Sécurité sous Windows 2000 Server

Transcription

1 Sécurité sous Windows 2000 Server Thomas Shinder Éditions Eyrolles ISBN :

2 4 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 Dans ce chapitre Introduction Les services de sécurité distribués de Windows 2000 Active Directory et la sécurité Les différents protocoles de sécurité utilisés sous Windows 2000 Ouverture de session unique pour l entreprise et Internet Sécurité Internet Accès inter-entreprises : partenaires distribués Introduction Dans le monde PC, la question de la sécurité n est sérieusement considérée que depuis peu. Dans les premiers temps de l informatique personnelle, la plupart des systèmes étaient des unités autonomes, que leurs utilisateurs protégeaient simplement en fermant à clé la porte de leurs bureaux. Dans les gros systèmes (mainframe) en revanche, des technologies évoluées de sécurisation sont mises en œuvre depuis longtemps, pour protéger les données sensibles des entreprises. C est seulement avec le développement de la mise en réseau des PC, tout d abord au sein des entreprises et dans des réseaux interconnectés, puis avec l Internet, que les entreprises se sont réellement souciées de protéger les données de leurs disques durs contre des regards indiscrets.

3 2 Windows 2000 Server Avec le système d exploitation Windows NT Server de Microsoft, les entreprises se sont vu faciliter la mise en réseau de leurs PC, et ont pu bénéficier de tous les avantages des réseaux. Les réseaux de PC ne cessent cependant de se développer et de croître, et leur vulnérabilité constitue un problème de plus en plus grave. La sécurité sous Windows NT Face à cette évolution, Microsoft a réagi en prêtant une attention toute particulière aux questions de sécurité de son système d exploitation Windows NT, au fur et à mesure de la maturation de ce produit (nombre des packs de service étaient en fait destinés à résoudre des problèmes de sécurité, ou à introduire des améliorations en la matière). Malgré cet effort, la sécurité a toujours été considérée comme le point faible de Windows NT, par comparaison avec les autres systèmes d exploitation réseau proposés sur le marché. En particulier, si le protocole de sécurité NTLM utilisé dans Windows NT fournit un niveau de sécurité acceptable dans de nombreux cas, il présente de sérieux inconvénients : Le protocole NTLM est la propriété de Microsoft : il est réservé aux systèmes réseau Microsoft, et ne constitue pas un standard d industrie. NTLM ne permet pas l authentification mutuelle : le serveur authentifie le client, mais l inverse n est pas possible. Ce protocole part donc du principe que le serveur est bien celui qu il prétend être. C est là une brèche de sécurité très importante, dans laquelle se sont engouffrés pirates et craqueurs. Ceux-ci ont mis au point des programmes capables de se faire passer pour des serveurs, et leur permettant d infiltrer illégalement les réseaux. La sécurité distribuée de Windows 2000 : tout un nouveau monde! Les protocoles de sécurité de Windows 2000 (notez ici l emploi du pluriel : la prise en charge de plusieurs protocoles de sécurité est un des points forts de Windows 2000) sont une des nouveautés de cette version de Windows NT. Ils forment une part des services de sécurité distribués. L expression services distribués se rencontre souvent dans les discussions portant sur les systèmes d exploitation, et devrait devenir plus fréquente encore avec la sortie de produits de la gamme Windows 2000 Server. La plupart des administrateurs n ont qu une vague idée de la signification de ce concept, et plus vague encore dans le domaine particulier de la sécurité. Normes ouvertes Windows 2000 marque un changement notable d orientation de la stratégie de Microsoft. Avec Windows 2000 en effet, Microsoft opte résolument pour l adoption de normes industrielles, alors que jusqu à présent, la gamme Windows NT avait été développée de préférence avec des normes propriétaires. C est au niveau des services distribués que ce changement de politique de développement est le plus flagrant. Le service d annuaire Active Directory est ainsi basé sur le protocole LDAP (Lightweight Directory Access Protocol), ce qui le rend compatible avec les autres services d annuaire adhérant à ce protocole, tels que NDS de Novell. NOTE Les normes LDAP sont élaborées par des groupes de travail de l IETF (Internet Engineering Task Force).

4 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 3 Active Directory est en outre partiellement compatible avec les normes ISO (International Standards Organization) X.500, relatives aux services d annuaires distribués. En s engageant ainsi à adhérer aux normes courantes, Microsoft marque sa ferme volonté de faire de Windows un véritable système d exploitation réseau pour l entreprise. À l heure où les entreprises prennent conscience de la nécessité de sécuriser leurs réseaux, un système d exploitation réseau digne de ce nom se doit de fournir le moyen de protéger l intégrité et la confidentialité des données transitant sur le réseau. Rien d étonnant donc à ce que Microsoft ait apporté de tels changements au sous-système de sécurité de son système d exploitation réseau. Microsoft ne s est pas arrêté à l adoption de normes ouvertes de services d annuaires : Windows 2000 prend également en charge le protocole de sécurité Kerberos, ainsi que le protocole ISO X.509 de sécurité par clé publique. Kerberos est un protocole très respecté, et dont l usage est très répandu ; il a été développé au MIT (Massachusetts Institute of Technology). Windows 2000 prend cependant encore en charge le protocole de sécurité NTLM, par souci de compatibilité ascendante : NTLM était en effet «le» protocole de sécurité des précédentes versions de Windows NT. La Figure 4.1 donne une vue d ensemble du dispositif de sécurité de Windows Ce chapitre décrit en détail les services de sécurité distribués de Windows Il met en évidence le lien étroit qui existe sous Windows 2000 entre Sécurité et services d annuaire, et montre comment les objets Active Directory peuvent être sécurisés à un niveau de détail auparavant impensable sous Windows NT. Vous y trouverez une description des protocoles de sécurité eux-mêmes, et des différents rôles joués par ces protocoles. Ce chapitre se termine par une présentation de la sécurité Internet, et du niveau supplémentaire de protection fourni par les services de sécurité distribués de Windows 2000, contre les accès externes non autorisés. Figure 4.1 Vue d ensemble de la structure de sécurité de Windows Applications Protocoles réseau HTTP RPC LDAP Interface SSPI (Security Support Provider Interface) Fournisseurs de sécurité Kerberos PKI NTLM SSL Réseau

