PKI et utilisation des cartes à puce en entreprise Philippe Beraud Consultant Principal Microsoft France.

Présentation au sujet: "PKI et utilisation des cartes à puce en entreprise Philippe Beraud Consultant Principal Microsoft France."— Transcription de la présentation:

1 PKI et utilisation des cartes à puce en entreprise Philippe Beraud Consultant Principal Microsoft France

2 La stratégie sécurité de Microsoft Isolation et résilience Excellencedelengineering Conseils,Outils,Réponse Mise à jour avancée Authentification,Autorisation,Audit

3 Sommaire Certificats, Cartes à puce (Smart Cards) et prise en compte par la plate- forme Windows Utilisation des certificats et des cartes à puces Déploiement des cartes à puces avec Certificate Services de Windows Server 2003 Gabarits de certificat (Certificate Template) Méthodes denrôlement pour les certificats sur les cartes à puce Gestion des cartes à puce (et des certificats) Digital Identity Management System (DIMS)

4 Certificats numériques Cryptographie asymétrique (clé publique, clé privée) Ex. Signature numérique dun message Créer une signature numérique (émetteur) Vérifier une signature numérique (destinataire) Message reçu Même fonction de hashage Condensé Py75c%bn&*)9|fDe^ bDFaq#xzjFr@g5=& nmdFg$5knvMdrkve gMs Clé publique envoyée avec le message Déchiffrement asymétrique Signature numérique Jrf843kjfgf*£$&Hdif*7oUsd*& @:<CHDFHSD(** ? == ? Clé privée Message à envoyer Condensé Signature numérique Py75c%bn&*)9|fDe^bDFaq#x zjFr@g5=&nmdFg$5knvMdr kvegMs Jrf843kjfgf*£$&Hdif*7oUsd*& @:<CHDFHSD(** Fonction de hashage (SHA, MD5) Chiffrement asymétrique

5 Certificats numériques Certificats X509 v3 Équivalent dune pièce didentité pour un utilisateur ou une machine De plus en plus intégrés avec les services et applications Ouverture de session par carte à puce, messagerie sécurisée, applications de signature électronique, VPN, WiFi, etc. Identité du sujet Identité de lémetteur Valeur de la clé publique du sujet Durée de validité Signature numérique de lAutorité de Certification (AC) Chemin pour la CRL Chemin pour la récupération du certificat AC Sujet: Philippe Beraud Émetteur: Issuing CA Valide à partir de: 01/05/2005 Valide jusquau: 01/05/2006 CDP:URL=http://fqdn/crl/CA.crl AIA:URL=http://fqdn/ca.crt Clé publique du sujet: RSA 1024.. Politique dapplication: Client Authentication, SmartCard Logon... Numéro de série: 78F862… …… Signature: F976AD… La signature numérique garantie lintégrité des données (idem pour une CRL)

6 Outils de gestion des clés et des certificats, Audit… Points de distribution des certificats et des CRL (CDP) Autorité de Certification (AC) Certificat Numérique Services et applications sappuyant sur une PKI Liste de révocation des certificats (CRL) Composants dune PKI Chemins ldap:, http:, file:

7 Cartes à puce (Smart Cards) Offrent une protection forte pour les clés privées des certificats Permettent de réaliser des opérations cryptographiques Offrent une réponse aux besoins d'authentification forte, de preuve d'identité renforcée Authentification à 2 facteurs Permettent de disposer dun badge dentreprise unique Rapprochement des mondes physique et numérique Offrent une commodité dusage Format facile à gérer Simplification de lexpérience utilisateur Constituent une plateforme daccueil pour dautres applications de lentreprise

8 Prise en compte des cartes à puce par Windows Installation du pilote du lecteur de carte (et outils associés) Installation du fournisseur de service de cryptographie (Cryptographic Service Provider ou CSP) de la carte Chaque type de Smart Card nécessite un CSP spécifique En standard Gemplus, Infineon, Schlumberger (Axalto) Vérification de linstallation: Certutil –v –scinfo Current reader/card status: Readers: 1 0: Gemplus GemPC430 0 Reader: Gemplus GemPC430 0 Status: SCARD_STATE_PRESENT | SCARD_STATE_INUSE Status: The card is being shared by a process Card: ITG_MSCSP_V2…. Application Crypto API Opérations cryptographiques Gestion de certificats et fournisseurs de stockage Stockage des certificats CSP Base des clés CSP

