Académique Documents
Professionnel Documents
Culture Documents
d'authentification
Introduction
Une des parties les plus importantes et malgré tout négligée de la stratégie de sécurité d'une organisation
consiste à garantir l'identité des entités de sécurité et à leur fournir l'accès aux ressources appropriées. Pour
protéger les ressources de votre organisation des utilisateurs malintentionnés et non autorisés et améliorer
l'intégrité des données de votre organisation, il est important d'évaluer l'infrastructure de votre organisation,
puis de créer et documenter un projet d'autorisation et d'authentification accordant le niveau d'accès
approprié aux différentes entités de sécurité.
Compte tenu de leur importance dans un contrôle efficace des accès, les comptes d'utilisateurs et les groupes
de sécurité forment le composant principal d'une stratégie d'autorisation et d'authentification. De plus, vous
devez également avoir une bonne connaissance des relations d'approbation, des niveaux fonctionnels du
domaine et de la forêt, et des principes de sécurité de base pour concevoir une stratégie d'autorisation et
d'authentification des ressources.
Objectifs
1
1 Groupes et stratégie de groupe de base dans Windows serveur
Un groupe est un ensemble de comptes d'utilisateurs. Vous pouvez utiliser des groupes pour administrer
efficacement les accès aux ressources d'un domaine, ce qui contribue à simplifier l'administration et la
maintenance du réseau. Vous pouvez utiliser les groupes séparément ou placer un groupe dans un autre
groupe pour réduire davantage le nombre de tâches d'administration impliquées dans la gestion des groupes.
Pour pouvoir utiliser efficacement les groupes, vous devez connaître les types de groupes disponibles dans
un environnement Windows serveur ainsi que leur fonction.
Groupes de distribution
Vous pouvez utiliser des groupes de distribution uniquement avec des applications de messagerie, telles que
Microsoft Exchange Server, pour envoyer des messages à un ensemble d'utilisateurs. La sécurité n'est pas
activée sur les groupes de distribution, ce qui signifie qu'ils ne peuvent pas être répertoriés dans des listes de
contrôle d'accès discrétionnaire (DACL, Discretionary Access Control List), utilisées pour définir les
autorisations d'accès aux ressources et aux objets.
Remarque Si vous n'avez pas besoin d'un groupe pour des raisons de sécurité, créez un groupe de
distribution, car ce type de groupe ne fait jamais partie du jeton de la sécurité de l'utilisateur ce qui, par
conséquent, accélère le processus d'ouverture de session.
Groupes de sécurité
Vous utilisez des groupes de sécurité pour affecter des droits et des autorisations aux groupes d'utilisateurs et
d'ordinateurs. Les droits déterminent ce que les membres d'un groupe de sécurité peuvent effectuer dans un
domaine ou une forêt. Les autorisations déterminent quelles ressources sont accessibles aux membres d'un
groupe sur le réseau. Un groupe de sécurité peut également être utilisé comme entité de messagerie
électronique. L'envoi d'un message électronique au groupe envoie le message à tous les membres du groupe.
Une méthode d'utilisation efficace des groupes de sécurité consiste à utiliser l'imbrication, c'est-à-dire, l'ajout
d'un groupe en tant que membre d'un autre groupe. Par exemple, au lieu de conserver deux groupes distincts
nommés AccountsPayable et AccountsReceivable pour les utilisateurs du groupe comptabilité, vous pouvez
les imbriquer dans un autre groupe appelé AllAccounting.
Le groupe imbriqué hérite des autorisations du groupe dont il est membre, ce qui simplifie le processus
d'attribution des autorisations à plusieurs groupes à la fois. L'imbrication réduit également le trafic réseau
provoqué par la réplication des changements de membres d'un groupe. Dans un domaine en mode mixte,
vous ne pouvez pas imbriquer des groupes possédant la même étendue de groupe.
Étendues de groupes
Chaque groupe de Windows Server a un attribut d'étendue qui détermine quelles entités de sécurité peuvent
être membres du groupe et où vous pouvez utiliser ce groupe dans un environnement à plusieurs domaines
ou plusieurs forêts.
Types d'étendues de groupes
• Groupes locaux. Ils résident sur les serveurs membres et les ordinateurs clients. Utilisez un groupe
local pour accorder l'accès aux ressources locales de l'ordinateur où ils résident. Les groupes locaux
sont généralement utilisés dans un environnement sans domaine.
