Si votre réseau exécute un domaine ou si vous exécutez un serveur Windows, vous êtes probablement configuré en tant que domaine. Je vais vous montrer comment configurer votre serveur Windows et vos postes de travail pour vous connecter avec un Yubikey en toute sécurité. Alors, préparez vos chapeaux à hélice car cela va devenir un peu technique.
Qu’est-ce qu’un Yubikey ?
Si vous ne savez pas ce qu’est un Yubikey, c’est un petit matériel que vous pouvez brancher sur l’adaptateur Lightning de votre téléphone. Ou dans le port USB-C de votre ordinateur, ou un vieux port USB ordinaire sur un autre type d’ordinateur. Vous l’utilisez pour l’authentification à deux facteurs. Ainsi, lorsque vous vous connectez à un site, vous tapez votre nom d’utilisateur et le mot de passe auquel vous branchez votre Yubikey, puis vous appuyez généralement sur un connecteur. C’est un petit morceau de cuivre qui se trouve sur le côté du Yubikey. Il invite Yubikey à générer un mot de passe à usage unique et à le saisir dans ce champ à deux facteurs sur ce système.
Vérification de l’identité personnelle ou carte PIV
Windows et mac utilisent une identité personnelle standard de vérification ou de carte PIV pour la vérification de la carte à puce pour se connecter aux systèmes d’exploitation Windows. PIV utilise des certificats de sécurité pour prouver votre identité. Il est mathématiquement sûr et informatiquement impossible d’essayer de deviner des clés. Par conséquent, ils constituent la méthode préférée de vérification de l’identité. De plus, le gouvernement fédéral américain utilise PIV pour accéder aux installations et aux systèmes d’information contrôlés par le gouvernement fédéral.
Comme nous nous connecterons à un domaine Windows, nous verrons comment les certificats sont configurés sur le serveur et le poste de travail. Le Yubikey PIV est un stockage sécurisé pour le certificat utilisateur.
Attention : ce n’est pas pour les timides. Il nécessite la configuration des serveurs et des postes de travail. De plus, il nécessite le renouvellement des certificats après la date d’expiration qui, s’il n’est pas prévu, pourrait entraîner des temps d’arrêt pour l’ensemble de l’organisation.
De quoi avez-vous besoin ?
Cette configuration nécessite un ensemble spécifique de Yubikeys comme une série Yubikey 5 FIPS. Vous devez vous assurer que vos serveurs et vos postes de travail prennent en charge Yubikeys. La règle générale est que vous devez exécuter Windows Server 2012 R2 ou supérieur comme serveur et Windows 8 ou supérieur sur votre poste de travail. L’installation du mini pilote Yubikey est requise sur tous les ordinateurs sur lesquels la clé sera utilisée. S’il est utilisé dans un environnement de bureau à distance, le mini-pilote doit être installé à la fois sur la source ou le client et sur la destination ou le serveur.
Il y a beaucoup de pièges dans cette configuration. Comme mentionné dans la partie avertissement, les certificats expirent. Par défaut, le certificat racine expire à cinq ans. Toujours par défaut, les certificats utilisateurs expirent dans un an. Par défaut, les certificats utilisateur se renouvellent automatiquement six semaines avant leur expiration. Les ordinateurs que Yubikey utilise doivent être sur le réseau pour renouveler le certificat.
En d’autres termes, si vous avez un ordinateur portable utilisé au bureau et ramené à la maison, l’invite de renouvellement apparaît à la maison. Le certificat ne peut pas être mis à jour sur Yubikey à moins qu’il ne soit connecté à un VPN ou sur le réseau au bureau. Le non-renouvellement des certificats signifiera que l’utilisateur sera verrouillé. Et le plus gros piège est probablement le non-renouvellement du certificat racine, ce qui signifie que toute l’organisation sera verrouillée une fois qu’il aura expiré.
Lire aussi : Comment installer Windows Server 2016 ?
Renouveler les certificats pour Yubikey
Il est très important de consigner ces dates d’expiration pour s’assurer que des rappels sont définis pour assurer une transition en douceur au moment de l’expiration. La plupart des gens ne se souviendront pas des clés pendant cinq ans, qui sont sur le point d’expirer. Il est donc important de les gérer. De plus, un bureau distant nécessite une configuration particulière du mini pilote sur le serveur. Les connexions de bureau à distance ne doivent pas être activées pour l’authentification au niveau du réseau, sinon la connexion échouera.
