1. Livres et vidéos
  2. PKI sous Windows Server 2016 - Sécurité, cryptographie et certificats

PKI sous Windows Server 2016 Sécurité, cryptographie et certificats

  • Accès illimité 24h/24, 7J/7
  • Tous les livres en ligne, les vidéos et les cours enregistrés ENI
  • Plus de 10 nouveautés livres et vidéos chaque mois
  • Les nouveautés disponibles le jour de leur sortie
  • Accès 100% en ligne
  • En stock
  • Expédié en 24h00
  • Livraison à partir de 0,01 €
  • Version en ligne offerte
  • 1 h d'accès gratuit à tous nos livres et vidéos pour chaque commande
  • Accessible immédiatement
  • Version HTML
  • Accès illimité 24h/24, 7J/7

Présentation

Ce livre sur les infrastructures de PKI sécurisées et la gestion de certificats sous Windows Server 2016 s'adresse aux administrateurs et architectes système et Active Directory soucieux de sécuriser leurs infrastructures Windows. Il est également recommandé à tout professionnel de l'informatique désireux de comprendre le fonctionnement et les techniques de cryptographie ainsi que l'usage concret qui peut en être fait en entreprise.

L'approche volontairement pratique choisie par l'auteur permet à un lecteur novice sur le sujet d'en comprendre tous les tenants et aboutissants et d'implémenter des solutions. Le lecteur plus expérimenté y trouvera les informations très détaillées dont il a besoin pour conforter ou améliorer ses connaissances sur le sujet. Chaque thème est illustré d'exemples pratiques de production issus de l'expérience de terrain de l'auteur. Bien que s'appuyant sur le système Windows Server 2016 et ses nouveautés, ce livre reste facilement transposable pour une utilisation en environnement Windows 2012 R2.

Dans un chapitre dédié, l'auteur guide le lecteur pas à pas dans la mise en place de la plateforme de tests, composée d'ordinateurs virtuels, qui permet la réalisation des divers ateliers de l'ouvrage

Dans un premier temps, l'auteur introduit les concepts théoriques de base de la cryptographie pour poser les fondations essentielles permettant de comprendre les mécanismes de sécurisation mis en œuvre. Les processus d'installation d'une autorité de certification, la gestion des certificats associés et les utilisations courantes en production (sites web et réseaux sécurisés, chiffrement de fichier, signature de code...) sont ensuite détaillés. Issu de la collaboration de l'auteur avec la société Cardelya (société française spécialisée dans la sécurité numérique et le contrôle d'accès), le chapitre qui suit donne les clés de l'utilisation de cartes à puce pour un renforcement conséquent de la sécurisation de l'accès aux certificats. Un chapitre est ensuite dédié à l'implémentation d'architectures de PKI sécurisées. Ce type d'architecture fortement implémentée en entreprise garantit à la fois l'évolutivité et la sécurité des services de certificats. Les deux derniers chapitres sont consacrés aux processus fondamentaux de révocation de certificats à l'extérieur de l'entreprise, par site web et avec répondeurs OCSP.

Des éléments complémentaires sont en téléchargement sur le site www.editions-eni.fr.


Les chapitres du livre :
Introduction – Plateforme de test – Cryptographie – Autorité de certification entreprise – Gestion automatisée des certificats – Sites web sécurisés (SSL) – Signature de code PowerShell – IPsec (Internet Protocol Security) – Révocation de certificat dans l'entreprise – Archivage automatique des certificats – Utilisation de cartes à puce – Architectures PKI sécurisées – Publication de révocation en HTTP – Répondeurs OCSP