• Groupes globaux. Les groupes globaux résident dans Active Directory au niveau du domaine.
Utilisez un groupe global pour organiser des utilisateurs qui partagent les mêmes tâches
professionnelles et dont les conditions d'accès au réseau sont similaires, tels que, par exemple, tous
les comptables du service comptabilité d'une organisation. Les groupes globaux peuvent être
membres d'autres groupes globaux, universels et locaux de domaine.
Remarque Vous ne pouvez imbriquer des groupes globaux que lorsque le niveau fonctionnel du domaine est
défini sur Microsoft Windows 2000 natif ou ultérieur.
• Groupes locaux de domaine. Les groupes locaux de domaine résident dans Active Directory au
2
niveau du domaine. Utilisez un groupe local de domaine lorsque vous souhaitez affecter des
autorisations d'accès à des ressources qui se situent dans le même domaine que celui dans lequel
vous créez le groupe local de domaine. Vous pouvez ajouter tous les groupes globaux qui doivent
partager les mêmes ressources au groupe local de domaine approprié.
• Groupes universels. Les groupes universels résident dans Active Directory au niveau de la forêt.
Utilisez les groupes universels lorsque vous souhaitez imbriquer des groupes globaux afin d'attribuer
des autorisations à des ressources apparentées dans plusieurs domaines. Les groupes universels
peuvent être membres d'autres groupes universels, globaux et locaux de domaine. Le niveau
fonctionnel du domaine Windows serveur doit être en mode Windows 2000 natif ou ultérieur pour
utiliser des groupes de sécurité universels. Vous pouvez utiliser des groupes de distribution
universels dans un domaine Windows serveur en mode Windows 2000 mixte et ultérieur.
Remarque Le niveau fonctionnel de domaine détermine le type de groupe que vous pouvez créer. Par
exemple, tous les types de groupes ne sont pas disponibles tant que le niveau fonctionnel de domaine n'a pas
été augmenté. Vous en saurez plus sur les niveaux fonctionnels de domaine dans les rubriques suivantes.
Groupes prédéfinis
3
Opérateurs d'impression
Droits d'utilisateurs par défaut : Accéder à cet ordinateur à partir du réseau, Outrepasser le contrôle de
parcours. Les membres de ce groupe peuvent gérer, créer, partager et supprimer des imprimantes connectées
aux contrôleurs de domaine du domaine. Ils peuvent également gérer les objets imprimantes Active
Directory du domaine.
Duplicateurs
Ce groupe prend en charge les fonctions de réplication d'annuaire et est utilisé par le service de réplication de
fichiers sur les contrôleurs de domaine du domaine. Ce groupe ne comprend pas de membres par défaut.
N'ajoutez pas d'utilisateurs à ce groupe. Ce groupe appartenant au système d'exploitation, l'ajout d'utilisateurs
peut provoquer des problèmes avec le service de réplication de fichiers.
Opérateurs de serveur
Sur des contrôleurs de domaine, les membres de ce groupe peuvent ouvrir une session interactivement, créer
et supprimer des ressources partagées, démarrer et arrêter certains services, sauvegarder et restaurer des
fichiers, formater le disque dur et arrêter l'ordinateur. Ce groupe ne comprend pas de membres par défaut.
Utilisateurs
Les membres de ce groupe peuvent effectuer la plupart des tâches courantes, telles que l'exécution
d'applications, l'utilisation d'imprimantes locales et réseau et le verrouillage du serveur. Par défaut, les
groupes Utilisateurs du domaine, Utilisateurs authentifiés et Interactif sont membres de ce groupe. Tous les
comptes d'utilisateurs du domaine sont membres de ce groupe.
Groupes spéciaux
Les utilisateurs deviennent membres des groupes spéciaux en interagissant simplement avec le système
d'exploitation. Par exemple, quand les utilisateurs se connectent localement à un ordinateur, ils deviennent
membres du groupe Interactif. Ces groupes étant créés par défaut, vous pouvez leur accorder des droits et des
autorisations d'utilisateurs, mais vous ne pouvez ni modifier ni visualiser leurs appartenances. En outre, les
étendues de groupe ne s'appliquent pas aux groupes spéciaux.
