gabarit « Retirer les permissions sur le gabarit « EnrollmentEnrollment Agent » après Agent » après émission des certificats « émission des certificats « EnrollmentEnrollment Agent » Agent »

Bonnes pratiquesBonnes pratiquesPlacer le certificat/clé privée « Placer le certificat/clé privée « EnrollmentEnrollment Agent » sur une carte à Agent » sur une carte à pucepucePour l’émission de carte à puce, utiliser une station d’enrôlement à Pour l’émission de carte à puce, utiliser une station d’enrôlement à double lecteur de cartedouble lecteur de carte

Une pour la carte de l’agent d’enrôlementUne pour la carte de l’agent d’enrôlementUne pour la carte à émettreUne pour la carte à émettre

Enrôlement automatiqueEnrôlement automatique

Offre une gestion automatique du cycle de vie des certificats Offre une gestion automatique du cycle de vie des certificats des utilisateurs et des machinesdes utilisateurs et des machines

Obtention initiale d’un certificatObtention initiale d’un certificat

Renouvellement/Remplacement d’un certificatRenouvellement/Remplacement d’un certificat

Purge et Archivage des certificatsPurge et Archivage des certificats

Gestion des magasins de certificats personnelsGestion des magasins de certificats personnels

Réalise des tâches de maintenanceRéalise des tâches de maintenanceMise à jour et en cache des gabaritsMise à jour et en cache des gabarits

Mise à jour des magasins des racines de confianceMise à jour des magasins des racines de confiance

Mise à jour des certifications croisées connues (AIA)Mise à jour des certifications croisées connues (AIA)

Maintient les certificats de l’attribut userCertificate du compte Maintient les certificats de l’attribut userCertificate du compte dans ADdans AD

Certificats expirés, certificats révoqués et archivage de certificatCertificats expirés, certificats révoqués et archivage de certificat

Ne s’applique qu’aux certificats pour lesquels le gabarit Ne s’applique qu’aux certificats pour lesquels le gabarit comprend la permission AutoEnroll pour le comptecomprend la permission AutoEnroll pour le compte

Mise en œuvre de l’enrôlement Mise en œuvre de l’enrôlement automatiqueautomatique

Gestionnaire de certificatsGestionnaire de certificatsa.a. Créer un gabarit de certificat avec Créer un gabarit de certificat avec AutoEnrollmentAutoEnrollment

b.b. Activer l’interaction Utilisateur (PIN) au niveau du gabarit de Activer l’interaction Utilisateur (PIN) au niveau du gabarit de certificatcertificat

c.c. Positionner les permissions Positionner les permissions Read, Enroll et AutoEnroll Read, Enroll et AutoEnroll sur le gabaritsur le gabarit

d.d. Publier le gabarit de certificat sur une AC d’entreprisePublier le gabarit de certificat sur une AC d’entreprise

Administrateur du domaineAdministrateur du domainea.a. Positionner une stratégie de groupe pour l’enrôlement automatique, Positionner une stratégie de groupe pour l’enrôlement automatique,

le renouvellement et la mise à jour des certificats le renouvellement et la mise à jour des certificats

User Configuration\Windows Settings\Security Settings\Public User Configuration\Windows Settings\Security Settings\Public Key PoliciesKey Policies

Autoenrollment SettingsAutoenrollment SettingsEnroll certificates automaticallyEnroll certificates automatically

Renew expired certificates, update pending certificates, and Renew expired certificates, update pending certificates, and remove revoked certificatesremove revoked certificates

Update certificates that use certificate templatesUpdate certificates that use certificate templates

Mise en œuvre de l’enrôlement Mise en œuvre de l’enrôlement automatiqueautomatique

Réside au niveau du processus Réside au niveau du processus userinit.exeuserinit.exeDéclenché par Déclenché par WinlogonWinlogon (ouverture de session interactive) pour les (ouverture de session interactive) pour les utilisateursutilisateurs

(Au démarrage pour les machines)(Au démarrage pour les machines)

Déclenché par l’application des stratégies de groupeDéclenché par l’application des stratégies de groupe