Il y a une raison technique derrière cela impliquant des tickets Kerberos, mais cela est hors de portée pour en discuter ici. Sachez simplement que l’option dans la boîte de dialogue configure l’authentification au niveau du réseau doit être décochée si vous souhaitez utiliser la connexion de bureau à distance à ce poste de travail ou à ce serveur. L’utilisation de Yubikey pour administrer des serveurs hyper-v ne peut être effectuée qu’avec des serveurs de génération 2. Le mode de session amélioré doit être activé sur le serveur invité pour passer par USB.
Lors de la connexion à un serveur, définissez les ressources locales pour passer par smart cartes. Nous allons configurer un serveur et un poste de travail à partir de zéro pour prendre en charge la connexion de Yubikey. C’est difficile. Bien que ce blog vous explique comment configurer facilement des serveurs, la prise en charge d’un tel système peut dépasser la tête de certains professionnels de l’informatique qui ne sont pas expérimentés avec les certificats numériques.
Lire également : [Corrigé] Plantage de WindowsServer après la mise à niveau Vers macOS Ventura
Comment configurer Yubikey sur un réseau de domaine ?
En d’autres termes, sur un réseau avec un serveur. Tout d’abord, vous devez installer le rôle de service de certificat sur votre contrôleur de domaine ou sur un serveur membre. Vous pouvez le faire via le tableau de bord du gestionnaire de serveur et ajouter le rôle de services de certificat Active Directory. Et puis cliquez sur suivant plusieurs fois et assurez-vous que l’autorité de certification est cochée et cliquez sur suivant. Ensuite, cliquez sur installer. Attendez qu’il s’installe car parfois vous devez redémarrer le serveur et parfois non.
Soyez donc prêt car vous devrez peut-être redémarrer. L’installation peut prendre quelques minutes. Une fois cela fait, appuyez sur configurer les services de certificat Active Directory sur le serveur de destination. Entrez les identifiants de connexion qui ne sont généralement que le compte administrateur sur lequel vous devez appuyer ensuite. Assurez-vous de cocher la case autorité de certification et cliquez sur suivant. Assurez-vous qu’il s’agit d’une autorité de certification d’entreprise et cliquez sur suivant. Ensuite, sélectionnez Root CA et cliquez sur suivant. Dans la boîte de dialogue suivante, la nouvelle clé privée convient, vous cliquerez donc sur suivant.
Vous pouvez accepter les valeurs par défaut dans la diapositive suivante, cliquer sur suivant, conserver le nom par défaut et appuyer à nouveau sur suivant. Conservez la durée de validité de cinq ans, ce qui est bien, et cliquez sur suivant. L’emplacement par défaut des journaux est également correct et cliquez sur suivant. Enfin, cliquez sur configurer. Par défaut, Windows ne reconnaît pas le format de clé de sécurité que vous venez de créer. Pour cela, vous devez mettre à jour la stratégie de groupe pour vous permettre d’utiliser des certificats de cryptographie à courbe elliptique.
Lire également : 9 correctifs pour Outlook ne se connectant pas au serveur Windows 11
Pour ce faire :
Étape 1 : ouvrez l’éditeur de stratégie de groupe. Étape 2: Vous devez créer un nouveau GPO uniquement pour Yubikey. Faites un clic droit sur le domaine et sélectionnez”Créer un GPO dans ce domaine et le lier ici…”. Étape 3: Vous pouvez lui donner n’importe quel nom comme Yubikey et cliquer sur OK. Étape 4: modifiez le nouvel objet de stratégie de groupe. Faites un clic droit dessus et sélectionnez modifier. Vous devez maintenant mettre à jour la stratégie de groupe pour autoriser un certificat de courbe elliptique sous la configuration de l’ordinateur. Étape 5: Accédez aux stratégies, aux modèles d’administration, aux composants Windows et à la carte à puce, puis activez la stratégie de groupe en cliquant sur Autoriser l’utilisation des certificats ecc pour la connexion et l’authentification. Étape 6: Cliquez sur OK. Vous pouvez soit attendre la mise à jour de la stratégie de groupe, soit forcer une mise à jour de la stratégie de groupe. Après avoir cliqué sur forcer la mise à jour de la stratégie de groupe, appuyez sur oui pour autoriser l’application à apporter des modifications. Étape 7: Allez dans le Power Shell et utilisez la commande gpupdate/force et vous êtes prêt à aller sur le serveur. Étape 8: Vous pouvez vérifier que cette stratégie de groupe a été mise à jour à l’aide de la commande rsop.msc. Cela vous donne l’écran résultant de l’ensemble de politiques. Vous pouvez maintenant confirmer à partir de cet écran que la politique est activée. Il affichera toutes les stratégies activées pour cet utilisateur ou cet ordinateur. Étape 9: Tout ce que vous avez à faire est de trouver la stratégie qui vous intéresse et celle-ci se trouvera sous les modèles d’administration de configuration de l’ordinateur, les composants Windows et la carte à puce. Étape 10: Ensuite, vous pourrez voir que les paramètres sont activés et c’est sous le GPO nommé sous Yubikey qui est exactement là où vous devez le mettre.