9 Authentification forte des utilisateurs Ouverture de session Windows par carte à puce Également pour les sessions Terminal Services et Remote Desktop Authentification cliente SSL/TLS par certificat Portail/Application Web sécurisé, Web SSO (fédéré) avec ADFS (Windows Server 2003 R2), Obtention de licences de publication RMS/Consultation de contenus protégés par RMS (SP1) Accès distant via VPN Authentification EAP-TLS 259880 « Configuring a VPN to Use Extensible Authentication Protocol (EAP) » http://support.microsoft.com/?id=259880 http://support.microsoft.com/?id=259880 Sécurisation accès wireless 802.11 Authentification EAP-TLS Points communs Ouverture de session par certificat Deux modes possibles UPN/NTAuth – userPrincipalName Mappage explicite - altSecurityIdentities

10 Ouverture de session par carte à puce Extension Kerberos PKINIT 248753 « Description of PKINIT Version Implemented in Kerberos in Windows 2000 » http://support.microsoft.com/?id=248753 http://support.microsoft.com/?id=248753 Chiffré avec la clé publique MSGINA récupère le code PIN WINLOGON LSA KERBEROS SSP KDC Clé privée AD a.Utilise la clé publique du certificat pour déchiffrer lAS_REQ b.Vérifie le NTAuth c.Mappe lUPN d.Créer un TGT 5 7 PA_PK_AS_REQ Certificat utilisateur signé avec la clé privée PA_PK_AS_REP Contenant: TGT + PAC + clé de session + condensé NTLM du mot de passe 6 Objet utilisateur: Nom, UPN, Appartenance aux groupes, Publication Certificat Le client Kerberos déchiffre la clé de session avec la clé privée 32 481

11 Ouverture de session par carte à puce Nécessite des certificats « Smartcard » et « Domain Controller » valides Ces certificats doivent respecter les exigences suivantes Le certificat « Smartcard » doit être émis par une AC référencée dans le magasin NTAuth La chaîne de certificats doit se terminer par une racine de confiance Tous les certificats de la chaîne doivent Contenir une extension CDP pour la CRL qui doit pouvoir être obtenue et être temporellement valide Pouvoir être obtenu, en étant déjà sur la machine (cache) ou en étant atteignable via les transports réseau Aucun ne doit être révoqué

12 Quest-ce que NTAuth ? Le magasin NTAuth identifie les ACs à même démettre des certificats « Smartcard Logon » et « Enrollment Agent » acceptables et valides Le client utilise NTAuth pour valider le certificat du contrôleur de domaine et le contrôleur de domaine utilise NTAuth pour valider le certificat du client Authentification mutuelle Une vérification de NTAuth est réalisée après une validation de la chaîne de certification Stocké dans la partition de configuration de lActive Directory Conteneur NTAuthCertificates CN=NTAuthCertificates,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=com Lors des évènements denrôlement automatique, les certificats dAC contenus dans lobjet DS NTAuth sont téléchargés dans le magasin de certificats NTAuth de la machine locale HKLM\Software\Microsoft\Enterprise Certificates\NTAuth\Certificates Empreintes des certificats Publication manuelle dun certificat dAC dans le magasin NTAuth certutil -dspublish -f.der NTAuthCA

13 Mappage de certificats Active Directory Le système utilise lUPN (User Principle Name) dans le champ « Subject Alternative Name » du certificat SC pour localiser un objet utilisateur dans Active Directory où userPrincipalName = UPN dans le certificat SC Le mappage de certificats Active Directory a lieu dans LSA Le certificat SC doit être publié dans le magasin local utilisateur « My » (réalisé par défaut) Activation/Désactivation de la publication automatique de certificats SC lors de linsertion de la carte à puce HKLM\Sotware\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp Enable 1 ou 0

14 Certificats « Smartcard Logon » (SC) Le certificat SC doit respecter les exigences suivantes CDP (CRL Distribution Point) valide « Key Usage » = Digital Signature « Application policies » (OIDs) = Client Authentication (1.3.6.1.5.5.7.3.2) Smart Card Logon (1.3.6.1.4.1.311.20.2.2) 287547 « Object IDs Associated with Microsoft Cryptography » http://support.microsoft.com/?id=287547 http://support.microsoft.com/?id=287547http://support.microsoft.com/?id=287547http://support.microsoft.com/?id=287547 « Subject Alternative Name » = UPN = user1@name.com user1@name.com « Subject » = Nom distingué de lutilisateur Ce champ constitue une extension obligatoire mais le renseignement de champ est optionnel 281245 « Guidelines for Enabling Smart Card Logon with Third-Party Certification » http://support.microsoft.com/?id=281245