5 4 Windows 2000 Server Services de sécurité distribués de Windows 2000 Quels sont exactement les services de sécurité distribués sur tout le réseau, et comment fonctionnent-ils de concert pour assurer une protection renforcée des mots de passe des utilisateurs et autres données confidentielles? Windows 2000 comprend diverses fonctions de sécurité, dont l ensemble forme les services de sécurité distribués. Ces fonctions intégrées sont les suivantes : Sécurité Active Directory. Recouvre le nouveau concept d approbations transitives, qui permet une répartition sur toute l entreprise de l authentification des comptes utilisateur, ainsi que l attribution granulaire des droits d accès, et la nouvelle possibilité de délégation de l administration à un niveau inférieur du domaine. Protocoles de sécurité multiples. Windows 2000 prend en charge le protocole de sécurité Kerberos, dont l usage est très répandu, le protocole PKI (Public Key Infrastructure), ainsi que le protocole NTLM pour assurer la compatibilité ascendante avec NT. SSPI (Security Support Provider Interface). Ce composant du sous-système de sécurité de Windows 2000 tend à réduire l effort de programmation nécessaire, au niveau des applications, pour assurer la prise en charge des différents protocoles de sécurité. Il fournit en effet une interface générique pour tous les mécanismes d authentification à secret partagé, ou basés sur des protocoles par clé publique (voir le Chapitre 9, «Infrastructure à clé publique de Windows 2000») SSL (Secure Socket Layer). Ce protocole est utilisé par les navigateurs et les serveurs Internet. Il a été conçu pour permettre des connexions sécurisées sur Internet. Il utilise une technologie combinant clés publiques et clés secrètes. Services de certificats Microsoft. Ces services étaient déjà inclus avec IIS 4.0 IIS4.0 dans le pack d options NT 4.0. Microsoft les a améliorés, et définitivement intégrés à sa gamme Windows 2000 Server. Ils sont employés pour fournir les certificats aux applications qui effectuent un cryptage par clé publique pour sécuriser les communications via Internet, et au sein des intranets des entreprises. CAPI (CryptoAPI). Comme son nom l indique, il s agit d une interface de programmation d application, ou API (Application Programming Interface), permettant le cryptage des données au moyen de modules indépendants appelés fournisseurs de services cryptographiques, ou CSP (cryptographic service providers), et la protection des données de clé publique des utilisateurs au cours du processus. Ouverture de session unique dans les réseaux, ou SSO (Single Sign-On). Cette technologie constitue un élément fondamental dans le processus d authentification sous Windows Grâce à elle, un utilisateur n a besoin de se connecter qu une seule fois à un domaine en saisissant son mot de passe, pour s authentifier auprès de chaque ordinateur appartenant au domaine. SSO tend à réduire le risque de confusion de la part de l utilisateur, et améliore l efficacité, tout en allégeant la charge d administration du réseau. Un administrateur réseau n a pas à pénétrer les arcanes des algorithmes cryptographiques (à moins qu il ne se passionne pour les mathématiques). Il lui suffit de connaître la signification générale de ces diverses fonctions de sécurité pour sécuriser les données sensibles de son entreprise. Ce chapitre montre comment exploiter ces différents services pour sécuriser un réseau d entreprise, tout en préservant une certaine facilité d accès au réseau.