Table des matières

  • Introduction
    • 1. Avant-propos
    • 2. Objectif du livre
      • 2.1 Pourquoi un livre sur la PKI Microsoft ?
      • 2.2 Préparation aux certifications Microsoft
    • 3. Approche pratique
    • 4. Conditions requises
      • 4.1 Public visé
      • 4.2 Connaissances préalables
    • 5. Organisation de l'ouvrage
      • 5.1 Les chapitres du livre
      • 5.2 Détails des chapitres
    • 6. L'auteur
  • Plateforme de test
    • 1. Introduction
    • 2. Prérequis ordinateur physique
    • 3. Sources d'installation
      • 3.1 Accès aux sources d'installation
      • 3.2 Activation des sources d'installation
    • 4. Raccourcis-clavier essentiels
    • 5. Atelier Plateforme de test
      • 5.1 Objectif
      • 5.2 Hyper-V
        • 5.2.1 Installer le rôle Hyper-V
        • 5.2.2 Configurer Hyper-V
        • 5.2.3 Créer les commutateurs virtuels
      • 5.3 Base Windows 2016
        • 5.3.1 Installer la base serveur 2016
        • 5.3.2 Personnaliser la base Server 2016
        • 5.3.3 Généraliser la base serveur 2016
      • 5.4 Base Windows 10
        • 5.4.1 Installer la base Windows 10
        • 5.4.2 Personnaliser la base Windows 10
        • 5.4.3 Généraliser la base Windows 10
      • 5.5 Créer les ordinateurs virtuels
        • 5.5.1 Créer le disque de différenciation du serveur s1
        • 5.5.2 Créer l'ordinateur virtuel s1
      • 5.6 Personnaliser les ordinateurs virtuels
        • 5.6.1 Finaliser l'installation des serveurs
        • 5.6.2 Finaliser l'installation du client w10
        • 5.6.3 Activer la licence des ordinateurs virtuels
        • 5.6.4 Paramétrer les ordinateurs virtuels
      • 5.7 Créer un point de contrôle BASE
      • 5.8 Active Directory (corp.lan)
        • 5.8.1 Installer Active Directory
        • 5.8.2 Valider l'installation de l'Active Directory
        • 5.8.3 Personnaliser l'Active Directory
      • 5.9 Intégrer les ordinateurs au domaine
      • 5.10 Créer un point de contrôle AD
  • Cryptographie
    • 1. Introduction
    • 2. Chiffrement des données (confidentialité)
      • 2.1 Chiffrement symétrique
      • 2.2 Chiffrement asymétrique
      • 2.3 Comparatif chiffrement symétrique et asymétrique
    • 3. EFS (Encrypting File System)
      • 3.1 Fonctionnement
      • 3.2 Partage de fichiers chiffrés
      • 3.3 Agent de récupération EFS
        • 3.3.1 Fonctionnement
      • 3.4 Conclusion
    • 4. Atelier : Chiffrement EFS
      • 4.1 Objectif
      • 4.2 Préparation de l'atelier
        • 4.2.1 Restauration de l'ordinateur w10 en Workgroup
        • 4.2.2 Partage de fichiers chiffrés
      • 4.3 Sauvegarde de certificats
      • 4.4 Agent de récupération EFS
        • 4.4.1 Méthodologie
        • 4.4.2 Génération des certificats d’agent de récupération
  • Autorité de certification entreprise
    • 1. Introduction
    • 2. Installation
      • 2.1 Méthodologie
      • 2.2 Recommandations d'installation
      • 2.3 Obtenir un certificat
        • 2.3.1 Localiser l'autorité de certification
        • 2.3.2 Qui peut obtenir un certificat ?
    • 3. Authenticité des certificats
      • 3.1 Processus de signature d'un certificat
      • 3.2 Processus de validation de la signature d'un certificat
      • 3.3 Validation de l'intégrité d'un certificat
        • 3.3.1 Calcul de Hash
        • 3.3.2 Intégrité du certificat
    • 4. Types d'autorités de certification
    • 5. Atelier : Algorithmes de hachage
    • 6. Atelier : Installer une autorité de certification
      • 6.1 Objectif
      • 6.2 Installer le rôle
      • 6.3 Configurer le rôle
      • 6.4 Valider l'installation
      • 6.5 Inscrire un certificat
      • 6.6 Créer un point de contrôle
  • Gestion automatisée des certificats
    • 1. Introduction
    • 2. Modèle de certificat
      • 2.1 Modèle de certificat par défaut
      • 2.2 Personnalisation de modèles
      • 2.3 Propriétés des modèles de certificats
        • 2.3.1 Onglet Général
        • 2.3.2 Onglet Traitement de la demande
        • 2.3.3 Onglet Chiffrement
        • 2.3.4 Onglet Conditions d'émission
        • 2.3.5 Onglet Modèles obsolètes
        • 2.3.6 Onglet Extensions