Fermez les écrans
Retournez maintenant à la stratégie de groupe où il y a une section supplémentaire sous les paramètres Windows, les paramètres de sécurité, les stratégies locales et les options de sécurité. Vous pouvez définir une stratégie de groupe pour déterminer comment votre ordinateur réagit au débranchement de la Yubikey. Faites défiler vers le bas et recherchez le comportement de retrait de la carte à puce de connexion interactive de la stratégie de groupe. Double-cliquez dessus et vous pourrez alors définir cette politique. Par défaut, il n’y a aucune action, mais si vous supprimez la clé, vous pouvez la configurer pour verrouiller le poste de travail, forcer une fermeture de session ou se déconnecter s’il s’agit d’une session de bureau à distance.
C’est au choix du direction de l’entreprise pour déterminer celle qu’ils préféreraient. Apple aucune action, puis cliquez sur OK si vous n’avez rien en tant que tel.
Comment créer un modèle de certificat ?
Ce modèle de certificat sera utilisé par chaque utilisateur pour remplir votre Yubikey avec un certificat d’authentification. Pour cela, suivez ces étapes :
Accédez à la commande d’exécution et tapez certtmpl.msc et cliquez sur OK. Cela fait apparaître la console du modèle de certificat. Faites défiler vers le bas et cliquez avec le bouton droit sur la connexion par carte à puce. Sélectionnez le modèle en double. Il y a un certain nombre de modifications que nous devons apporter à ce modèle pour qu’il fonctionne. Tout d’abord, vous devez examiner la compatibilité, l’autorité de certification et le destinataire du certificat. Vous devez vous assurer qu’ils sont au même niveau que ce que votre serveur et vos postes de travail donc si vous avez un serveur 2016 ou 2019 que vous choisissez, serveur 2016 dans la section autorité de certification.
Ensuite, vous devez connaître le système d’exploitation minimum dont vous disposez sur votre réseau. Si vous avez une machine Windows 7 mais que tout le reste est Windows 10, vous devez toujours sélectionner Windows 7. De plus, si tout est Windows 10, vous devez sélectionner Windows 10, ce que vous devez faire ensuite.
Lire aussi: Comment installer Microsoft SQL Server dans Windows 11 ?
Suivez ces étapes
Étape 1: Cliquez sur OK sur l’écran qui apparaît. Étape 2: Cliquez sur l’onglet général. Étape 3: Là, vous devrez taper le nom du modèle. Par exemple, dans ce cas, vous allez l’appeler Yubikey. Vous pourrez voir la période de validité d’un an et la période de renouvellement de six semaines. Ils sont tous les deux d’accord pour rester comme ils sont. Étape 4: Ensuite, vous devez cocher la case à côté pour publier le certificat dans le répertoire actif. En outre, ne vous réinscrivez pas automatiquement si un certificat en double existe dans le répertoire actif. Étape 5: Appuyez sur le bouton Appliquer. Étape 6: Cliquez sur l’onglet de traitement des demandes et conservez l’objet et la signature ainsi que le cryptage. Cochez la case inclut les algorithmes symétriques autorisés par le sujet. Étape 7: Cochez la case pour le renouvellement automatique des certificats de carte à puce. Étape 8: De plus, utilisez la clé existante si une nouvelle clé ne peut pas être créée. Modifiez le bouton radio pour inviter l’utilisateur lors de l’inscription et appuyez sur Appliquer. Étape 9: accédez à l’onglet cryptographie et mettez à jour la catégorie de fournisseur sur le fournisseur de stockage de clés. Remplacez le nom de l’algorithme par ecdhp384 et appuyez sur le bouton radio requests. Étape 10: Activez le fournisseur de stockage de clé de carte à puce Microsoft avec un hachage de demande de sha256 et cliquez sur le bouton Appliquer.