6 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 5 Active Directory et la sécurité Microsoft a consenti des efforts très importants pour développer les services d annuaires de Windows 2000, faisant ainsi de Active Directory un service à la fonctionnalité puissante, et capable de concurrencer les autres services d annuaires qui existent sur le marché. Après une étude poussée des besoins des administrateurs réseau en matière de service d annuaire, Microsoft a choisi de concevoir Active Directory en donnant une haute priorité à la sécurité. Voici quelques-unes des plus importantes fonctions de sécurité de Active Directory : stockage des informations d identification des utilisateurs et des ordinateurs dans Active Directory, et authentification des ordinateurs placés sur le réseau au démarrage du réseau ; modèle d approbation transitive, selon lequel les informations d identification qui sont valides dans un domaine d une arborescence de domaines sont automatiquement acceptées par tous les autres domaines de l arborescence ; ouverture de session unique sur toute l entreprise. Parce que toutes les informations d identification sont stockées dans Active Directory, elles peuvent être mises à disposition de tous les contrôleurs de domaine installés sur le réseau ; reproduction de tout objet Active Directory dans chaque contrôleur de domaine d un même domaine ; gestion et accessibilité des comptes utilisateur et d ordinateur, des stratégies, et des ressources sur le contrôleur de domaine le plus «proche» (en termes de connectivité réseau) ; héritage des propriétés des objets Active Directory parents ; création de propriétés de comptes et de stratégies au niveau du groupe, qui peuvent ensuite être appliquées aux nouveaux membres et aux membres existants du groupe. délégation de responsabilités d administration spécifiques, à des utilisateurs ou des groupes spécifiques ; capacité des serveurs à s authentifier au nom de clients. Toutes ces fonctions œuvrent de concert, et constituent une part de Active Directory et du sous-système de sécurité. Comparé à Windows NT, cette conception de la sécurité est très différente, et conduit à un résultat bien plus satisfaisant. Active Directory constitue véritablement un atout pour gérer des comptes utilisateur et d ordinateurs dans l entreprise. Avantages d une gestion des comptes via Active Directory À sa sortie, Windows NT n était pas un système d exploitation réellement sécurisé. Ce défaut de sécurisation pouvait s expliquer de différentes manières. Tout d abord, pendant toute la période de développement de Windows NT, la sécurité ne revêtait pas encore l importance que nous lui accordons aujourd hui dans le monde de l entreprise. D autre part, le problème de la sécurité n est pas aussi crucial dans les environnements de petits réseaux que dans les grands réseaux, et lors de son développement initial, NT n était pas véritablement conçu pour les très grandes entreprises. Enfin, l objectif premier de Microsoft lors de la conception de Windows NT était la facilité d usage, qui est difficilement compatible avec des mesures de sécurité strictes. Sous Windows 2000, les fonctions de sécurité sont directement construites au cœur de Active Directory.

7 6 Windows 2000 Server Active Directory peut prendre en charge un nombre d objets utilisateur bien plus important (plus d un million) que ne le permettait le modèle de domaines fondé sur le Registre de Windows NT. Avec Windows 2000, la taille des domaines n est plus limitée par les performances de l espace de stockage des comptes de sécurité. Une arborescence de domaines Windows 2000 peut s adapter à des structures d entreprise bien plus grandes et complexes que ne le pouvait Windows NT. Windows 2000 s impose ainsi comme un véritable système d exploitation réseau pour les entreprises. La gestion des comptes étant le fondement de tout plan de sécurité NT ou Windows 2000, une gestion facilitée et plus spécifique ne peut qu être bénéfique en matière de sécurité. La gestion des comptes revêt une grande importance. Chaque utilisateur se connecte initialement au réseau via un compte utilisateur. Les comptes utilisateur constituent ainsi le point de départ de l attribution de droits d utilisateur et d autorisations d accès aux ressources, soit individuellement, soit via des appartenances à des groupes de sécurité (comme le recommande Microsoft) (voir Figure 4.2). Figure 4.2 Le compte utilisateur constitue le point d entrée sur le réseau, et est à la base de la sécurisation du réseau. Compte utilisateur Nom d utilisateur et mot de passe Appartenance à des groupes Groupes locaux Groupes globaux Groupes universels Privilèges Autorisations d accès à des ressources Droits d utilisateur Autorité administrative Dans Windows NT 4.0 Server, l administration des comptes utilisateur s effectuait à l aide du Gestionnaire des utilisateurs pour les domaines, tandis que les comptes d ordinateurs étaient gérés via le Gestionnaire des serveurs. Dans un domaine Windows 2000 en revanche, ces deux types de comptes sont administrés à partir d un composant unique : le composant logiciel enfichable Utilisateurs et ordinateurs Active Directory de la console MMC. Pour accéder à cet outil d administration, choisissez Démarrer, Programmes, Outils d administration, Utilisateurs et ordinateurs Active Directory. La Figure 4.3 illustre les dossiers séparés réservés aux utilisateurs et aux ordinateurs (le contenu du dossier Utilisateurs est affiché dans la partie droite).

8 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 7 Figure 4.3 Les comptes peuvent être administrés au moyen du composant logiciel enfichable Utilisateurs et ordinateurs Active Directory. ASTUCE Le dossier Utilisateurs contient à la fois les groupes de sécurité et les comptes utilisateur individuels. Avec ce nouveau dispositif d administration centralisée des comptes, l administrateur réseau peut plus facilement gérer les utilisateurs, les ordinateurs et les ressources de manière sécurisée. Gestion de la sécurité via les propriétés des objets Dans Active Directory, chaque entité est un objet, et chaque objet est doté de propriétés, également appelées attributs. Parmi les informations spécifiées dans les attributs d un compte utilisateur figurent des données relatives à la sécurité, et notamment l appartenance à des groupes de sécurité, le mot de passe et les besoins en matière d authentification. Windows 2000 facilite l accès aux attributs d un objet (et permet d enregistrer plus d informations qu avec Windows NT). La Figure 4.4 illustre l onglet Propriétés d un compte utilisateur, avec quelques-unes des options disponibles. Pour un compte utilisateur spécifique, l administrateur peut ainsi facilement activer ou désactiver le cryptage DES, la pré-authentification Kerberos, ou la délégation, et ce par quelques clics sur des cases à cocher. D autres options de sécurité disponibles n apparaissent pas sur la Figure 4.4. Pour y accéder, utiliser la barre de défilement de la zone Options de compte de la boîte de dialogue Propriétés.