15 Certificats « Domain Controller » (DC) Le certificat DC doit respecter les exigences suivantes CDP (CRL Distribution Point) « Key usage » = Digital Signature, Key Encipherment « Application policies » = Client Authentication (1.3.6.1.5.5.7.3.2) Server Authentication (1.3.6.1.5.5.7.3.1) « Subject Alternative Name » = GUID de lobjet contrôleur de domaine et nom DNS 224543 « Using Ldp.exe to Find Data in the Active Directory » http://support.microsoft.com/?id=224543 CSP RSA Schannel pour générer la clé Gabarit de certificat = DomainController 291010 « Requirements for Domain Controller Certificates from a Third- Party CA » http://support.microsoft.com/?id=291010

16 Certificat DC dans Windows Server 2003 Le gabarit de certificat version 1 « Domain Controller » est scindé en deux gabarits version 2 « Domain Controller Authentication » Utilisé dans le cadre de louverture de session par carte à puce « Domain Email Replication » Utilisé pour la réplication de domaine Ces deux gabarits sont exclusivement utilisés par les contrôleurs de domaine Ces deux gabarits sont exclusivement utilisés par les contrôleurs de domaine

17 Ouverture de session et stratégies de groupe Imposer une ouverture de session par carte à puce Par stratégie de groupe Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options Interactive Login:Smart Card Required Requiert Windows XP SP2 Ne modifie pas le mot de passe de lutilisateur Via lattribut « Smart card is required for interactive logon » du compte utilisateur Modifie le mot de passe de lutilisateur à une valeur non connue Définir le comportement lorsque la carte à puce est retirée Computer Settings\Windows Settings\Security Settings\Local Policies\Security Options Interactive Login:Smart Card Removal Behavior No Action Lock Workstation Force Logout

18 Authentification cliente SSL/TLS par certificat Sappuie sur des protocoles standard pour lauthentification/confidentialité « front end » Certificats X509v3 Serveur et Client Support du protocole SSL/TLS par le biais du SSP (Security Support Provider) Schannel Schannel utilise les API de gestion CryptoAPI pour effectuer les opérations relatives à la clé privée et accéder au certificat Implémentation des opérations cryptographiques et du stockage des clés par le biais du CSP

19 Authentification cliente SSL/TLS par certificat Authentification mutuelle La première étape consiste à valider la chaîne de certificats relative au certificat client reçu côté IIS Comprend une vérification de révocation au niveau du certificat client Contrôlée par lattribut CertCheckMode dans la métabase pour le site considéré 0 (vérification de la CRL) ou 1 (pas de vérification de la CRL) La seconde étape consiste rendre possible lauthentification et louverture de session possible de par lexistence dun mappage Une tentative de mappage implicite est réalisée en premier Une tentative de mappage implicite est réalisée en premier En cas déchec, un mappage explicite est alors essayé en second lieu En cas déchec, un mappage explicite est alors essayé en second lieu Attribut AltSecurityIdentity de lobjet utilisateur Si un mappage implicite est utilisé, le certificat doit être chaîné à une racine de confiance et lAC émettrice doit être présente dans le magasin NTAuth Si un mappage explicite est utilisé, le certificat doit être simplement chaîné à une racine de confiance Le certificat est transmis au contrôleur de domaine où lutilisateur est recherché et un PAC (Privilege Attribute Certificate) généré

20 Authentification cliente SSL/TLS par certificat Les clients et serveurs mettent en cache les « handshakes » SSL HKLM\SYSTEM\CCS\Control\SecurityProviders\SCHANNEL ClientCacheTime = 120,000 milliseconds (2 minutes) Utilisation possible des extensions de protocole Kerberos Service4UserKerberos vis-à-vis du « back end » « Kerberos Protocol Transition and Constraint Delegation » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/sec urity/constdel.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/sec urity/constdel.mspx Pas ou peu de mots de passe Les mots de passe restent toujours possibles – soumis à politique de mot de passe du domaine Active Directory Ne nécessite pas de développements spécifiques Les applications doivent quand même prendre en compte la sécurité Mettre en œuvre les rôles, les contrôles daccès, les politiques dexécution de code, etc.