Intervalle 8 heures par défautIntervalle 8 heures par défaut

GPUpdate.exeGPUpdate.exe pour déclenchement manuel pour déclenchement manuel

UtilisateurUtilisateura.a. Sélectionner l’info bulle d’enrôlementSélectionner l’info bulle d’enrôlement

b.b. Insérer la carte à puce dans le lecteur et saisir le code PINInsérer la carte à puce dans le lecteur et saisir le code PIN

Enrôlement d’un certificat « Enrôlement d’un certificat « Contoso SmartIdContoso SmartId »  » par le biais d’un agent d’enrôlementpar le biais d’un agent d’enrôlement

Création d’un gabarit « Création d’un gabarit « Contoso Signature Contoso Signature S/MIMES/MIME » avec support de l’enrôlement  » avec support de l’enrôlement automatique sur carte à puceautomatique sur carte à puce

Enrôlement automatique d’un certificat Enrôlement automatique d’un certificat « « Contoso Signature S/MIMEContoso Signature S/MIME » »

Gestion des cartes à puceGestion des cartes à puceLa gestion des cartes à puce et des certificats ne s’arrête pas à La gestion des cartes à puce et des certificats ne s’arrête pas à l’enrôlement initiall’enrôlement initial

Nécessité de gérer les cartes oubliées, perdues/volées ou Nécessité de gérer les cartes oubliées, perdues/volées ou détériorées, le blocage des cartes, etc.détériorées, le blocage des cartes, etc.

Situation temporaire vs. Remplacement de la carteSituation temporaire vs. Remplacement de la carte

Définition des scénarios de retour en mode « Mot de passe » Définition des scénarios de retour en mode « Mot de passe »

Que se passe-t-il lorsque les cartes sont à cours d’espace de Que se passe-t-il lorsque les cartes sont à cours d’espace de stockage ?stockage ?

Comment les « purger » ? Quand les « purger » ? Que doit-on conserver Comment les « purger » ? Quand les « purger » ? Que doit-on conserver sur la carte ? sur la carte ?

Besoin de gérer le cycle de vie complet au-delà du seul Besoin de gérer le cycle de vie complet au-delà du seul enrôlementenrôlement

Personnalisation des cartes, enrôlement, délivrance, gestion des PIN, Personnalisation des cartes, enrôlement, délivrance, gestion des PIN, renouvellement de certificats, renouvellement des cartesrenouvellement de certificats, renouvellement des cartes

Intégration de Intégration de Certificate ServicesCertificate Services avec des solutions d’autorités avec des solutions d’autorités d’enregistrement (d’enregistrement (Registration AuthorityRegistration Authority) et de gestion de cartes ) et de gestion de cartes ((Card Management SystemsCard Management Systems))

Alacris idNexus, Gemplus SafeITes Card ManagerAlacris idNexus, Gemplus SafeITes Card Manager, , Intercede MyIDIntercede MyID EnterpriseEnterprise, Spyrus Signal IM, etc. , Spyrus Signal IM, etc.

Digital Identity Management SystemDigital Identity Management System (DIMS)(DIMS)

ConstatsConstatsLes certificats et les clés privées sont liés à une machine et ne sont Les certificats et les clés privées sont liés à une machine et ne sont pas errantspas errantsPour un même usage (S/MIME par exemple), les utilisateurs Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés privées peuvent posséder différents jeux de certificats et de clés privées sur chaque machinesur chaque machineOptions possiblesOptions possibles

Carte à puceCarte à puceNombre limité de « lettres de créance »Nombre limité de « lettres de créance »

Profils itinérantsProfils itinérantsDifficile à gérer et à administrerDifficile à gérer et à administrer

DIMS permet de délivrer les « lettres de créance » à la machine DIMS permet de délivrer les « lettres de créance » à la machine courante de l’utilisateur via la réplication Active Directory et les courante de l’utilisateur via la réplication Active Directory et les stratégies de groupesstratégies de groupes

Facilite l’usage de fonctions comme l’authentification client et la Facilite l’usage de fonctions comme l’authentification client et la messagerie sécuriséemessagerie sécurisée