9 8 Windows 2000 Server Figure 4.4 L onglet Compte de la boîte de dialogue Propriétés d un utilisateur sélectionné. Ces options sont les suivantes : l utilisateur doit changer de mot de passe à la prochaine connexion ; l utilisateur ne peut pas changer de mot de passe ; le mot de passe n expire jamais ; enregistrer le mot de passe en utilisant un cryptage réversible. Certaines de ces options étaient déjà disponibles dans Windows NT,via le Gestionnaire des utilisateurs pour les domaines. D autres sont des nouveautés de Windows Gestion de la sécurité via l appartenance à des groupes Dans un domaine Windows, l accès aux ressources s effectue souvent par le biais de groupes auxquels sont affectés des comptes utilisateur. Ce regroupement des comptes utilisateur facilite l accès aux autorisations, tout particulièrement dans les grands réseaux en évolution permanente. La gestion de l appartenance aux groupes constitue un autre aspect important de l administration des comptes utilisateur, que le service d annuaire Active Directory tend également à faciliter. L administration de l appartenance aux groupes s effectue au moyen d un autre onglet de la boîte de dialogue Propriétés : l onglet Membre de (voir la Figure 4.5). Les groupes associés à un compte utilisateur spécifique peuvent être ajoutés ou supprimés par un simple clic de souris.

10 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 9 Figure 4.5 L appartenance à des groupes constitue un des moyens de sécurisation du réseau. Autorisations des objets Active Directory Vous pouvez attribuer des autorisations pour chaque objet Active Directory. Vous faciliterez cependant l administration des autorisations des objets en accordant les autorisations aux groupes, plutôt qu aux utilisateurs individuels. Vous pouvez accorder des autorisations concernant des objets à : des groupes, des utilisateurs, et des groupes spéciaux du domaine, des groupes et des utilisateurs du domaine et de tous les domaines approuvés, des groupes et des utilisateurs locaux de l ordinateur sur lequel résident les objets. Pour accorder des autorisations Active Directory sur un objet, procédez de la manière suivante : 1. Lancez l outil Domaines et approbations Active Directory, en choisissant Démarrer, Programmes, Outils d administration, Domaines et approbations Active Directory. Cliquez avec le bouton droit de la souris sur le domaine que vous voulez gérer, puis choisissez Gérer. 2. Dans la console Utilisateurs et ordinateurs Active Directory, déroulez l arborescence du domaine que vous souhaitez gérer. 3. Dans le menu Affichage, assurez-vous que la commande Fonctionnalités avancées est bien sélectionnée (voir Figure 4.6). ATTENTION Si la commande Fonctionnalités avancées n est pas sélectionnée, vous ne pourrez pas accéder à l onglet Sécurité lors de la prochaine étape.

11 10 Windows 2000 Server Figure 4.6 Pour définir les autorisations Active Directory sur un objet, la commande Fonctionnalités avancées du menu Affichage doit être sélectionnée. 4. Sélectionnez un objet Active Directory, puis cliquez dessus avec le bouton droit de la souris. Choisissez Propriétés. Dans la boîte de dialogue Propriétés, l onglet Sécurité affiche toutes les autorisations accordées à l objet sélectionné. La Figure 4.7 illustre l onglet qui apparaît si un objet de type utilisateur nommé Roger Dupont a été sélectionné. Figure 4.7 L onglet Sécurité de la boîte de dialogue Propriétés permet de définir les autorisations Active Directory.

12 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 11 Figure 4.8 La boîte de dialogue Paramètres du contrôle des accès. 5. Pour accéder à des autorisations spéciales supplémentaires définies pour l objet sélectionné, cliquez sur le bouton Avancé situé en bas et à gauche de l onglet Sécurité. La boîte de dialogue qui s affiche alors à l écran est illustrée à la Figure 4.8. Elle permet de sélectionner des autorisations, pour les visualiser ou les modifier. Figure 4.9 Exemple d autorisations spéciales définies pour un objet Active Directory. 6. Sélectionnez une des entrées, puis cliquez sur Afficher/Modifier. La Figure 4.9 illustre les autorisations spéciales définies pour l objet Roger Dupont.

13 12 Windows 2000 Server Figure 4.10 L onglet Propriétés de la boîte de dialogue Entrée d autorisation contient les autorisations qui peuvent être accordées pour des propriétés spécifiques. 7. Pour finir, vous pouvez de la même manière visualiser et modifier les autorisations pour des propriétés spécifiques, en sélectionnant l onglet Propriétés (voir la Figure 4.10). Les autorisations Active Directory peuvent être considérablement affinées. Notez bien cependant, surtout pour le déploiement de votre plan de sécurité au moyen des nouvelles fonctions de Windows 2000, que vous n êtes pas dans l obligation d exploiter toutes les possibilités qui vous sont offertes. Avec Windows 2000, vous pouvez accorder des autorisations Active Directory non seulement sur les objets eux-mêmes, mais aussi sur leurs propriétés individuelles. Microsoft recommande toutefois de ne pas définir un tel niveau de détail, pour éviter de trop compliquer les tâches d administration et de perturber le cours des opérations courantes. ATTENTION N ayez recours à de tels paramétrages qu en cas d absolue nécessité, et si vous êtes certain de l impact de vos actions. Relation existant entre Active Directory et les services de sécurité Chaque objet Active Directory est doté d un descripteur de sécurité unique, qui définit les autorisations d accès nécessaires à la lecture ou au paramétrage des propriétés de l objet. Pour déterminer si un client Active Directory peut lire ou mettre à jour un objet donné, Active Directory utilise le mécanisme de vérification des accès de Windows C est donc le système d exploitation qui se charge du contrôle des accès lors des requêtes de clients LDAP, et non pas Active Directory.