21 Ouverture de session par carte à puce Authentification SSL/TLS avec un certificat client

22 Autres utilisations des cartes à puce Tâches administratives Promotion dun contrôleur de domaine DCPromo avec /ADV Changement de lettre de créance RunAs avec /Smartcard Connexion à des ressources réseau Net Use avec /Smartcard Connexion Remote Desktop/Terminal Services Messagerie sécurisée via S/MIME Chiffrement/Signature des messages Outlook (Office), Outlook Express, Outlook Web Access (ActiveX) Signature XMLDIG Infopath (Office), Classes.Net

23 Certificate Services de Windows Server 2003 Service natif de la plateforme Windows Server 2003 permettant la mise en œuvre dune Autorité de Certification (AC) Basé sur les standards X509 v3, RFC 2459/3280, CMC, CMS, PKCS#1,7,8,10,12 Aucun coût additionnel de licence ou par certificat émis Deux types dAC Autonome (principalement) pour les AC racines et CA intermédiaires hors ligne Entreprise pour les AC émettrices sur une infrastructure AD Ressource de la forêt, disponible auprès des utilisateurs des domaines de la forêt Moyen le plus direct avec une AC dentreprise de déployer/gérer des certificats et de tirer parti des applications qui les utilisent Gabarits de certificats personnalisables, enrôlement et renouvellement automatique, support des cartes à puces, etc.

24 Gabarits de certificat Format et le contenu du certificat X509 v3 « Subject » et « Alternative Subject Name » Rôle du certificat, « Application Policies » Validité et période de renouvellement, Sélection dun ou plusieurs CSPs, (archivage de la clé privée) Méthodes denrôlement (manuel/auto) et « lssuance Policies » (quel contrôle est utilisé pour lémission du certificat) Permissions denrôlement (ACLs) Quel utilisateur a droit à quels certificats (Read, Enroll, AutoEnroll, etc.) LAC vérifie lautorisation du demandeur sur le gabarit référencé Utilisés par les ACs dentreprise de la forêt Gabarits version 1 et 2 créés par défaut lors de linstallation dune AC dentreprise Modifiables (version 2) Création de gabarits personnalisés en dupliquant un gabarit version 1 ou version 2, puis modification et enrichissement pour constituer le nouveau gabarit Windows 2003 comprend 29 gabarits prédéfinis

25 Gabarits de certificat Stockés dans la partition de configuration de lActive Directory Conteneur Certificate Templates Liste des gabarits disponibles Ressource globale dentreprise disponible pour lensemble des AC dentreprise de la forêt CN=Certificate Templates,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=com Conteneur Enrollment Services Liste des gabarits servis pour chaque AC dentreprise CN=Enrollment Services,CN=Public Key Services,CN=Services,CN=Configuration,DC=,DC=com Le gabarit est référencé dans la requête de certificat Le client ou lagent denrôlement télécharge les gabarits autorisés dans un cache local – MAJ 10 min HKCU\Software\Microsoft\Cryptography\CertificateTemplateCache Gestion des gabarits avec le snap-in MMC Certificate Templates Liste des gabarits servis par une AC avec le snap-in MMC Certificate Authority

26 Méthodes denrôlement pour les certificats sur les cartes à puce Le certificat est enrôlé pour le compte de lutilisateur Utiliser un agent denrôlement Si vous avez des clients Windows 2000 sur le réseau Si vous exigez une remise « en main propre » de la carte Si la politique de sécurité le nécessite Distribution de carte vierge et activation de lenrôlement automatique Utiliser lenrôlement automatique Si vous avez des clients Windows XP et Windows 2003 sur le réseau Si les types de CSPs sont en nombre limité Si la politique de sécurité autorise lenrôlement automatique Agent denrôlement Enrôlement automatique

27 Processus denrôlement automatique AD AC Requêtes AD denrôlement automatique Gabarits Information AC Construction dune requête CMS basée sur linformation du gabarit 4 1 2 Requête CMC sur DCOM (authentifiée) Publication de lAC dans AD Réponse CMC Génération de clé 3 Recherche de lutilisateur RFC 2797 « Certificate Management Messages over CMS » http://www.faqs.org/rfcs/rfc2797.html http://www.faqs.org/rfcs/rfc2797.htmlhttp://www.faqs.org/rfcs/rfc2797.html