Disponible dans le SP1 de Windows Server 2003Disponible dans le SP1 de Windows Server 2003Modèle de fichier ADMModèle de fichier ADMRequiert une extension de schémaRequiert une extension de schéma« « Configure credential roamingConfigure credential roaming » »

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/633d4258-557a-4bfc-86e1-bb30265f52b4.mspxServerHelp/633d4258-557a-4bfc-86e1-bb30265f52b4.mspx

Utilisation des cartes à puces au sein de Utilisation des cartes à puces au sein de MicrosoftMicrosoft

«« Microsoft Operation and Technology group chose to deploy  Microsoft Operation and Technology group chose to deploy Smart Cards because of the cumulative sum of its reliability, Smart Cards because of the cumulative sum of its reliability, performance, cost, features, mobility benefits, and integration performance, cost, features, mobility benefits, and integration with the Microsoft OTG Windows network environmentwith the Microsoft OTG Windows network environment » »Smart Card Deployment at MicrosoftSmart Card Deployment at Microsoft

http://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.mspxhttp://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.mspx

Une seule carte est aujourd’hui nécessaire pour accéder Une seule carte est aujourd’hui nécessaire pour accéder l’ensemble des actifs physiques et d’information l’ensemble des actifs physiques et d’information MicrosoftMicrosoftLe PIN initial doit être changé de façon avant toute connexion Le PIN initial doit être changé de façon avant toute connexion au réseauau réseau

Les PINs doivent être alphanumérique et comprendre entre 5 et 8 Les PINs doivent être alphanumérique et comprendre entre 5 et 8 caractèrescaractères

Usage imposé (obligatoire) pour tous les accès RAS et VPNUsage imposé (obligatoire) pour tous les accès RAS et VPN

Résumé de la sessionRésumé de la session

La carte à puce est un élément clé en réponse aux besoins de La carte à puce est un élément clé en réponse aux besoins de sécurité interne de l’entreprisesécurité interne de l’entreprise

Le déploiement d’une infrastructure PKI avec Windows Server Le déploiement d’une infrastructure PKI avec Windows Server 2003 permet d’intégrer simplement et rapidement la carte à 2003 permet d’intégrer simplement et rapidement la carte à pucepuce

Les applications existent et en tirent partiLes applications existent et en tirent parti

Les applications « sur mesure » peuvent en tirer parti et ainsi Les applications « sur mesure » peuvent en tirer parti et ainsi améliorer leur niveau de sécuritéaméliorer leur niveau de sécurité

Pour plus d’informationsPour plus d’informations« « Best Practices for Implementing a Microsoft Windows Server 2003 Best Practices for Implementing a Microsoft Windows Server 2003 Public Key InfrastructurePublic Key Infrastructure » »

http://www.microsoft.com/technet/prodtechnol/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws3pkibp.mspx windowsserver2003/technologies/security/ws3pkibp.mspx

« « Implementing and Administering Certificate Templates in Windows Implementing and Administering Certificate Templates in Windows Server 2003Server 2003 » »

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technolohttp://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/ws03crtm.mspxgies/security/ws03crtm.mspx

« « Certificate Autoenrollment in Windows Server 2003Certificate Autoenrollment in Windows Server 2003 » »http://www.microsoft.com/technet/prodtechnol/windowsserver2003/http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspxtechnologies/security/autoenro.mspx

« « Troubleshooting Windows 2000 PKI Deployment and Smart Card Troubleshooting Windows 2000 PKI Deployment and Smart Card LogonLogon »»

http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f-http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f-45d307b8cc88/smrtcrdtrbl.doc45d307b8cc88/smrtcrdtrbl.doc

««  Smart Cards in the Enterprise: Lifecycle Management Systems are a Smart Cards in the Enterprise: Lifecycle Management Systems are a Key ComponentKey Component »»

http://http://www.burtongroup.com/research_consulting/doc.asp?docid=8www.burtongroup.com/research_consulting/doc.asp?docid=8

Microsoft FranceMicrosoft France18, avenue du Québec18, avenue du Québec

91 957 Courtaboeuf Cedex91 957 Courtaboeuf Cedex

www.microsoft.com/france

0 825 827 8290 825 827 829

msfrance@microsoft.commsfrance@microsoft.com