1 votes

Akhil avatar

Certificat d'utilisateur vs Certificat d'ordinateur

Demandé el 7 de Juin, 2018
Quand la question a-t-elle été
7813 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Normalement, lors du déploiement d'une solution SSL VPN avec une vérification de certificat, je déploierais une CA MS interne et configurerais une GPO pour distribuer des certificats d'ordinateur. Le nom d'utilisateur/mot de passe avec MFA prouve que l'utilisateur est bien celui qu'il prétend être et le certificat d'ordinateur valide que l'ordinateur appartient au domaine de l'entreprise. Récemment, j'ai eu un problème avec un client VPN qui ne pouvait pas lire le magasin d'ordinateur local sans avoir les droits d'administrateur local et selon la politique de l'entreprise, les utilisateurs n'ont pas ces droits. La solution suggérée était de délivrer un certificat d'utilisateur à la place. Par défaut, le modèle de certificat utilisateur permet l'exportation, donc nous avons créé un modèle personnalisé qui ne le permet pas.

Chaque guide que vous lisez pour la distribution de certificats internes pour ce type de configuration utilise des certificats d'ordinateur, mais la question est pourquoi? Est-ce vraiment plus ou moins sécurisé qu'un certificat utilisateur? Il n'est pas possible d'obtenir un certificat utilisateur à partir d'un ordinateur non conforme, ce qui est également le cas pour les certificats d'ordinateur. En réalité, cela semble accomplir le même objectif, la seule grande différence étant que le certificat d'ordinateur se trouve dans le magasin d'ordinateur local tandis que le certificat d'utilisateur se trouve dans le magasin de certificats de l'utilisateur. Vous avez besoin d'avoir les droits d'administration local pour lire le magasin d'ordinateur local, mais cela ne renforce pas vraiment la sécurité étant donné que les clés privées des certificats d'ordinateur ou d'utilisateur ne peuvent être exportées. Si vous installez des plugins Web supplémentaires sur le CA, vous pourriez permettre aux ordinateurs non conformes de demander des certificats, mais ces fonctionnalités ne sont pas activées.

En fin de compte, vous devez être sur un ordinateur conforme au domaine pour recevoir un certificat utilisateur, ce qui prouve essentiellement qu'il s'agit d'un bien de l'entreprise. Les certificats d'utilisateur ne seraient-ils pas plus faciles à gérer puisqu'ils ne nécessitent pas les droits d'administration local pour même les lire? Je ne vois vraiment aucune différence en termes de sécurité, mais si c'est le cas, pourquoi chaque guide suggère-t-il les certificats d'ordinateur? J'essaie d'éclaircir cela pour voir s'il y a un aspect que j'aurais mal compris, j'ai pensé qu'il serait utile de poser la question à une communauté plus large car j'en ai discuté avec de nombreux collègues et personne n'a pu trouver de problème ou de préoccupation en termes de sécurité.

Demandé el 7 de Juin, 2018 par Akhil

Réponses

Trop de publicités?

1voto

Nick avatar
Nick Points 4073

Ces certificats sont différents car ils servent à des fins différentes. Il s'agit de la Granularité. Fondamentalement, les deux types de certificats que vous avez mentionnés identifient de manière sécurisée deux types de choses de base sur votre réseau. Les ordinateurs et les utilisateurs. Vous pouvez révoquer un certificat utilisateur séparément de leur poste de travail, ou contrôler l'accès et la confiance séparément. Les certificats d'utilisateur ont le nom distinctif de l'utilisateur, les certificats d'ordinateur ont le FQDN de l'ordinateur.

Autre chose à laquelle je pense est 802.11x, la sécurité basée sur le port. Cela empêche la communication normale à travers le commutateur attaché jusqu'à ce que vous vous authentifiiez. Les certificats sont une manière de s'authentifier en utilisant le protocole 802.11x. Si le certificat de l'utilisateur n'est pas importé sur une machine aléatoire sur laquelle ils ne se sont jamais connectés auparavant, cela pourrait poser problème, d'où la délivrance de certificats de dispositif.

Répondu el 8 de Juin, 2018 par Nick (4073 Points )

0voto

Harry Johnston avatar
Harry Johnston Points 5785

Chaque guide que vous lisez pour la distribution de certificats internes pour ce type de configuration utilise des certificats d'ordinateur, mais la question est pourquoi? Est-ce vraiment plus ou moins sécurisé qu'un certificat d'utilisateur?