28 Agent denrôlement Enrôlement pour le compte dun tiers, suivant le modèle dautorité denregistrement (Registration Authority) Processus de délivrance « analogue » aux cartes didentités et passeports Principalement pour la demande de certificats de type « SmartCard » Disponible avec une AC dentreprise Lagent obtient un certificat sur la base du gabarit « Enrollment Agent » Application Policies: Certificate Request Agent Lagent peut enrôler nimporte quel entité du domaine Les requêtes sont relatives à des gabarits pour lesquels lagent denrôlement dispose des permissions nécessaires Au niveau des gabarits, les « lssuance Policies » doivent requérir une seule signature, celle de lagent denrôlement 313629 « Custom Smartcard Template Is Not Available on the Smart Card Enrollment Station » http://support.microsoft.com/?id=313629 http://support.microsoft.com/?id=313629 Application Web denrôlement (Station denrôlement)

29 Agent denrôlement - recommandations Le pouvoir de lagent denrôlement impose des précautions Contrôler précisément lémission du certificat « Enrollment Agent » et lintégrité la clé privée correspondante Configuration des permissions sur le gabarit « Enrollment Agent » Amélioration de la sécurité avec les gabarits Version 2 Exiger lapprobation du Gestionnaire de certificats Issuance Requirements - CA certificate manager approval Ajouter une politique de certificat décrivant le processus démission des certificats Retirer les permissions sur le gabarit « Enrollment Agent » après émission des certificats « Enrollment Agent » Bonnes pratiques Placer le certificat/clé privée « Enrollment Agent » sur une carte à puce Pour lémission de carte à puce, utiliser une station denrôlement à double lecteur de carte Une pour la carte de lagent denrôlement Une pour la carte à émettre

30 Enrôlement automatique Offre une gestion automatique du cycle de vie des certificats des utilisateurs et des machines Obtention initiale dun certificat Renouvellement/Remplacement dun certificat Purge et Archivage des certificats Gestion des magasins de certificats personnels Réalise des tâches de maintenance Mise à jour et en cache des gabarits Mise à jour des magasins des racines de confiance Mise à jour des certifications croisées connues (AIA) Maintient les certificats de lattribut userCertificate du compte dans AD Certificats expirés, certificats révoqués et archivage de certificat Ne sapplique quaux certificats pour lesquels le gabarit comprend la permission AutoEnroll pour le compte

31 Enrôlement/Renouvellement automatique Enrôlement initial La force de lenrôlement nest pas supérieur au couple Utilisateur/Mot de passe La carte à puce devient un facteur de commodité uniquement Il ne devrait pas être utilisé pour le déploiement de certificats de signature électronique qualifiée Les lecteurs de cartes à puce, les pilotes et CSP doivent être installés et disponible avant que lenrôlement automatique ne soit activé Renouvellement de certificats sur cartes à puces Au centre des bonnes pratiques pour le déploiement de cartes à puce chez la plupart des clients Lidentité du détenteur du certificat a déjà été vérifiée Seul le détenteur connaît le PIN Seul le détenteur a accès à la carte à puce La requête de renouvellement est signée avec le certificat existant

32 Mise en œuvre de lenrôlement automatique Gestionnaire de certificats Créer un gabarit de certificat avec AutoEnrollment Créer un gabarit de certificat avec AutoEnrollment Activer linteraction Utilisateur (PIN) au niveau du gabarit de certificat Activer linteraction Utilisateur (PIN) au niveau du gabarit de certificat Positionner les permissions Read, Enroll et AutoEnroll sur le gabarit Positionner les permissions Read, Enroll et AutoEnroll sur le gabarit Publier le gabarit de certificat sur une AC dentreprise Publier le gabarit de certificat sur une AC dentreprise Administrateur du domaine Positionner une stratégie de groupe pour lenrôlement automatique, le renouvellement et la mise à jour des certificats Positionner une stratégie de groupe pour lenrôlement automatique, le renouvellement et la mise à jour des certificats User Configuration\Windows Settings\Security Settings\Public Key Policies Autoenrollment Settings Enroll certificates automatically Renew expired certificates, update pending certificates, and remove revoked certificates Update certificates that use certificate templates

33 Mise en œuvre de lenrôlement automatique Réside au niveau du processus userinit.exe Déclenché par Winlogon (ouverture de session interactive) pour les utilisateurs (Au démarrage pour les machines) Déclenché par lapplication des stratégies de groupe Intervalle 8 heures par défaut GPUpdate.exe pour déclenchement manuel Utilisateur Sélectionner linfo bulle denrôlement Sélectionner linfo bulle denrôlement Insérer la carte à puce dans le lecteur et saisir le code PIN Insérer la carte à puce dans le lecteur et saisir le code PIN