Il est important de comprendre le but des groupes spéciaux, car vous pouvez les utiliser pour gérer la sécurité
puisqu'ils vous permettent de créer des stratégies d'accès plus précises et de contrôler l'accès aux ressources.
Le groupe Ouverture de session anonyme représente les utilisateurs et services qui accèdent à un session
ordinateur et à ses ressources via le réseau sans utiliser un nom de compte, un mot de passe ou un anonyme
nom de domaine.
Utilisateurs authentifiés :
Le groupe Utilisateurs authentifiés représente tous les utilisateurs et ordinateurs dont les identités ont été
authentifiées. Pour éviter que des invités n'accèdent aux ressources, utilisez toujours le groupe Utilisateurs
authentifiés pour accorder des autorisations sur des ressources plutôt que le groupe Tout le monde.
Tâche : Le groupe Tâche inclut tous les utilisateurs et services qui accèdent à un ordinateur et à ses
ressources via le réseau à l'aide d'une file d'attente de tâches, par exemple les travaux du Planificateur de
tâches.
Créateur : Le groupe Créateur inclut le compte d'utilisateur de la personne qui a créé la ressource.
Créateur propriétaire: Le groupe Créateur propriétaire inclut le compte d'utilisateur de la personne qui a créé
ou pris possession d'une ressource. Si un membre du groupe Administrateurs crée une ressource, ce groupe
devient propriétaire de la ressource.
Ligne : Le groupe Ligne inclut tous les utilisateurs ayant ouvert une session sur le système via une connexion
d'accès à distance.
Tout le monde : Le groupe Tout le monde représente tous les utilisateurs actuels du réseau, y compris les
invités et les utilisateurs des autres domaines. Dès qu'un utilisateur ouvre une session sur le réseau,
4
l'utilisateur est automatiquement ajouté au groupe Tout le monde.
Interactif : Le groupe Interactif représente tous les utilisateurs qui ont ouvert une session sur un ordinateur
donné et qui accèdent à une ressource de l'ordinateur, et non les utilisateurs qui accèdent à la ressource via le
réseau. Lorsqu'un utilisateur accède à une ressource de l'ordinateur sur lequel il ouvre la session, l'utilisateur
est automatiquement ajouté au groupe Interactif.
Système local : Le groupe Système local est un compte de service utilisé par le système d'exploitation.
Réseau : Le groupe Réseau représente les utilisateurs qui accèdent à une ressource du réseau et non les
utilisateurs qui accèdent à une ressource en ouvrant une session locale sur l'ordinateur contenant la ressource.
Lorsqu'un utilisateur accède à une ressource du réseau, l'utilisateur est automatiquement ajouté au groupe
Réseau.
Self : Le groupe Self est un groupe d'espace réservé dans une entrée de contrôle d'accès (ACE) sur un objet
utilisateur, groupe ou ordinateur dans Active Directory. Lorsque vous accordez des autorisations à Principal
Self, vous les accordez à l'entité de sécurité représentée par l'objet. Lors d'un contrôle d'accès, le système
d'exploitation remplace l'identificateur de sécurité de Principal Self par celui de l'entité de sécurité
représentée par l'objet.
Service : Le groupe Service est un groupe qui inclut toutes les entités de sécurité qui ont ouvert une
session en tant que service. L'appartenance à ce groupe est contrôlée par le système d'exploitation.
Utilisateurs Terminal : Le groupe Utilisateurs Terminal Server inclut tous les utilisateurs qui ont ouvert une
session sur un serveur de services Terminal Server en mode de compatibilité d'application de services
Terminal
5
Lorsqu'une stratégie Groupes restreints est appliquée, tout membre d'un groupe restreint ne figurant pas sur
la liste Membres est supprimé. Les membres qui peuvent être supprimés incluent également les
administrateurs. Tous les utilisateurs qui ne sont pas encore membres du groupe restreint mais qui figurent
sur la liste Membres sont ajoutés au groupe. En outre, chaque groupe restreint est membre uniquement des
groupes spécifiés dans la colonne Membre de.
L'illustration suivante explique le concept des propriétés Membres et Membre de d'un groupe.
Tom, Jo et Kim sont Membres du groupe global Denver Admins. Le groupe global Denver Admins est
Membre du groupe de domaine local Denver OU Admins.