Maintenant, dans l’onglet sécurité, vous devez ajouter l’utilisateur ou le groupe auquel ce certificat va s’appliquer. Dans ce cas, il s’agira de tous les utilisateurs du réseau ou des utilisateurs du domaine. Vous pouvez ajouter des utilisateurs de domaine, cliquer sur vérifier les noms pour vous assurer qu’ils sont correctement orthographiés, puis appuyer sur OK.
De plus, cliquez sur les utilisateurs du domaine, et maintenant vous devez définir les autorisations pour ces utilisateurs. Vous devez également vous assurer que vous avez lu la coche marquée dans la colonne Autoriser et donc pour l’inscription et la réinscription automatique.
Suivez ces étapes
Une fois cela fait, vous pouvez cliquer sur Appliquer et puis d’accord. Vous avez maintenant configuré avec succès le modèle que vous utiliserez avec Yubikey. De plus, il y a quelques paramètres supplémentaires que vous devez modifier. Faites un clic droit sur le bouton de démarrage et accédez à la commande d’exécution. Tapez certsrv.msc et appuyez sur Entrée. Vous devez ajouter le modèle de certificat à l’autorité de certification. Pour ce faire, accédez au modèle de certificat sous le nom du serveur. Faites un clic droit sur l’espace blanc et sélectionnez le nouveau modèle de certificat à émettre. Faites défiler jusqu’à Yubikey, sélectionnez-le et cliquez sur OK.
Vous devriez pouvoir le voir ajouté en haut de la section du modèle de certificat. Et cela peut prendre jusqu’à huit heures pour remplir tout votre réseau en fonction de la complexité de votre réseau. Cependant, la plupart des réseaux se mettent à jour instantanément. Après cela, vous devez mettre à jour quatre autres stratégies de groupe.
Allez à l’invite de commande
Une fois de plus, allez à la commande d’exécution et tapez gpmmc.msc pour ouvrir la gestion des stratégies de groupe. Sous le domaine, vous devriez voir votre stratégie de groupe Yubikey. Faites un clic droit dessus et sélectionnez modifier. Dans la configuration de l’ordinateur, accédez à Politiques, paramètres Windows, paramètres de sécurité et politiques de clé publique, puis cliquez dessus. De plus, cliquez avec le bouton droit sur l’inscription automatique du client des services de certificats et cliquez sur les propriétés. Changez le modèle de configuration en activé. Cochez les cases à côté de renouveler les certificats expirés et de mettre à jour les certificats qui utilisent des modèles de certificat.
Appuyez sur OK et faites un clic droit sur le client des services de certificats, la politique d’inscription des certificats et cliquez sur les propriétés. Changez à nouveau le modèle de configuration en activé, puis cliquez sur OK. Vous devez maintenant mettre à jour les mêmes stratégies sous la configuration de l’utilisateur. Accédez aux stratégies, aux paramètres Windows et aux paramètres de sécurité, puis cliquez sur les stratégies de clé publique. De plus, cliquez avec le bouton droit sur le client des services de certificats, la politique d’inscription des certificats et cliquez sur les propriétés. Modifiez le modèle de configuration sur activé et cliquez sur OK.
Cliquez avec le bouton droit sur l’inscription automatique du client des services de certificats, puis cliquez sur les propriétés. Changez le modèle de configuration en activé et cochez les cases comme vous l’avez fait la dernière fois. Ensuite, renouvelez les certificats arrivés à expiration et mettez à jour les certificats qui utilisent des modèles de certificat. Et cliquez sur OK pour l’enregistrer. Enfin, les stratégies de groupe ont été mises à jour.
Comment faire une mise à jour de stratégie de groupe ?
