PKI Microsoft (Windows Server) - Exploitation avancée et sécurisation
AD CS avancé : durcissement, root offline, haute dispo OCSP, NDES, 802.1X/NPS
Formation créée le 19/01/2026.Version du programme : 1
Type de formation
PrésentielDurée de formation
35 heures (5 jours)
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire
Cette formation est gratuite.
S'inscrire
PKI Microsoft (Windows Server) - Exploitation avancée et sécurisation
AD CS avancé : durcissement, root offline, haute dispo OCSP, NDES, 802.1X/NPS
Ce programme avancé sur la PKI Microsoft (Windows Server, AD CS) s’adresse aux équipes infrastructure et sécurité en charge d’une PKI en production. Il approfondit l’architecture et l’exploitation : conception sécurisée (dont root offline), durcissement et contrôles, continuité et haute disponibilité (notamment OCSP), ainsi que l’intégration de services associés selon les besoins (NDES/SCEP, 802.1X/NPS). La formation alterne apports méthodologiques et travaux pratiques, avec pour objectif de fiabiliser la PKI et de structurer l’exploitation via des procédures et runbooks opérationnels.
Objectifs de la formation
- Durcir une PKI AD CS et réduire les risques liés aux templates et aux permissions.
- Concevoir une architecture sécurisée (dont root offline) et formaliser les procédures de crise (PRA/incidents).
- Mettre en œuvre la continuité et la haute disponibilité (priorité OCSP) et valider le bon fonctionnement.
- Intégrer des services associés selon le contexte (NDES/SCEP, 802.1X/NPS).
- Produire un runbook d’exploitation niveau 2 et un plan de remédiation actionnable.
Profil des bénéficiaires
Pour qui
- Ingénieurs infrastructures / IT Services en charge du maintien en condition opérationnelle d’une PKI AD CS.
- Ingénieurs sécurité / référents cyber responsables du durcissement, des contrôles et de la conformité PKI.
- Administrateurs systèmes/réseaux seniors impliqués dans la continuité de service (OCSP/CRL/HA) et les intégrations (NDES, 802.1X/NPS).
Prérequis
- Avoir déjà déployé ou exploité une PKI Microsoft AD CS (ou avoir suivi le niveau socle).
- Maîtriser les fondamentaux Windows Server / Active Directory (DNS, GPO, comptes et droits).
- Notions utiles de haute disponibilité (NLB/cluster) et des usages certificats (TLS).
Contenu de la formation
Architecture securisee et Root offline
- Architecture 2-tier: Root offline, Sub CA, separation des roles et comptes.
- Procedure Root offline: emission CRL, calendrier, stockage et publication.
- Publication CDP/AIA dans des contextes internes/externes.
- Validation et criteres de qualite (tests reproductibles).
- TP Preparation Root offline (labo) et emission des certificats Sub CA.
- Publication CRL Root et validation de chaine.
Durcissement AD CS et revue des templates
- Rappels de menaces et mauvaises configurations templates/permissions.
- Moindre privilege: droits d'enrôlement, droits de modification, delegation.
- Strategie templates 'safe-by-default' et gouvernance des changements.
- Instrumentation: evenements utiles, journaux, collecte et alertes de base.
- TP Audit des ACL templates et correction des permissions.
- Mise en place d'un baseline templates/permissions et export.
Haute disponibilite: OCSP et strategie de continuite
- OCSP HA: ferme, NLB, certificat de signature, cache, points reseau/DNS.
- Supervision et tests (bascule, tests synthétiques).
- CA et HA: cadrage realiste (RTO/RPO), complexite vs benefices.
- Deploiement ferme OCSP (NLB) + tests de bascule.
- Mise en place de tests synthétiques et points de monitoring.
NDES/SCEP et Key Archival
- NDES/SCEP: cas d'usage (equipements, MDM, Wi-Fi, VPN), prerequis.
- Securisation NDES: OTP, comptes de service, cloisonnement, journalisation.
- Key archival/recovery: quand l'activer, impacts et traçabilite.
- Installation NDES et tests d'emission SCEP (scenario labo).
- Activation key archival et exercice de recuperation.
802.1X/NPS (option) et PRA / Runbook niveau 2
- 802.1X/NPS: principes EAP-TLS, certificats requis, politiques, tests et depannage.
- PRA et gestion d'incidents PKI: indispo CRL/OCSP, corruption base, compromission cle.
- Runbook niveau 2: controles, supervision, renouvellements planifies, gouvernance des demandes.
- Scenario labo 802.1X/NPS (si pertinent) ou exercices de validation.
- Exercice table-top 'incident PKI' + execution partielle de la reprise.
Équipe pédagogique
Professionnel expert technique et pédagogique
Suivi de l'exécution et évaluation des résultats
- Feuilles de présence
- Questions orales ou écrites (QCM)
- Mises en situation
- Formulaires d'évaluation de la formation
- Certificat de réalisation de l’action de formation
Qualité et satisfaction
• Taux de satisfaction des apprenants
• Nombre d'apprenants
• Taux et causes des abandons
• Taux de retour des enquêtes
• Taux d'interruption en cours de prestation
• Taux de réussite à l'évaluation des acquis