Sam, Scott et Amy sont Membres du groupe global Vancouver Admins. Le groupe global Vancouver
Admins est Membre du groupe de domaine local Denver OU Admins.
Procédure Pour créer une stratégie Groupes restreints, procédez comme suit :
1 Ouvrez Gestion de stratégie de groupe, accédez à l'unité d'organisation à laquelle vous souhaitez
appliquer l'objet de stratégie de groupe, cliquez avec le bouton droit sur l'unité d'organisation, puis cliquez
sur Créer et lier un objet de stratégie de groupe ici.
2 Dans la zone Nouvel objet GPO, tapez le nom du nouvel objet de stratégie de groupe, puis cliquez
sur OK.
3 Cliquez avec le bouton droit sur le nouvel objet de stratégie de groupe, puis cliquez sur Modifier.
Dans l'arborescence de la console, accédez à Configuration de l'ordinateur\Paramètres Windows
\Paramètres de sécurité\Groupes restreints.
4 Dans l'arborescence de la console, cliquez avec le bouton droit sur Groupes restreints, puis cliquez
sur Ajouter un groupe.
5 Dans Groupe, tapez le nom du groupe dont vous souhaitez restreindre l'appartenance, puis cliquez
sur OK.
6 Dans la page Propriétés, cliquez sur Ajouter sous le champ Ce groupe est membre de.
7 Sous Appartenance au groupe, tapez le nom du groupe que vous souhaitez ajouter à ce groupe,
puis cliquez sur OK.
6
2 Création d'approbations dans Windows serveur Approbations dans Windows serveur
Une approbation est une relation établie entre des domaines ou des forêts qui permet aux entités de sécurité
d'un domaine d'être authentifiées par les contrôleurs de domaine d'un autre domaine. Les approbations
permettent aux entités de sécurité de transmettre leurs informations d'identification d'un domaine à un autre,
mais n'autorisent pas l'accès aux ressources entre des domaines. L'accès est contrôlé à l'aide de descripteurs
de sécurité sur les ressources auxquelles les utilisateurs doivent accéder.
Types d'approbations
Parent/enfant Existe entre tous les domaines de la forêt. Cette approbation transitive bidirectionnelle
permet aux entités de sécurité d'être authentifiées dans n'importe quel domaine de la forêt. Ces approbations
sont créées par défaut et ne peuvent pas être supprimées.
Arborescence/ racine Existe entre toutes les arborescences de domaines de la forêt. Cette approbation
transitive bidirectionnelle permet aux entités de sécurité d'être authentifiées dans n'importe quel domaine de
la forêt. Ces approbations sont créées par défaut et ne peuvent pas être supprimées.
Externe Existe entre des domaines n'appartenant pas à la forêt. Ces approbations peuvent être uni- ou
bidirectionnelles et sont non transitives.
Domaine Kerberos Existe entre un domaine dont le système d'exploitation n'est pas un système Windows
(connu sous le nom de Domaine Kerberos) et un domaine Windows serveur. Ces approbations peuvent être
uni- ou bidirectionnelles et transitives ou non transitives.
Forêt Existe entre des forêts dont le mode de fonctionnement est celui d'une forêt Windows serveur. Ces
approbations peuvent être uni- ou bidirectionnelles et transitives ou non transitives.
Raccourci Existe dans une forêt Windows serveur créée pour réduire les temps d'ouverture de session
entre les domaines d'une forêt. Cette approbation uni- ou bidirectionnelle est particulièrement utile lors du
parcours d'approbations de racine d'arborescence, car le chemin d'accès de l'approbation à un domaine de
destination est potentiellement réduit.
7
Types d'approbations associés aux systèmes d'exploitation de serveur
Authentification entre des forêts Windows serveur
Lorsque vous établissez une approbation entre deux forêts Windows serveur, déterminez si tous les domaines
devront authentifier les utilisateurs de tous les autres domaines. Par exemple, si vous disposez de deux forêts
contenant chacune 10 domaines et que seuls les utilisateurs de deux domaines doivent s'authentifier les uns
auprès des autres, une approbation de forêt ne conviendrait pas. En outre, il arrive qu'une approbation de
forêt offre des fonctionnalités que d'autres types d'approbations ne prennent pas en charge, telles que
l'authentification Kerberos, l'ouverture de session UPN et la Stratégie de groupe. Si l'authentification au
niveau de toute la forêt ou les fonctionnalités supplémentaires indiquées précédemment sont nécessaires,
utilisez une approbation de forêt. Lorsque seuls certains domaines doivent s'authentifier auprès d'autres
domaines, établissez des approbations externes uni- ou bidirectionnelles entre les domaines qui requièrent
une authentification.