14 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 13 Sous Windows 2000, et contrairement aux systèmes NT, la sécurité est directement intégrée aux services d annuaire. Dans Windows NT 4.0, les effets de la base de données SAM (Security Account Manager) et de la relation d approbation NTLM se combinent pour limiter la sécurité au sein d un domaine à trois niveaux : les groupes globaux, les groupes locaux, et les utilisateurs individuels. Avec Active Directory au contraire, la base de données est distribuée sur toute l entreprise. Il s ensuit que, sous Windows 2000, la sécurité peut être administrée à un niveau de détail (une granularité) plus élevé, et avec plus de flexibilité. Par exemple, l autorité administrative peut être déléguée au niveau d une unité d organisation. Avec Windows NT en revanche, l attribution de privilèges d administration à un utilisateur donné faisait de celui-ci un administrateur de l ensemble du domaine. Les services de sécurité distribués de Windows 2000 utilisent Active Directory comme dépôt central des informations relatives aux comptes et de la stratégie de sécurité des domaines. Par rapport à l implémentation NT basée sur le Registre, il s agit là d une amélioration d envergure en termes de performances et de mise à l échelle, mais aussi de facilité d administration. Le service d annuaire Active Directory permet la reproduction et la mise à disposition des informations de compte pour tous les contrôleurs de domaines. D autre part, il peut être géré à distance. En outre, Windows 2000 est construit sur un nouveau modèle de domaines, selon lequel Active Directory permet la prise en charge d arborescences hiérarchiques de domaines à plusieurs niveaux. Ce nouveau modèle d approbation transitive sur toute l arborescence de domaines simplifie considérablement l administration des relations d approbation entre domaines. Le mécanisme d approbation inter-domaines de Windows 2000 diffère notablement de celui de Windows NT, et joue un rôle important dans la sécurisation et l administration dans l environnement Active Directory. Relations d approbation entre domaines Dans un réseau Windows 2000, le protocole de sécurité Kerberos est à la base des relations d approbations entre domaines. Le Chapitre 3, «Authentification Kerberos», décrit en détail le système d authentification Kerberos. Nous allons cependant revenir sur ce protocole, pour montrer le rôle joué par Kerberos dans les approbations transitives Windows Lorsqu un ordinateur Windows 2000 Server est promu contrôleur de domaine pour la première fois dans un réseau, Windows 2000 crée automatiquement le domaine racine interne de l entreprise, pour l espace de nommage Active Directory. Ce domaine prend un nom hiérarchique, par exemple monentreprise.com. REMARQUE Si Microsoft utilise ici l expression domaine racine, nous emploierons de préférence l expression domaine racine interne, pour marquer la distinction avec la notion de domaine racine Internet. Sur Internet, le domaine monentreprisec.com constitue un domaine de «deuxième niveau», qui se situe sous le domaine racine Internet «com», ou domaine externe de plus haut niveau. Si des domaines supplémentaires sont créés dans le réseau d une entreprise (en désignant des ordinateurs Windows 2000 Server supplémentaires comme contrôleurs de domaine pour de nouveaux domaines), deux possibilités sont envisageables : Ces ordinateurs peuvent être configurés en tant qu enfants du domaine racine interne, en insérant l espace de nommage du domaine racine interne dans leur propre espace de

15 14 Windows 2000 Server nommage. ventes.monentreprise.com serait par exemple un domaine enfant du domaine racine interne monentreprise.com. Ces ordinateurs peuvent être configurés en tant que domaines racines de nouvelles arborescences de domaines de la forêt, en leur affectant un espace de nommage totalement séparé de celui du domaine racine interne (également appelé espace de nommage non contigu). Par exemple, la création d un domaine appelé votreentreprise.com provoquerait la création d une nouvelle arborescence de domaines, appartenant à la même forêt que celle abritant l arborescence dont monentreprise.com constitue le domaine racine. La Figure 4.11 représente les relations existant entre domaines d une même arborescence et entre arborescences d une même forêt. Figure 4.11 Relations existant entre domaines d une même arborescence et entre arborescences d une même forêt. Arborescence Forêt Arborescence monentreprise.com votreentreprise.com ventes. monentreprise.com ventes. votreentreprise.com compt. votreentreprise.com paye.compt. votreentreprise.com Sur la Figure 4.11, la forêt comprend deux arborescences. Les domaines racines internes sont monentreprise.com et votreentreprise.com. Chaque domaine racine interne possède un ou plusieurs domaines enfants dont les noms incluent l espace de nommage de leur parent. Chaque domaine enfant peut lui-même avoir des enfants, comme illustré à la Figure 4.11 (qui sont alors en quelque sorte les petits-enfants du domaine racine interne). Approbations Kerberos entre domaines Dans un réseau NT, chaque domaine constitue une île. Pour que les utilisateurs d un domaine puissent accéder aux ressources situées dans un autre domaine, les administrateurs des deux domaines doivent établir explicitement une relation d approbation entre les domaines. De plus, ces relations d approbation sont unidirectionnelles. Pour établir une relation d approbation