        • 2.3.7 Onglet Sécurité
        • 2.3.8 Onglet Attestation de clé
        • 2.3.9 Onglet Nom du sujet
        • 2.3.10 Onglet Serveur
        • 2.3.11 Onglet compatibilité
    • 3. Déploiement automatique de certificats
    • 4. Stratégies de groupe
      • 4.1 Activation du déploiement automatique de certificat
    • 5. Chiffrement des fichiers EFS dans un domaine
      • 5.1 Chiffrement de fichiers
      • 5.2 Agent de récupération EFS
    • 6. Atelier : Chiffrement EFS dans un domaine
      • 6.1 Objectif
      • 6.2 Créer un nouveau modèle de certificats EFS Basique
      • 6.3 Modifier le modèle de certificat utilisé pour EFS
      • 6.4 Déploiement de certificat par stratégie de groupe
      • 6.5 Chiffrement EFS
        • 6.5.1 Menu contextuel pour le chiffrement
        • 6.5.2 Validation du certificat EFS
        • 6.5.3 Chiffrement de fichiers EFS
    • 7. Atelier : Agent de récupération EFS dans un domaine
      • 7.1 Supprimer l'ancien agent de récupération EFS
      • 7.2 Obtenir un certificat d'agent de récupération EFS
      • 7.3 Activer l'agent de récupération
      • 7.4 Récupération de fichiers chiffrés avec EFS
  • Sites web sécurisés (SSL)
    • 1. Introduction
    • 2. Processus de connexion SSL
    • 3. Méthodologie d'implémentation
    • 4. Atelier : Serveur web sécurisé
      • 4.1 Objectif
      • 4.2 Créer un serveur web IIS (Internet Information Services) (S3)
        • 4.2.1 Installer le rôle
        • 4.2.2 Valider l'installation
        • 4.2.3 Créer le document par défaut
        • 4.2.4 Tester l’accès au site depuis le navigateur Internet
      • 4.3 Sécuriser l'accès au site avec SSL
        • 4.3.1 Obtenir un certificat pour le serveur web
        • 4.3.2 Lier le certificat avec le service IIS
      • 4.4 Valider la connexion SSL
      • 4.5 Tester les erreurs de connexion sécurisée au site web
        • 4.5.1 Navigation SSL avec URL incorrecte
        • 4.5.2 Navigation SSL sans certificat d'autorité de certification
      • 4.6 Révoquer les certificats de serveurs web
  • Signature de code PowerShell
    • 1. Introduction
    • 2. Niveaux de restriction d'exécution de script PowerShell
    • 3. Méthodologie de signature de code
    • 4. Éditeurs approuvés
    • 5. Durée de validité des scripts
      • 5.1 Révocation du certificat de signature
      • 5.2 Renouvellement de certificat de signature de code
    • 6. Horodatage numérique
    • 7. Atelier : Signature de code PowerShell
      • 7.1 Objectif
      • 7.2 Obtenir un certificat de signature de code
      • 7.3 Modifier le niveau d’exécution PowerShell
      • 7.4 Signature du script
      • 7.5 Éditeur authentifié
        • 7.5.1 Visualiser le certificat de l’éditeur approuvé
        • 7.5.2 Déployer les certificats d'éditeur par stratégies de groupe
      • 7.6 Intégrité du script
      • 7.7 Horodatage du script
        • 7.7.1 Connexion à Internet
        • 7.7.2 Horodatage du script
      • 7.8 Révocation de certificats de signature de scripts
  • IPsec (Internet Protocol Security)
    • 1. Introduction
    • 2. Avantages d'IPsec
    • 3. Règles de sécurité de connexion
    • 4. Déploiement des règles de stratégies
    • 5. Fonctionnement IPsec
    • 6. Audit
    • 7. Méthodologie d'implémentation
    • 8. Atelier : Implémenter les connexions IPsec
      • 8.1 Objectif
      • 8.2 Créer une règle IPsec
      • 8.3 Audit des associations de sécurité
      • 8.4 Lien IPsec et pare-Feu Windows
      • 8.5 Exiger IPsec
      • 8.6 Chiffrement IPsec
      • 8.7 Authentification avec certificats
  • Révocation de certificat dans l'entreprise
    • 1. Introduction
    • 2. Liste de révocation
      • 2.1 Type de liste de révocation
      • 2.2 Emplacement des listes de révocation
      • 2.3 Signature des listes de révocation
    • 3. Processus de validation des certificats
    • 4. Révocation d'un certificat
    • 5. Dépannage des listes de révocation
      • 5.1 Fréquence de publication
      • 5.2 Mise en cache des listes de révocation
    • 6. Emplacement des listes de révocation dans Active Directory
    • 7. Atelier : Révocation de certificats