Vous pouvez utiliser le filtrage SID pour empêcher l'usurpation des identificateurs de sécurité. Le filtrage
SID permet aux administrateurs d'ignorer les informations d'identification qu'utilisent les identificateurs de
sécurité susceptibles d'être usurpés.
Lorsque des entités de sécurité sont créées dans un domaine, l'identificateur de sécurité du domaine est inclus
dans celui de l'entité de sécurité afin d'identifier le domaine dans lequel il a été créé. L'identificateur de
sécurité du domaine est une caractéristique importante d'une entité de sécurité car le sous-système de sécurité
de Windows l'utilise pour vérifier l'authenticité de l'entité de sécurité.
De manière semblable, les approbations externes sortantes créées à partir du domaine approbateur utilisent le
filtrage SID pour vérifier que les demandes d'authentification entrantes effectuées par des entités de sécurité
du domaine approuvé contiennent uniquement des identificateurs de sécurité d'entités de sécurité du domaine
approuvé. Cette opération nécessite la comparaison des identificateurs de sécurité de l'entité de sécurité
entrante avec l'identificateur de sécurité de domaine du domaine approuvé. Si l'un des identificateurs de
sécurité de l'entité de sécurité inclut un identificateur de sécurité de domaine autre que celui du domaine
8
approuvé, l'approbation supprime cet identificateur de sécurité.
Vous pouvez utiliser Netdom.exe pour activer ou désactiver le filtrage SID sur n'importe quelle relation
d'approbation entre des domaines ou des forêts.
Conseil Si vous disposez de domaines exécutant Windows 2000 Service Pack 3 ou antérieur, vous pouvez
utiliser Netdom.exe pour activer le filtrage SID sur les approbations externes.
Désactivation du filtrage SID Bien que cela ne soit généralement pas recommandé, vous pouvez, dans
certains cas, devoir désactiver le filtrage SID à l'aide de l'outil Netdom.exe. Le filtrage SID ne doit être
désactivé que dans les situations suivantes :
¢ Tous les administrateurs qui bénéficient d'un accès physique aux contrôleurs de domaine du domaine
approuvé disposent du même niveau de confiance que les administrateurs du domaine approbateur.
¢ Votre stratégie de sécurité écrite exige l'affectation de groupes universels aux ressources du domaine
approbateur qui n'ont pas été créées dans le domaine approuvé.
¢ Des utilisateurs ont été migrés vers le domaine approuvé avec leurs historiques SID conservés et
vous souhaitez leur accorder l'accès à des ressources du domaine approbateur en fonction de l'attribut
SIDHistory. Par exemple, une migration de comptes d'utilisateurs est effectuée du domaine A vers le
domaine B. La migration de certaines ressources du domaine A vers le domaine B n'a pas encore été
effectuée. Pour permettre aux utilisateurs ayant migré dans le domaine B d'accéder aux ressources du
domaine A, vous désactivez le filtrage SID afin qu'ils puissent encore utiliser l'ancien identificateur de
sécurité pour accéder aux ressources du domaine A.
Avant de créer une approbation de forêt, vous devez vérifier les éléments suivants :
¢ La résolution de nom DNS fonctionne entre les deux forêts. Pour ce faire, vous pouvez utiliser des
zones de stub, le transfert conditionnel, des zones secondaires ou un serveur d'indications de racine partagé
entre les deux forêts avec la délégation appropriée.
¢ Le niveau fonctionnel de forêt entre les deux forêts est Windows serveur.
1 Lorsque l'Assistant vous invite à entrer un mot de passe d'approbation, sélectionnez un mot de passe
complexe, puis cliquez sur Suivant.
2 Acceptez les paramètres par défaut sur les autres pages de l'Assistant.
3 Lorsque vous avez terminé, cliquez sur Terminer.
9
reconnaissance vocale ou une empreinte digitale.