16 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 15 réciproque, les administrateurs n ont d autre alternative que de créer deux relations d approbation séparées. Ces relations sont en effet basées sur le protocole de sécurité NTML, qui ne permet pas l authentification mutuelle. Les relations d approbation dans les réseaux Windows 2000 fonctionnent différemment. Grâce à la mise en œuvre du protocole Kerberos, toutes les relations d approbation sont bidirectionnelles. D autre part, une relation d approbation explicite existe automatiquement entre les domaines parent et enfant, sans que les administrateurs aient à intervenir. Pour finir, ces relations d approbation sont transitives, c est-à-dire que si un premier domaine approuve un deuxième domaine, qui approuve lui-même un troisième domaine, alors le premier domaine approuve automatiquement le troisième domaine, et ainsi de suite. Chaque domaine d une arborescence approuve ainsi implicitement tous les autres domaines de l arborescence. Cette transitivité découle directement de la mise en œuvre de Kerberos sous Windows Ces améliorations apparaissent déjà remarquables à l administrateur ayant eu à faire face aux approbations sous NT, mais elles ne s arrêtent pas là. Sous Windows 2000, des relations d approbation transitives implicites bidirectionnelles existent également entre domaines racines d une forêt d arborescences de domaines. Transversalement dans les arborescences, chaque domaine de la forêt approuve ainsi chaque autre domaine. Si le compte d un utilisateur bénéficie des autorisations appropriées, l utilisateur peut ainsi accéder à des ressources en tous points du réseau, sans avoir à s inquiéter des domaines dans lesquels résident les ressources. Comme l illustre la Figure 4.11, un utilisateur du domaine paye.compt.votreentreprise.com peut, par exemple, accéder à un fichier ou à une imprimante du domaine ventes.monentreprise.com (à condition toutefois que le compte de l utilisateur possède les autorisations appropriées). Le domaine de l utilisateur, paye.compt.votreentreprise.com, approuve son parent, compt.votreentreprise.com, qui approuve à son tour son parent, votreentreprise.com. votreentreprise.com étant un domaine racine interne appartenant à la même forêt que monentreprise.com, une relation d approbation transitive bidirectionnelle existe implicitement entre les deux domaines votreentreprise.com et monentreprise.com. Il s ensuit que monentreprise.com approuve votreentreprise.com. Ces relations d approbation Kerberos ne s appliquent cependant qu aux seuls domaines Windows Si un réseau comprend des domaines NT de niveau inférieur, alors le partage de ressources entre ces domaines et des domaines Windows 2000 ne peut s effectuer que par le biais de relations d approbation NTLM explicites unidirectionnelles. REMARQUE Si les relations d approbation entre domaines d un réseau Windows 2000 sont transitives, il n en va pas de même de l autorité d administration. Sous Windows 2000, le domaine définit encore une frontière administrative. Approbations raccourcis Le mécanisme d approbation peut faire intervenir de nombreuses relations d approbation. C est pourquoi les approbations raccourcis peuvent se révéler utiles. Les approbations raccourcis sont des approbations transitives bidirectionnelles qui permettent de raccourcir le chemin d approbation dans une forêt complexe. Les approbations raccourcis doivent être explicitement créées par les administrateurs, afin d établir une relation d approbation directe entre domaines Windows 2000 d une même forêt. Une approbation raccourci permet d optimiser les performances, et de raccourcir le chemin d approbation que le système de sécurité Windows 2000 doit emprunter pour procéder aux authentifications. Les approbations

17 16 Windows 2000 Server raccourcis sont les plus utiles entre arborescences de domaines différentes d une même forêt. Par exemple, dans le cas décrit précédemment, une approbation raccourci pourrait être établie entre les deux domaines paye.compt.votreentreprise.com et ventes.monentreprise.com. Les approbations raccourcis constituent l un des deux types d approbation explicite de domaines qui peuvent être définis sous Windows Les approbations externes sont l autre type. Elles permettent d établir des relations d approbations entre domaines n appartenant pas à la même forêt. Une approbation externe est unidirectionnelle, et non transitive, tout comme les approbations du modèle de domaines NT 4.0. Comme avec NT toutefois, deux approbations unidirectionnelles peuvent être créées pour établir une relation bidirectionnelle. ASTUCE Pour créer des approbations explicites Windows 2000, vous devez utiliser l outil d administration Domaines et approbations Active Directory. Délégation de l administration Un des atouts majeurs du service d annuaire Active Directory, et qui le rend particulièrement séduisant aux yeux des administrateurs de réseaux d entreprise complexes, est sa capacité de délégation de l autorité administrative à tous les niveaux inférieurs de l entreprise. Cette délégation s obtient en créant une arborescence hiérarchique d unités d organisation, ou OU (Organizational Unit). Dans une arborescence OU, les unités d organisation peuvent être imbriquées les unes dans les autres, et la responsabilité administrative d une branche OU de l arborescence peut être spécifiquement attribuée à des groupes ou des utilisateurs, sans que ceux-ci aient le contrôle administratif du reste de l arborescence. Dans un réseau NT, un tel niveau de détail de la délégation administrative n est pas possible : l autorité administrative porte obligatoirement sur toute l étendue du domaine. Sous Windows 2000, vous trouverez encore des comptes Administrateurs et Administrateurs de domaine dont l autorité administrative s étend sur tout le domaine. Leur usage est cependant occasionnel, et réservé à un nombre très limité d administrateurs dignes de confiance. ASTUCE Des connexions régulières sur un compte Administrateur peuvent représenter un risque pour la sécurité. L usage d un tel compte doit donc être restreint au maximum. Le personnel d administration, même s il est digne de confiance, devrait employer d autres comptes que les comptes administratifs pour leurs activités quotidiennes. Windows 2000 est doté d un service de connexion secondaire. Celui-ci permet d utiliser la commande run as pour exécuter des programmes qui nécessitent des privilèges administratifs, tout en étant connecté par le biais d un compte non-administratif. Windows 2000 autorise la délégation d autorisations administratives : de modification des propriétés d un conteneur spécifique, de création et de suppression d objets enfants d un type spécifique appartenant à une unité d organisation, de modification de propriétés spécifiques d objets enfants appartenant à une unité d organisation. Vous pouvez déléguer le contrôle administratif à tout niveau d une arborescence de domaines, en créant des unités d organisation au sein du domaine, puis en déléguant le contrôle administratif d unités d organisation spécifiques à des utilisateurs ou groupes particuliers. Vous