      • 7.1 Objectif
      • 7.2 Modifier les durées de publication
      • 7.3 Révocation d'un certificat de site web
        • 7.3.1 Révoquer le certificat du serveur web
        • 7.3.2 Visualiser la liste de révocation
        • 7.3.3 Valider la publication dans Active Directory
        • 7.3.4 Valider la révocation
      • 7.4 Révocation de certificats de signature de scripts
        • 7.4.1 Révocation du certificat
        • 7.4.2 Valider la révocation
        • 7.4.3 Annuler une révocation de certificat
  • Archivage automatique des certificats
    • 1. Introduction
    • 2. Activation de l'archivage automatique
      • 2.1 Agent de récupération de clés
      • 2.2 Certificat archivé
    • 3. Méthodologie d'activation de l'archivage automatique
    • 4. Restauration de certificats archivés
    • 5. Bonnes pratiques
      • 5.1 Plusieurs agents de récupération de clés
      • 5.2 Sauvegarde des certificats d'agent de récupération de clés
      • 5.3 Partitionner les rôles
      • 5.4 Exiger l'approbation du gestionnaire de certificat
      • 5.5 Auditer les événements de récupération de clés
    • 6. Atelier : Archivage automatique des certificats
      • 6.1 Obtenir un certificat d'agent de récupération de clés
      • 6.2 Activer l'archivage des clés
      • 6.3 Inscrire un modèle supportant l'archivage de clé
      • 6.4 Récupération d'un certificat archivé
  • Utilisation de cartes à puce
    • 1. Introduction
    • 2. Fournisseur de carte à puce (Cardelya)
      • 2.1 Carte à puce
      • 2.2 Token
      • 2.3 Gestion des cartes à puce
    • 3. Agent d'inscription
    • 4. Utilisation des cartes à puces
    • 5. Application pratique : Gestion de carte à puce
      • 5.1 Objectif
      • 5.2 Installer le logiciel de gestion
      • 5.3 Mode Session étendue
        • 5.3.1 Activer le mode Session étendue
        • 5.3.2 Se connecter en mode Session étendue
      • 5.4 Ouverture de session par carte à puce
        • 5.4.1 Personnaliser le modèle Connexion par carte à puce
        • 5.4.2 Tester l’ouverture de session avec la carte à puce
      • 5.5 Agent d'inscription
        • 5.5.1 Personnaliser le modèle de certificat agent d’inscription
        • 5.5.2 Inscrire un certificat pour l'agent d'inscription
        • 5.5.3 Modifier le modèle d'ouverture de session par carte à puce pour une inscription par agent d'inscription
        • 5.5.4 Inscrire un certificat carte à puce pour un utilisateur avec l'agent d'inscription
      • 5.6 Ouverture de session par carte à puce pour u1
        • 5.6.1 Autoriser l’ouverture de session Bureau à distance
        • 5.6.2 Intégrer le compte U1 au groupe Admins du domaine
        • 5.6.3 Ouvrir une session avec la carte à puce
      • 5.7 Gestion des cartes à puce
        • 5.7.1 Connexion de la carte à puce
        • 5.7.2 Modification du code PIN
        • 5.7.3 Supprimer un certificat sur la carte
  • Architectures PKI sécurisées
    • 1. Introduction
    • 2. Hiérarchie à plusieurs niveaux
      • 2.1 Hiérarchie à deux niveaux
      • 2.2 Hiérarchie à trois niveaux
    • 3. Particularités d'implémentation
    • 4. Fichier CAPolicy.inf
      • 4.1 Avantages
      • 4.2 Sections du fichier CAPolicy.inf
        • 4.2.1 Section Version
        • 4.2.2 Sections PolicyStatementExtension et LegalPolicy
        • 4.2.3 Section [EnhancedKeyUsageExtension]
        • 4.2.4 Section [Certsrv_Server]
        • 4.2.5 Section [BasicConstraintsExtension]
    • 5. Tâches de postconfiguration
    • 6. Publication manuelle dans Active Directory
      • 6.1 Publication manuelle
        • 6.1.1 Publication manuelle des listes de révocation
        • 6.1.2 Publication manuelle du certificat de l'autorité
      • 6.2 Emplacement des éléments publiés
    • 7. Extensions AIA et CDP
      • 7.1 Ajout aux certificats émis
      • 7.2 Accès interne et externe
      • 7.3 Options des emplacements CDP
        • 7.3.1 Options Publier
        • 7.3.2 Options Inclure
        • 7.3.3 Option IDP
      • 7.4 Option des emplacements AIA
        • 7.4.1 Inclure dans l'extension AIA des certificats émis
      • 7.5 Extensions par défaut