L'autorisation est le processus qui détermine si un utilisateur ou un processus identifié est autorisé à accéder
à une ressource et le niveau d'accès approprié de cet utilisateur. Le propriétaire d'une ressource, ou toute
personne dotée de l'autorisation nécessaire, détermine si un utilisateur est membre d'un groupe prédéterminé
ou dispose un certain niveau d'autorisation. En définissant les autorisations sur une ressource, le propriétaire
contrôle quels sont les utilisateurs et les groupes du réseau qui peuvent accéder à la ressource. Par exemple,
les utilisateurs qui ont ouvert une session sur le domaine sont authentifiés auprès du domaine. Toutefois,
lorsque des utilisateurs tentent d'accéder aux ressources pour lesquelles ils ne disposent pas d'autorisation,
l'accès leur est refusé.
Le principe de privilège minimum stipule que vous devez fournir aux utilisateurs le niveau de privilèges
juste nécessaire à l'exécution de leurs tâches, rien de plus. En limitant l'accès qui n'est pas nécessaire à
l'exécution des tâches, vous pouvez empêcher des utilisateurs malintentionnés d'utiliser des privilèges
superflus pour contourner la sécurité de réseau. Par exemple, les directeurs régionaux peuvent avoir besoin
d'autorisations pour modifier leurs propres bases de données de ressources humaines, mais n'avoir besoin que
d'un accès en lecture aux bases de données d'autres régions. Le directeur des ressources humaines d'une
entreprise peut avoir besoin d'autorisations pour modifier toutes les bases de données, mais un responsable
des salaires peut n'avoir besoin que d'un accès en lecture à ces mêmes bases de données.
Méthode Utilisateur/ACL
Lorsque vous utilisez la méthode de contrôle d'accès aux ressources Utilisateur/ACL, vous ajoutez le compte
d'utilisateur qui a besoin d'un accès directement dans la liste de contrôle d'accès (ACL) de la ressource. Par
exemple, John, un utilisateur, crée un partage de fichiers et ajoute Sarah comme utilisateur autorisé, lui
donnant une autorisation d'accès en lecture seule au partage.
La méthode Utilisateur/ACL fonctionne bien pour les petites organisations. En général, les petites
organisations requièrent moins de groupes pour gérer l'accès aux ressources, ce qui réduit la complexité du
processus d'attribution des autorisations.
L'utilisation de la méthode Utilisateur/ACL dans les grandes organisations présente les limites suivantes :
¢ Les utilisateurs qui occupent la même fonction risquent de ne pas avoir un accès homogène aux
ressources. En règle générale, les utilisateurs qui partagent la même fonction ont besoin d'un accès uniforme
aux ressources. Par exemple, un ingénieur peut avoir accès à une imprimante laser, un traceur, une unité de
sauvegarde et un grand nombre de partages de fichiers. Un autre ingénieur du même groupe peut avoir
besoin d'accéder aux mêmes ressources, mais n'avoir accès qu'à un sous-ensemble de ces ressources. Par
conséquent, si les accès ne sont pas uniformes, l'administrateur réseau devra modifier les droits de chaque
individu en fonction de leurs besoins.
¢ La charge de travail de cet administrateur sera donc plus importante, car il devra contrôler les accès
aux ressources pour chaque utilisateur.
¢ Cette méthode n'est pas adaptée aux grandes organisations.
¢ Le suivi et le dépannage des accès de chaque utilisateur aux différentes ressources peuvent prendre
beaucoup de temps et augmenter la charge de travail d'administration.
10
domaine Windows serveur, les informations d'identification de l'entité sont utilisées pour accéder aux
ressources du domaine, éliminant ainsi la nécessité, pour les entités, de s'authentifier auprès de chaque
ressource à laquelle elles tentent d'accéder. Lorsque cette technologie est utilisée avec le gestionnaire
d'informations d'identification Windows XP, les utilisateurs peuvent accéder aux ressources d'autres
domaines en fournissant le mot de passe une fois, puis en le stockant comme élément du compte d'utilisateur
du domaine.
¢ Comptes d'ordinateurs et de services. Outre les utilisateurs, les comptes d'ordinateurs et de services
s'authentifient auprès du domaine.
¢ Prise en charge de plusieurs facteurs. Windows serveur prend en charge en mode natif les cartes à
puce et une variété d'autres mécanismes d'authentification à plusieurs facteurs.
