NDES certificate template

[AlphonseBa]

Bonjour,

Je rencontre un problème avec cette vulnérabilité vuln1_adcs_template_auth_enroll_with_name,

Nous avons mis en place un SCEP NDES qui nécessite by design d'avoir un Template autorisant que le compte SCEP NDES puisse fournir le sujet du certificat.

Je ne trouve pas à ce jour de solution pour que mon service continue de fonctionner correctement et de pouvoir re-passer en niveau 3.

Merci beaucoup d'avance
Cordialement

[jbgalet]

Bonjour,

La mitigation générale pour cette vulnérabilité consiste soit:

• à retirer la CA associée du conteneur NTAuthCertificates, rendant ainsi la CA non utilisable pour l'authentification AD
• à retirer les EKU problématiques (Client Authentication, PKINIT Client Authentication, Smart Card Logon, Any Purpose)

Pour une réponse contextualisée sur votre AD, il est préférable de contacter l'adresse de contact ANSSI pour le service ADS.

[DannyPans]

Hi AlphonseBa,

We had the same issue and fixed it by applying "secure" permission on the privileged account through Set-ADSyncRestrictedPermissions
More info in your ANSSI report: vuln_adcs_template_auth_enroll_with_name > Recommended measure > Option 3: the delegation is too large > Risk Acceptance
Once you've applied the secure permissions, the privileged account (NDES server and Technical account) will appear at the bottom of your ANSSI report in the Information section [BETA] Additional Tier 0 accounts - info_t0 and the L1 issue will be removed from your report ;-)

Danny