      • 7.6 Modification des extensions
        • 7.6.1 Extensions sur l'autorité racine
        • 7.6.2 Extensions sur l'autorité secondaire émettrice
        • 7.6.3 Automatiser les modifications d'extension
    • 8. Méthodologie d'implémentation
    • 9. Atelier : Architecture de PKI sécurisée
      • 9.1 Objectif
      • 9.2 Restauration des points de contrôle
      • 9.3 Autorité de certification racine hors connexion
        • 9.3.1 Installer le rôle
        • 9.3.2 Configurer le rôle
        • 9.3.3 Valider l'installation
      • 9.4 Modifier les extensions de l'autorité racine
      • 9.5 Publications des listes de révocation et AIA dans l’Active Directory
      • 9.6 Installation de l'autorité secondaire émettrice
        • 9.6.1 Fixer la durée de validité de l'autorité de certification secondaire
        • 9.6.2 Configurer le rôle
        • 9.6.3 Valider l'installation
      • 9.7 Validation de l'architecture
      • 9.8 Point de contrôle architecture PKI sécurisée
  • Publication de révocation en HTTP
    • 1. Introduction
    • 2. Publication en HTTP (serveur web IIS)
      • 2.1 Emplacement du serveur web de publication
      • 2.2 Fichiers à publier en HTTP
      • 2.3 Méthode de publication
      • 2.4 Configuration du serveur web
    • 3. Modification des extensions CDP et AIA
    • 4. Validation de l'accès aux emplacements CDP\AIA
    • 5. Atelier pratique : Révocation Wan (VPN SSTP)
      • 5.1 Restauration de l'architecture PKI sécurisée
      • 5.2 Installer un serveur VPN
        • 5.2.1 Configuration du serveur VPN
        • 5.2.2 Installation et configuration du rôle VPN
        • 5.2.3 Personnalisation du serveur VPN
      • 5.3 Résolution DNS publique
        • 5.3.1 Obtenir un certificat pour le serveur VPN SSTP
        • 5.3.2 Publier le nouveau modèle de certificat
        • 5.3.3 Inscrire un certificat VPN
      • 5.4 Lier le certificat au service VPN
      • 5.5 Connexion VPN depuis le client
        • 5.5.1 Autoriser l’utilisateur u1 à se connecter au serveur VPN
        • 5.5.2 Connecter le client sur le Wan
        • 5.5.3 Créer la connexion VPN
        • 5.5.4 Tester la connexion VPN
      • 5.6 Point de contrôle VPN SSTP
      • 5.7 Déplacer les listes de révocation sur le serveur web
      • 5.8 Créer et paramétrer le répertoire virtuel
        • 5.8.1 Créer le répertoire virtuel certenroll
        • 5.8.2 Paramétrage du nouveau répertoire virtuel
      • 5.9 Ajout du nouveau chemin de révocation (CDP)
        • 5.9.1 Ajout des nouvelles extensions CDP et AIA
        • 5.9.2 Vérifier l’accès aux listes de révocation
      • 5.10 Obtenir un nouveau certificat pour le serveur VPN
      • 5.11 Valider l’accès aux emplacements CDP et AIA
        • 5.11.1 Valider les extensions du certificat VPN
        • 5.11.2 Valider les extensions avec PKI Entreprise
        • 5.11.3 Valider les extensions depuis le client w10
      • 5.12 Établir la connexion cliente SSTP
        • 5.12.1 Associer le nouveau certificat au service SSTP
        • 5.12.2 Établir la connexion
  • Répondeurs OCSP
    • 1. Introduction
      • 1.1 Fonctionnement
      • 1.2 Protocole OCSP
    • 2. Configuration de révocation
      • 2.1 Assistant de configuration de révocation
      • 2.2 Certificat OCSP
    • 3. Signature de réponses OCSP
      • 3.1 Nombre de répondeurs OCSP
    • 4. Modification des extensions AIA
    • 5. Processus de validation de la révocation
      • 5.1 Mise en cache des réponses OCSP
      • 5.2 Listes de révocation OCSP
    • 6. Validation de la révocation OCSP
      • 6.1 Validation rapide
      • 6.2 Validation de révocation OCSP détaillée
    • 7. Méthodologie d'implémentation
    • 8. Application pratique : Répondeur OCSP
      • 8.1 Objectif
      • 8.2 Restaurer le point de contrôle VPN SSTP
      • 8.3 Installer le serveur OCSP
      • 8.4 Configuration de révocation
      • 8.5 Modification des extensions
      • 8.6 Valider le bon fonctionnement du serveur OCSP
      • 8.7 Obtenir un nouveau certificat pour le serveur SSTP
      • 8.8 Associer le nouveau certificat au service SSTP
      • 8.9 Valider le serveur OCSP depuis le client
      • Index