¢ Audit. Windows serveur offre la possibilité d'auditer les tentatives d'ouverture de session et les accès
aux ressources.
¢ Protocoles. Windows serveur utilise une variété de protocoles d'authentification, tels que LM,
NTLM, NTLMv2 et Kerberos.
Kerberos : Protocole d'authentification par défaut pour Windows 2000, Windows XP Professionnel et
Windows serveur, le protocole Kerberos a été conçu pour être plus sécurisé et évolutif que NTLM sur les
grands réseaux hétérogènes. Par rapport à NTLM, Kerberos offre les avantages supplémentaires suivants :
¢ Efficacité. Lorsqu'un serveur doit authentifier un client, il peut valider les informations
d'identification du client sans avoir à contacter un contrôleur de domaine.
¢ Authentification mutuelle. Les identités du client et du serveur sont validées vers le client et le
serveur.
¢ Authentification déléguée. Permet aux services d'emprunter l'identité des clients lors de l'accès aux
ressources pour leur compte.
¢ Gestion simplifiée des approbations. Kerberos peut utiliser des approbations transitives entre les
domaines d'une même forêt et les domaines reliés par une approbation de forêt.
¢ Interopérabilité. Kerberos est basé sur les normes IETF (Internet Engineering Task Force) et il est
donc compatible avec d'autres domaines Kerberos IETF.
L'authentification Kerberos est basée sur des paquets de données mis en forme de manière spéciale, appelés
tickets. Dans Kerberos, ces tickets sont transmis sur le réseau à la place des mots de passe. Ce processus rend
le réseau plus sûr.
Remarque Le fournisseur de prise en charge de sécurité (SSP, Security Support Provider) négociée
Microsoft détermine le protocole d'authentification qui peut être utilisé entre le client et le serveur.
Authentification LanManager
11
Fonctionnement de l'authentification NTLM
1 Le client envoie le nom d'utilisateur et le nom de domaine au contrôleur de domaine.
2 Le contrôleur de domaine génère une chaîne de caractères aléatoire de 16 octets, appelée valeur
unique (nonce).
3 Le client crypte la valeur unique avec un hachage du mot de passe de l'utilisateur et le renvoie au
contrôleur de domaine.
4 Le contrôleur de domaine récupère le hachage du mot de passe de l'utilisateur à partir de la base de
données du compte de sécurité.
5 Le contrôleur de domaine utilise la valeur de hachage récupérée à partir de la base de données du
compte de sécurité pour crypter la valeur unique. La valeur est comparée à celle reçue du client. Si les
valeurs sont concordantes, le client est authentifié.
Gestion des stratégies de sécurité locales.
Authentification des utilisateurs.
Création de jetons d'accès.
Contrôle des stratégies d'audit.
Kerbtray.exe : Cet outil d'interface graphique affiche les informations des tickets Kerberos. Il permet
également d'afficher et de purger le cache des tickets.
Klist.exe : Cet outil de ligne de commande vous permet d'afficher et de supprimer des tickets Kerberos
accordés à la session d'ouverture de session active.
12
CmdKey.exe : Crée, liste et supprime des noms d'utilisateurs et des mots de passe ou des informations
d'identification stockés.
Ce droit d'ouverture de session détermine les utilisateurs qui peuvent ouvrir une session sur cet ordinateur de
manière interactive. Les ouvertures de session initialisées en appuyant sur les touches CTRL+ALT+DEL du
clavier nécessitent que l'utilisateur dispose de ce droit d'ouverture de session.
Interdire l'ouverture d'une session locale Interdire l'ouverture de session en tant que tâche
Ce paramètre de sécurité détermine quels utilisateurs n'ont pas le droit d'ouvrir une session sur l'ordinateur.
Ce paramètre de sécurité détermine les comptes qui n'ont pas le droit d'ouvrir une session en tant que tâche.
Interdire l'accès à cet ordinateur à partir du réseau Retirer l'ordinateur de la station d'accueil
Ce paramètre de sécurité détermine les utilisateurs ne pouvant pas accéder à un ordinateur via le réseau. Ce
paramètre de sécurité détermine si un utilisateur peut retirer un ordinateur portable de sa station d'accueil
sans ouvrir de session.