Pour cela, faites un clic droit sur le bouton de démarrage. Accédez à l’administrateur PowerShell et tapez la commande gpupdate/force et appuyez sur Entrée. Une fois la stratégie de groupe mise à jour, vous pouvez vous rendre sur le poste de travail pour mettre à jour la Yubikey. Sur le poste de travail Windows 11, vous pouvez obtenir une icône qui ressemble à un certificat. Si vous cliquez dessus, cela devrait lancer l’assistant d’inscription. Cependant, si le certificat n’est pas là, vous devez exécuter la commande manuellement. Ouvrez le terminal Windows ou l’invite de commande et tapez la commande certreq-enroll Yubikey. Cela va maintenant lancer un assistant qui vous permettra de mettre un certificat sur votre Yubikey en utilisant le modèle Yubikey que vous avez créé précédemment. De plus, sur l’écran de l’assistant, cliquez sur suivant, puis cliquez sur s’inscrire. Vous avez maintenant le Yubikey branché et il vous demandera d’entrer le code PIN du Yubikey. Tapez le code PIN et il inscrira votre certificat sur le Yubikey. Cliquez sur terminer. L’utilisateur actuel peut maintenant se connecter au domaine Windows en utilisant cette Yubikey. Déconnectez-vous, puis sur l’écran de connexion, cliquez sur l’option de connexion et sélectionnez une carte à puce. Vous verrez qu’il a lu vos informations de connexion à partir de la carte à puce. Tapez votre code PIN et cliquez sur connexion. Pas besoin d’entrer un mot de passe ou la nécessité pour Yubikeys de se connecter pour tous les utilisateurs sauf ceux inscrits. Si vous vous reconnectez avec un autre utilisateur comme l’administrateur du réseau, vous pouvez entrer le mot de passe et cela vous permettra de vous connecter.
Comment appliquer la connexion de Yubikey pour cet utilisateur ?
Allez retour au serveur. Dans le gestionnaire de serveur, vous accédez aux utilisateurs et ordinateurs Active Directory. Vous devez sélectionner l’utilisateur en double-cliquant dessus. Allez dans l’onglet compte. Et dans la section des options de compte, il est nécessaire de cocher la case à côté de la carte à puce pour une connexion interactive. Cliquez sur OK. De retour sur le poste de travail, si vous essayez d’entrer le mot de passe du cyber informateur, il sera refusé. Il affichera un message vous indiquant que vous devez utiliser Windows hello ou une carte à puce pour vous connecter. Branchez la carte à puce, puis cliquez sur le bouton de la carte à puce. Maintenant, vous pouvez entrer le code PIN et il vous connectera.
Gestionnaire de Yubikey
Cela a tout à voir avec la configuration de Yubikey, mais regardons ce qui se trouve réellement sur le Yubikey. Allez sur le bouton de démarrage et tapez Yubikey manager. Cliquez sur le gestionnaire Yubikey et cela ouvrira l’écran du gestionnaire Yubikey. Lorsque vous insérez la clé, vous pourrez voir la Yubikey que vous avez insérée. Allez dans les applications et sélectionnez PIV.
L’écran vous permet de configurer les broches sous la gestion des broches. Vous pouvez changer le code PIN, changer la clé de gestion et vous pouvez voir les certificats chargés lorsque vous y entrez. De plus, vous pouvez voir le serveur de sécurité CA Cyber informateur. C’est le certificat sur la clé et c’est ce qui vous permet d’accéder à la fenêtre de connexion. De plus, vous pouvez voir d’autres emplacements pour différents types de certificats.
Vous pouvez également réinitialiser le PIV. Réinitialisez tout aux paramètres d’usine si vous le souhaitez et enfin, sous les interfaces, vous pouvez voir qu’il a USB et NFC. Vous pouvez activer et désactiver les différents types d’authentification en fonction du type de connexion USB ou NFC. Dans votre cas, vous pouvez les laisser tous allumés sans rien nier. Et ceci conclut une procédure pas à pas de Yubikey sur les réseaux de domaine.
Conclusion
En résumé, il y a quelques points clés que vous pouvez prendre en compte. Tout d’abord, cela peut être difficile. Cependant, si vous êtes en mesure de le configurer une fois, il offre une sécurité à toute épreuve aux réseaux de domaine. Yubikey apporte une sécurité de niveau entreprise à votre petite ou moyenne entreprise. La gestion des certificats doit être prise en compte et planifiée lors de la mise en œuvre. Pour les administrateurs, c’est complexe, mais pour les utilisateurs finaux, la connexion sécurisée ne pourrait pas être plus simple. L’authentification multifacteur sur les réseaux de domaine peut être complexe et coûteuse. Par rapport à ces systèmes coûteux, Yubiey rend l’infrastructure simple et bon marché en utilisant les services de certificat déjà disponibles dans Windows.