Retour aux formations
Cybersécurité
PKI Microsoft (Windows Server) - Exploitation avancée et sécurisation
5 jour(s) • 35h
Description
Ce programme avancé sur la PKI Microsoft (Windows Server, AD CS) s’adresse aux équipes infrastructure et sécurité en charge d’une PKI en production. Il approfondit l’architecture et l’exploitation : conception sécurisée (dont root offline), durcissement et contrôles, continuité et haute disponibilité (notamment OCSP), ainsi que l’intégration de services associés selon les besoins (NDES/SCEP, 802.1X/NPS). La formation alterne apports méthodologiques et travaux pratiques, avec pour objectif de fiabiliser la PKI et de structurer l’exploitation via des procédures et runbooks opérationnels.
Objectifs pédagogiques
- Durcir une PKI AD CS et réduire les risques liés aux templates et aux permissions.
- Concevoir une architecture sécurisée (dont root offline) et formaliser les procédures de crise (PRA/incidents).
- Mettre en œuvre la continuité et la haute disponibilité (priorité OCSP) et valider le bon fonctionnement.
- Intégrer des services associés selon le contexte (NDES/SCEP, 802.1X/NPS).
- Produire un runbook d’exploitation niveau 2 et un plan de remédiation actionnable.
Public concerné
Ingénieurs infrastructures / IT Services en charge du maintien en condition opérationnelle d’une PKI AD CS.
Ingénieurs sécurité / référents cyber responsables du durcissement, des contrôles et de la conformité PKI.
Administrateurs systèmes/réseaux seniors impliqués dans la continuité de service (OCSP/CRL/HA) et les intégrations (NDES, 802.1X/NPS).
Prérequis
Avoir déjà déployé ou exploité une PKI Microsoft AD CS (ou avoir suivi le niveau socle).
Maîtriser les fondamentaux Windows Server / Active Directory (DNS, GPO, comptes et droits).
Notions utiles de haute disponibilité (NLB/cluster) et des usages certificats (TLS).
Déroulé du programme
1
Architecture securisee et Root offline
- Architecture 2-tier: Root offline, Sub CA, separation des roles et comptes.
- Procedure Root offline: emission CRL, calendrier, stockage et publication.
- Publication CDP/AIA dans des contextes internes/externes.
- Validation et criteres de qualite (tests reproductibles).
- TP Preparation Root offline (labo) et emission des certificats Sub CA.
- Publication CRL Root et validation de chaine.
2
Durcissement AD CS et revue des templates
- Rappels de menaces et mauvaises configurations templates/permissions.
- Moindre privilege: droits d'enrôlement, droits de modification, delegation.
- Strategie templates 'safe-by-default' et gouvernance des changements.
- Instrumentation: evenements utiles, journaux, collecte et alertes de base.
- TP Audit des ACL templates et correction des permissions.
- Mise en place d'un baseline templates/permissions et export.
3
Haute disponibilite: OCSP et strategie de continuite
- OCSP HA: ferme, NLB, certificat de signature, cache, points reseau/DNS.
- Supervision et tests (bascule, tests synthétiques).
- CA et HA: cadrage realiste (RTO/RPO), complexite vs benefices.
- Deploiement ferme OCSP (NLB) + tests de bascule.
- Mise en place de tests synthétiques et points de monitoring.
4
NDES/SCEP et Key Archival
- NDES/SCEP: cas d'usage (equipements, MDM, Wi-Fi, VPN), prerequis.
- Securisation NDES: OTP, comptes de service, cloisonnement, journalisation.
- Key archival/recovery: quand l'activer, impacts et traçabilite.
- Installation NDES et tests d'emission SCEP (scenario labo).
- Activation key archival et exercice de recuperation.
5
802.1X/NPS (option) et PRA / Runbook niveau 2
- 802.1X/NPS: principes EAP-TLS, certificats requis, politiques, tests et depannage.
- PRA et gestion d'incidents PKI: indispo CRL/OCSP, corruption base, compromission cle.
- Runbook niveau 2: controles, supervision, renouvellements planifies, gouvernance des demandes.
- Scenario labo 802.1X/NPS (si pertinent) ou exercices de validation.
- Exercice table-top 'incident PKI' + execution partielle de la reprise.
Informations
Durée
5 jour(s)
35h
Tarif
Sur demande