Auteur

Patrick IZZOEn savoir plus

Expert sur les systèmes d'exploitation Windows et sur Active Directory, Patrick IZZO est certifié MCT depuis 1997 et également MCSA. Actuellement formateur et consultant pour sa propre société, Ozensys, il s'intéresse de très près à l'aspect sécurité des environnements Active Directory. Ayant acquis une forte expérience dans l'implémentation d'architectures PKI Microsoft en entreprise (Conseil de l'Europe à Strasbourg, Université de Reims…), l'auteur en livre ici la quintessence sous la forme d'un livre complet et efficace.

Caractéristiques

  • Niveau Expert
  • Nombre de pages 489 pages
  • Parution mai 2017
    • Livre (broché) - 17 x 21 cm
    • ISBN : 978-2-409-00537-4
    • EAN : 9782409005374
    • Ref. ENI : EPPKI16WIN
  • Niveau Expert
  • Parution mai 2017
    • HTML
    • ISBN : 978-2-409-00913-6
    • EAN : 9782409009136
    • Ref. ENI : LNEPPKI16WIN

Téléchargements

En complétant ce formulaire, vous acceptez d'être contacté afin de recevoir des informations sur nos produits et services ainsi que nos communications marketing. Vous aurez la possibilité de vous désabonner de nos communications à tout moment. Pour plus d'informations sur notre politique de protection des données, cliquez ici.
  • Des fichiers complémentaires (6,97 Ko)