34 Enrôlement dun certificat « Contoso SmartId » par le biais dun agent denrôlement Création dun gabarit « Contoso Signature S/MIME » avec support de lenrôlement automatique sur carte à puce Enrôlement automatique dun certificat « Contoso Signature S/MIME »

35 Gestion des cartes à puce La gestion des cartes à puce et des certificats ne sarrête pas à lenrôlement initial Nécessité de gérer les cartes oubliées, perdues/volées ou détériorées, le blocage des cartes, etc. Situation temporaire vs. Remplacement de la carte Définition des scénarios de retour en mode « Mot de passe » Que se passe-t-il lorsque les cartes sont à cours despace de stockage ? Comment les « purger » ? Quand les « purger » ? Que doit-on conserver sur la carte ? Besoin de gérer le cycle de vie complet au-delà du seul enrôlement Personnalisation des cartes, enrôlement, délivrance, gestion des PIN, renouvellement de certificats, renouvellement des cartes Intégration de Certificate Services avec des solutions dautorités denregistrement (Registration Authority) et de gestion de cartes (Card Management Systems) Alacris idNexus, Gemplus SafeITes Card Manager, Intercede MyID Enterprise, Spyrus Signal IM, etc.

36 Digital Identity Management System (DIMS) Constats Les certificats et les clés privées sont liés à une machine et ne sont pas errants Pour un même usage (S/MIME par exemple), les utilisateurs peuvent posséder différents jeux de certificats et de clés privées sur chaque machine Options possibles Carte à puce Nombre limité de « lettres de créance » Profils itinérants Difficile à gérer et à administrer DIMS permet de délivrer les « lettres de créance » à la machine courante de lutilisateur via la réplication Active Directory et les stratégies de groupes Facilite lusage de fonctions comme lauthentification client et la messagerie sécurisée Disponible dans le SP1 de Windows Server 2003 Modèle de fichier ADM Requiert une extension de schéma « Configure credential roaming » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/633d425 8-557a-4bfc-86e1-bb30265f52b4.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/633d425 8-557a-4bfc-86e1-bb30265f52b4.mspx

37 Utilisation des cartes à puces au sein de Microsoft « Microsoft Operation and Technology group chose to deploy Smart Cards because of the cumulative sum of its reliability, performance, cost, features, mobility benefits, and integration with the Microsoft OTG Windows network environment » Smart Card Deployment at Microsoft http://www.microsoft.com/technet/itsolutions/msit/security/smartcrd.mspx Une seule carte est aujourdhui nécessaire pour accéder lensemble des actifs physiques et dinformation Microsoft Le PIN initial doit être changé de façon avant toute connexion au réseau Les PINs doivent être alphanumérique et comprendre entre 5 et 8 caractères Usage imposé (obligatoire) pour tous les accès RAS et VPN

38 Résumé de la session La carte à puce est un élément clé en réponse aux besoins de sécurité interne de lentreprise Le déploiement dune infrastructure PKI avec Windows Server 2003 permet dintégrer simplement et rapidement la carte à puce Les applications existent et en tirent parti Les applications « sur mesure » peuvent en tirer parti et ainsi améliorer leur niveau de sécurité

39 Pour plus dinformations « Best Practices for Implementing a Microsoft Windows Server 2003 Public Key Infrastructure » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologi es/security/ws3pkibp.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologi es/security/ws3pkibp.mspx « Implementing and Administering Certificate Templates in Windows Server 2003 » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/securit y/ws03crtm.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/securit y/ws03crtm.mspx « Certificate Autoenrollment in Windows Server 2003 » http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/securit y/autoenro.mspx http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/securit y/autoenro.mspx « Troubleshooting Windows 2000 PKI Deployment and Smart Card Logon » http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f- 45d307b8cc88/smrtcrdtrbl.doc http://download.microsoft.com/download/2/c/2/2c295add-e36d-49c6-890f- 45d307b8cc88/smrtcrdtrbl.doc « Smart Cards in the Enterprise: Lifecycle Management Systems are a Key Component » http://www.burtongroup.com/research_consulting/doc.asp?docid=8 http://www.burtongroup.com/research_consulting/doc.asp?docid=8

40 Microsoft France 18, avenue du Québec 91 957 Courtaboeuf Cedex www.microsoft.com/france 0 825 827 829 msfrance@microsoft.com