18 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 17 pouvez ainsi définir précisément l étendue administrative de chaque personne. L étendue administrative individuelle peut être le domaine tout entier, ou des ensembles d unités d organisation au sein du domaine, ou bien encore une simple unité d organisation. Microsoft a mis au point l Assistant Délégation de contrôle, pour vous aider à tirer parti de cette nouvelle fonctionnalité puissante de Windows 2000 (voir la Figure 4.12). Pour accéder à cet assistant, lancez l outil Utilisateurs et ordinateurs Active Directory, doublecliquez sur le nœud du domaine qui vous intéresse, cliquez avec le bouton droit de la souris sur le dossier dont vous voulez déléguer l autorité administrative, puis choisissez Délégation de contrôle. Après avoir sélectionné les utilisateurs ou les groupes auxquels vous souhaitez déléguer de l autorité, vous pouvez définir précisément cette autorité, c est-à-dire les tâches administratives à déléguer (voir la Figure 4.13). Figure 4.12 Configuration de l autorité administrative à l aide de l Assistant Délégation de contrôle. Figure 4.13 Sélection des tâches administratives à déléguer.

19 18 Windows 2000 Server Windows 2000 offre ainsi un niveau très élevé de contrôle et de flexibilité pour le processus de délégation de l autorité administrative. Vous avez même la possibilité de créer une tâche personnalisée de délégation. Une session de l Assistant Délégation de contrôle se termine par un récapitulatif des actions entreprises, et un bilan du succès, ou de l échec, de ces actions (voir la Figure 4.14). Figure 4.14 Dernier écran de L Assistant Délégation de contrôle. Avant de quitter l Assistant Délégation de contrôle, revoyez attentivement les ajustements effectués. Cliquez sur Terminer pour achever le processus de délégation. Ajustement détaillé des droits d accès Windows 2000 permet un contrôle bien plus fin des droits d accès que ne le permettait les précédentes versions de Windows NT. Comparé au jeu limité d autorisations de fichiers et de répertoires disponibles dans NT, les possibilités d autorisations d accès offertes par Windows 2000 sont presque embarrassantes, tant elles sont vastes. Avec Windows 2000, vous pouvez en effet non seulement accorder des autorisations à chaque utilisateur individuel, mais également refuser des autorisations sur une base individuelle. Le descripteur de sécurité de chaque objet Active Directory comprend une liste ACL (Access Control List), dont les entrées spécifient les droits d accès des utilisateurs ou des groupes. Un droit d accès sur un objet donné peut s appliquer à : l ensemble de l objet (avec toutes ses propriétés), un groupe de propriétés défini dans l objet lui-même, sous la forme d un jeu de propriétés, une propriété individuelle de l objet.

20 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 19 Héritage des droits d accès Microsoft utilise deux modèles différents pour mettre en œuvre l héritage de droits d accès : Héritage dynamique : les droits d accès effectifs sur un objet sont déterminés par les autorisations définies explicitement pour l objet, ainsi que par les autorisations définies pour tous les objets parents de l annuaire. Vous avez ainsi la possibilité de contrôler les accès sur une branche de l arborescence de l annuaire. Les modifications apportées à un conteneur spécifique affectent en effet automatiquement tous les sous-conteneurs de ce conteneur et les objets qu ils contiennent. Héritage statique : vous pouvez spécifier les informations de contrôle des accès dont doivent hériter les objets enfants d un conteneur spécifique. À la création d un objet enfant, les droits hérités du conteneur sont fusionnés avec les droits d accès par défaut du nouvel objet. Toute modification apportée aux droits d accès à un niveau supérieur de l arborescence doit être explicitement propagée sur les objets enfants affectés. Active Directory propage les nouveaux droits d accès à tous les objets auxquels s appliquent ces droits, en respectant les options d application définies pour ces nouveaux droits. Lors de la configuration des autorisations d un objet, vous pouvez activer, ou désactiver, la propagation des autorisations pouvant être héritées de l objet parent vers son objet enfant (par défaut, la propagation est activée) (voir la Figure 4.15). Figure 4.15 Vous pouvez activer la propagation des autorisations pouvant être héritées de l objet parent. Si vous désactivez l héritage des autorisations, les seules autorisations sur un objet seront celles qui auront été explicitement affectées.

