802.1x full enforcement mode actif - comment désactiver le test sur les champs SAN?

Question

J'utilise Windows Server 2016 pour effectuer de l'authentification 802.1x. Le patch cumulatif de sécurité KB5016222 est appliqué. J'ai suivi les recommendation de Microsoft, et Windows Server est configuré en full enforcement mode en paramétrant les registry keys suivantes:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel*CertificateMappingMethods* 0x18 (default value recommended by Microsoft)
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Kdc*StrongCertificateBindingEnforcement* 0x02 (strong certificate mapping, configuration recommended after 2025 by Microsoft)

L'équipement qui tente de se connecter au réseau présente un certificat avec les caractéristiques principales suivantes:

• CN = [MAC ADDRESS]
• SAN/UPN = UneChaineDeCaracteresFixe
• SAN/dNSName = [MAC ADDRESS]

Au niveau de l'Active Directory, un user [MAC ADDRESS] est configuré. L'attribut altSecurityIdentities définit 2 entrées pour le mappage fort, X509IssuerSerialNumber (qui contient Issuer Name + Serial Number) et X509IssuerSKI (qui contient le Subject Key Identifier)

Avec cette configuration l'authentification échoue systématiquement. Je suspecte que Windows Server effectue toujours un test sur les champs SAN si ils sont présents. Dans mon cas, comme le champ SAN/UPN ne contient pas le CN, sans doute que l'authentification échoue alors que les mappages considérés comme fort sont configurés (altSecurityIdentities).

Ma question: est-il possible de désactiver dans le cas d'un "mappage fort" les tests effectués sur les entrées du SAN?

Merci pour le support, cordialement,

Philippe

Answer 1

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour Philippe,

La désactivation des tests SAN spécifiques sur le terrain dans le contexte de l’authentification 802.1x sur Windows Server 2016, en particulier lorsqu’il est configuré pour le mode d’application complète, est une question complexe. Les paramètres de registre que vous avez mentionnés sont cruciaux pour mettre en œuvre des politiques de sécurité solides, en particulier les recommandations post-2025 de Microsoft.

Présentation de la configuration

Votre configuration actuelle applique un mappage de certificat fort, qui inclut intrinsèquement des vérifications des champs SAN pour s’assurer que le certificat présenté par le client correspond exactement à ce qui est attendu par le serveur. Cela fait partie de la fonction de sécurité pour empêcher tout accès non autorisé.

Étapes de dépannage

1. Vérifier le certificat et la configuration :
   • Assurez-vous que les champs SAN du certificat sont correctement formatés et contiennent toutes les informations nécessaires attendues par la configuration du serveur.
   • Vérifiez si les champs SAN du certificat sont alignés sur les paramètres Active Directory sous « altSecurityIdentities ».
2. Ajustements Active Directory :
   • Ajustez les « altSecurityIdentities » pour vous assurer qu’elles s’alignent parfaitement sur les entrées SAN de vos certificats. Cela peut nécessiter la prise en compte de critères plus larges si la spécificité des tests SAN pose problème.

Désactivation directe des tests SAN

La désactivation des tests SAN, en particulier dans les environnements configurés pour une sécurité élevée (comme l’utilisation de « StrongCertificateBindingEnforcement »), n’est généralement pas recommandée et, selon la documentation standard de Microsoft, n’est pas directement prise en charge par des configurations simples ou des ajustements du registre. Cependant, vous pouvez envisager :

1. Modification des exigences en matière de certificat :
   • Ajustez les exigences de votre infrastructure pour ne pas dépendre strictement des champs SAN pour l’authentification. Cela peut impliquer une reconfiguration de la façon dont votre serveur valide les certificats ou les critères définis dans Active Directory.
2. Audit et conformité :
   • Assurez-vous que toute modification de la gestion des certificats et des exigences de terrain SAN ne compromet pas votre conformité aux normes du secteur et aux politiques de sécurité internes.

Conclusion

Bien que la désactivation directe des tests SAN ne soit pas une option simple en raison des implications en matière de sécurité, la réévaluation de vos exigences en matière de configuration et de certificat ou la recherche de conseils supplémentaires auprès de Microsoft peuvent fournir une solution viable aux problèmes d’authentification que vous rencontrez.

Si vous avez besoin d’une assistance supplémentaire, n’hésitez pas à fournir plus de détails sur les configurations de vos certificats et les erreurs spécifiques rencontrées lors de l’authentification pour des conseils plus ciblés.

Sinceres salutations

Rosé

Answer 2

Bonjour Rosé,

Merci pour votre réponse. Je comprends que Microsoft ne conseille pas de désactiver les tests effectués sur les valeurs contenues dans le champ SAN. Cela vérifie l'hypothèse que malgré l'activation du full enforcement mode, il est nécessaire d'avoir un mappage explicit entre le user login name 802.1x et les attributs du champ SAN. Cela implique que:

• CN = login name 802.1x
• SAN/UPN = login name 802.1x
• SAN/dNSName = login name 802.1x (si SAN/dNSName est présent)

Est-ce que vous partagez également cette conclusion?

Cordialement,

Philippe

Answer 3

Cette réponse a été automatiquement traduite. Par conséquent, il peut y avoir des erreurs grammaticales ou des formulations étranges.

Bonjour Philippe,

Merci pour votre message et pour l’explication détaillée de votre compréhension.

Vous avez raison dans votre conclusion. Microsoft recommande en effet que les valeurs du champ SAN (Subject Alternative Name) soient correctement mappées et validées. Ceci est essentiel lors de l’activation du mode d’application complète pour l’authentification 802.1x. Le mappage explicite entre le nom de connexion de l’utilisateur et les attributs de champ SAN doit être le suivant :

• Nom commun (CN) : doit correspondre au nom de connexion 802.1x.
• SAN/UPN (nom d’utilisateur principal) : doit également correspondre au nom de connexion 802.1x.
• SAN/dNSName : s’il est présent, doit correspondre au nom de connexion 802.1x.

Cela garantit que le certificat présenté par le client pendant le processus d’authentification est correctement validé par rapport aux informations de connexion de l’utilisateur Active Directory, ce qui maintient l’intégrité et la sécurité du processus d’authentification.

Je suis d’accord avec votre conclusion et la nécessité de cette cartographie explicite pour assurer le bon fonctionnement du mécanisme d’authentification 802.1x.

Si vous avez d’autres questions ou si vous avez besoin d’aide supplémentaire, n’hésitez pas à nous contacter.

Cordialement

Yuan rose

Answer 4

Bonjour,

Merci pour ces échanges.

Dans un message précédent de Yuan Rose, il est dit qu'il serait possible de "désactiver directement les tests des champs SAN", en mode full enforcement :

"Ajustez les exigences de votre infrastructure pour ne pas dépendre strictement des champs SAN pour l’authentification. Cela peut impliquer une reconfiguration de la façon dont votre serveur valide les certificats ou les critères définis dans Active Directory."

Pouvez-vous préciser la configuration nécessaire précise du serveur qu'il faudrait appliquer pour désactiver ces tests, avec les caractéristiques suivantes des certificats des devices:

• CN = [MAC ADDRESS]
• SAN/UPN = UneChaineDeCaracteresFixe
• SAN/dNSName = [MAC ADDRESS]

Merci.

Cordialement,

Jean-Michel