Ce n'est pas (nécessairement) à propos de la sécurité; ils utilisent des certificats d'ordinateur parce que c'est la solution la plus appropriée pour leur cas d'utilisation. Vous avez déjà découvert certaines raisons pour lesquelles l'utilisation de certificats d'utilisateur est moins pratique : vous avez dû créer un modèle personnalisé, vous assurer que l'AD n'autorisait pas les utilisateurs à rejoindre des machines non appartenant à l'entreprise sur le domaine, et vous assurer que l'autorité de certification n'avait pas le plug-in permettant aux machines non appartenant au domaine de demander des certificats d'utilisateur.

Puisqu'il existe de bonnes raisons non liées à la sécurité d'utiliser des certificats d'ordinateur, le fait que presque tout le monde le fasse ne constitue pas une preuve solide quant à la sécurité de l'utilisation des certificats d'utilisateur. Cependant, vous avez une contrainte qu'ils n'avaient pas : pour une raison quelconque, votre logiciel client VPN ne peut pas utiliser les certificats d'ordinateur. Je suppose que vous avez déjà bien étudié cela. La solution idéale serait de changer de clients, mais cela serait coûteux. Vous devez donc prendre une décision quant au risque que l'utilisation de certificats d'utilisateur implique.

La meilleure (et la seule manière véritablement sûre) de prendre cette décision serait de consulter un expert, ce qui n'est définitivement pas mon cas. J'ai retardé de poster une réponse dans l'espoir que quelqu'un ayant l'expérience appropriée le ferait, mais sans succès. Alors, pour ce que cela vaut, voici comment je le verrais. Cependant, si vous avez la possibilité de dépenser une somme modeste pour engager un consultant expert, je vous recommande de le faire.

Je ne vois que deux façons par lesquelles un utilisateur pourrait tenter de contourner les restrictions quant aux ordinateurs qu'ils peuvent utiliser. Ils pourraient essayer d'exporter leur certificat utilisateur d'une machine de domaine vers une machine non appartenant au domaine. Ou ils pourraient essayer de tromper l'autorité de certification pour obtenir un certificat d'utilisateur pour une machine non appartenant au domaine.

J'ai effectué rapidement une recherche, et il semblerait que bien que les certificats utilisateurs soient stockés dans des fichiers auxquels l'utilisateur a accès, ils sont chiffrés par le service d'isolement de la clé CNG. À moins que l'utilisateur ne possède des privilèges administratifs, cela devrait empêcher l'exportation des clés. (Si l'utilisateur a des privilèges administratifs, il pourrait vraisemblablement aussi facilement exporter une clé d'ordinateur qu'une clé utilisateur.)

Je suis moins optimiste quant à la deuxième option. À ma connaissance, il n'y a aucune promesse documentée que l'autorité de certification fera des efforts pour valider l'identité de l'ordinateur lorsqu'une clé utilisateur est générée. Le fait qu'il existe une procédure documentée pour le faire, et que vous avez vérifié que le composant pertinent n'est pas installé, n'est pas une preuve solide que c'est la seule manière possible.

Ma recherche suggère que les demandes de certificat sont faites via DCOM, et que bien que les réglages par défaut de DCOM ne fonctionnent pas pour un client non appartenant au domaine tentant de se connecter à un serveur de domaine, seulement le client doit être reconfiguré pour réussir à établir une connexion. Évidemment, je n'ai pas réellement essayé, mais en principe je pense que cela fonctionnerait.

D'un autre côté, le client devrait quand même être capable de se connecter à l'autorité de certification pour faire la demande, et si le client est en dehors de votre réseau, cela devrait être bloqué par votre pare-feu. Et vu le contexte, je supposerais que vous avez déjà pris des mesures pour dissuader le personnel de connecter des ordinateurs personnels au réseau de travail. Donc de ce point de vue, bien que vous ne soyez peut-être pas aussi sécurisé que vous pourriez l'être, vous êtes probablement aussi sécurisé que vous devez l'être, en fonction bien sûr de votre profil de risque. (Je vais supposer que vous ne gérez pas un site d'armes nucléaires ici.)

En fin de compte, votre meilleure protection ne sera de toute façon pas technologique. À condition que votre personnel soit conscient de la politique et avertis que l'utilisation du VPN est surveillée et enregistrée, très peu d'entre eux vont probablement essayer de contourner les règles, même s'ils ont les compétences pour trouver un moyen de le faire.

Répondu el 17 de Juin, 2018 par Harry Johnston (5785 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X