Les autorisations spécifiques des utilisateurs appartenant au groupe Tout le monde s'appliquent aux
utilisateurs anonymes
Ce paramètre de sécurité détermine quelles autorisations supplémentaires sont accordées pour les connexions
anonymes à l'ordinateur.
Chemins et sous-chemins de Registre accessibles à distance
Ce paramètre de sécurité détermine quels les chemins et sous-chemins de Registre sont accessibles via le
réseau, quels que soient les utilisateurs ou les groupes répertoriés dans la liste de contrôle d'accès de la clé de
Registre winreg.
Ce paramètre de sécurité détermine les partages réseaux accessibles par des utilisateurs anonymes.
¢ Utilisez la fonctionnalité de complexité des mots de passe. Pour aider à implémenter une stratégie de
mot de passe fort, Windows serveur offre une fonctionnalité de complexité des mots de passe. Cette
fonctionnalité exige des mots de passe qui :
• ne contiennent pas le nom du compte de l'utilisateur (même partiellement) ;
• comprennent au moins six caractères ;
13
• contiennent des caractères appartenant à trois des quatre catégories suivantes :
• Majuscules (de A à Z)
• Minuscules (de a à z)
• Chiffres en base 10 (0 à 9)
• Caractères non alphabétiques (par exemple, !, $, #, %)
Remarque La fonctionnalité de complexité des mots de passe est appliquée par défaut dans l'environnement
Windows serveur.
¢ Utilisez la stratégie de groupe. Le tableau suivant décrit les paramètres de stratégie de groupe que
vous pouvez utiliser pour implémenter une stratégie de mot de passe fort.
Durée de vie maximale du mot de passe Ce paramètre détermine combien de temps les mots de passe peuvent être utilisés
avant que les utilisateurs soient tenus de les modifier. La valeur par défaut de 42
jours est généralement appropriée, mais elle doit être inférieure pour les réseaux
exigeant une sécurité plus importante. Dans ces réseaux, il peut être utile de voir
combien de temps met un programme commercial de piratage des mots de passe
pour compromettre les mots de passe de votre organisation et définir une valeur
inférieure pour le paramètre Durée de vie maximale du mot de passe.
Conserver l'historique des mots de Ce paramètre se souvient des mots de passe précédemment employés par les
passe utilisateurs et empêche que ces mots de passe soient de nouveau utilisés. Par défaut,
le nombre de mots de passe mémorisés est un. Ce paramètre par défaut empêche
généralement les utilisateurs de choisir le même mot de passe dans le futur. Le
nombre maximal de mots de passe qui peuvent être mémorisés est 24.
Durée de vie minimale du mot de passe Ce paramètre détermine combien de temps un utilisateur doit conserver un mot de
passe avant de le changer. Le paramètre par défaut d'un jour empêche un utilisateur
de remplacer immédiatement un mot de passe par celui qu'il utilisait précédemment.
Longueur minimale du mot de passe Ce paramètre détermine la longueur minimale d'un mot de passe. Le paramètre
minimum recommandé est 7 caractères.
Les différents systèmes d'exploitation ont la possibilité d'utiliser des protocoles d'authentification différents.
En règle générale, plus le système d'exploitation est ancien, moins le protocole d'authentification qu'il peut
utiliser est sécurisé. Par défaut, les ordinateurs qui exécutent Windows serveur peuvent accepter tous les
types de protocoles d'authentification, y compris LM, NTLMv2 et Kerberos, pour garantir la compatibilité
avec les systèmes d'exploitation antérieurs. Pour faire en sorte que les ordinateurs de votre organisation
n'acceptent que les protocoles d'authentification les plus sécurisés, vous pouvez configurer la stratégie de
groupe pour qu'elle prenne en charge les protocoles plus sécurisés, tels que NTLMv2 et Kerberos.
14
Procédure Pour configurer une authentification sécurisée, exécutez les opérations suivantes :
1. Dans le volet de navigation de la console Gestion des stratégies de groupe, développez Contrôleurs de
domaine.
2. Cliquez avec le bouton droit sur Stratégie Contrôleurs de domaine par défaut, puis sélectionnez
Modifier.
10. Cliquez avec le bouton droit sur Résultats de stratégie de groupe et sélectionnez Assistant
Résultats de stratégie de groupe.
15