21 20 Windows 2000 Server Figure 4.16 Déplacement d un objet dans Active Directory. Effet des déplacements d objets sur la sécurité Avec Active Directory, le déplacement d un objet d une unité d organisation vers une autre est très simple. Il suffit de sélectionner l objet à déplacer, de choisir Déplacer dans le menu Action, puis de choisir un conteneur dans lequel transférer l objet (voir la Figure 4.16). Vous pouvez même déplacer plusieurs objets à la fois, en les sélectionnant tout en maintenant la touche Ctrl enfoncée. Pour les objets déplacés, qu advient-il des autorisations qui avaient été configurées avant le déplacement (ou qui étaient héritées d un objet parent)? Windows 2000 applique les règles suivantes : Si les autorisations étaient accordées directement à l objet, elles persistent après le déplacement. Si les autorisations étaient héritées de l ancien conteneur (le conteneur d avant le déplacement), elles ne sont plus appliquées. Les objets héritent des autorisations du nouveau conteneur (celui d après le déplacement). Après avoir déplacé un objet, vous avez tout intérêt à vérifier ses propriétés de sécurité, afin de vous assurer que les autorisations sont bien définies comme vous l entendez. Protocoles de sécurité de Windows 2000 Les trois principaux protocoles de sécurité utilisés sous Windows 2000 sont NTLM, Kerberos et PKI (Public Key Infrastructure). NTLM était déjà utilisé dans Windows NT, et reste pris en charge sous Windows 2000 pour assurer la compatibilité ascendante avec les domaines NT 3.51 et 4.0. Kerberos et PKI sont tous deux fondés sur des normes Internet publiques (qui ne

22 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 21 sont pas spécifiques à des fabricants) populaires. Kerberos est le protocole par défaut, tandis que PKI peut être utilisé pour accorder des accès à des utilisateurs situés hors du réseau, et qui ne sont pas en mesure d employer Kerberos. Un administrateur réseau doit avoir une bonne compréhension générale de ces trois protocoles. Authentification NTLM NTLM (NT LAN Manager) était un protocole dédié à Windows NT, qui fut un temps considéré comme relativement performant. Comparé au système d authentification Kerberos, ce protocole présente cependant de sérieuses faiblesses : Une authentification NTLM est plus lente qu une authentification Kerberos. Le protocole NTML permet uniquement une authentification unidirectionnelle, et crée donc le risque de spoofing (usurpation d identité) du serveur. Les approbations NTLM sont unidirectionnelles et non transitives. Elles sont par conséquent plus difficiles à gérer. NTLM est un protocole propriétaire, incompatible avec les réseaux nonmicrosoft. NTLM reste cependant nécessaire aux installations Windows 2000, pour établir des approbations avec des domaines NT, et pour authentifier des clients de bas niveau. Par défaut, Windows 2000 est installé en mode mixte, et peut donc être combiné avec Windows NT 4.0. Dans le cas d un réseau purement Windows 2000, l authentification NTLM peut être désactivée en faisant basculer les contrôleurs de domaine en mode natif. Authentification Kerberos La puissance du système d authentification, ou protocole, Kerberos est à la mesure de sa complexité. Son usage est largement répandu dans les systèmes UNIX et les autres environnements réseaux. Il constitue le protocole d authentification par défaut de Windows Kerberos est un protocole de cryptage par clé privée (également appelé cryptage par clé secrète). Avec la cryptographie par clé secrète, une même clé, appelée secret partagé, est utilisée pour le cryptage et le décryptage des données. Les contrôleurs de domaine Windows 2000 exécutent le service serveur Kerberos, tandis que les ordinateurs client Windows 2000 exécutent le service client Kerberos. Les mots de passe (appelés clés) et identités Kerberos sont stockés dans Active Directory, ce qui renforce l intégration de la sécurité avec les services d annuaire. Un système d authentification Kerberos comprend les composants suivants : KDC (Key Distribution Center) ou Centre de distribution de clés : le KDC stocke et distribue des tickets Kerberos. Il est exécuté sur des contrôleurs de domaine Windows 2000, et utilise Active Directory pour le stockage (sécurisé) de ses informations. Tickets : un ticket est indispensable pour accéder à un domaine ou à une ressource du réseau, de la même manière qu il faut avoir un billet pour assister à une séance de cinéma. Le processus d authentification Kerberos est cependant un peu plus complexe que l entrée dans une salle de cinéma, puisqu il faut déjà posséder un ticket pour pouvoir obtenir un

23 22 Windows 2000 Server ticket d accès : après avoir authentifié un client, le KDC fournit en effet un ticket d octroi de ticket, ou TGT (Ticket-Granting Ticket), que le client présentera ensuite s il veut obtenir un ticket pour accéder à une ressource. Hashage : le hashage est un résultat numérique à taille fixe obtenu par application d une formule mathématique unidirectionnelle à une chaîne de texte (cette formule est appelée algorithme de hashage). Obtention d un ticket Kerberos Une procédure d authentification Kerberos se déroule de la manière suivante : un utilisateur d une machine client Windows 2000 saisit son nom d utilisateur et son mot de passe pour se connecter au réseau. Le mot de passe est soumis à un hashage, et conditionné sous la forme d un petit package, appelé requête AS (Authentication Service). Cette requête AS est transmise au KDC. Le KDC possède sa propre copie de la clé de l utilisateur, qu il soumet à un hashage pour la comparer au hashage de la requête AS du client. Si les deux hashages correspondent bien, le KDC fournit un TGT au client, que celui-ci pourra ensuite utiliser pour obtenir des tickets de service pour accéder aux services du réseau situés dans le domaine. Si le client veut accéder à une ressource du réseau, le TGT est renvoyé au KDC, accompagné d une requête TGS (Ticket-Granting Service). Le KDC examine alors le TGT, ainsi que les autorisations d accès dont bénéficie le client. Si tout est en ordre, il fournit un ticket de session, que le client pourra ensuite utiliser pour accéder à la ressource convoitée. Les authentifications inter-domaines sont effectuées via des tickets de référencement. Il s agit là d un autre type de ticket, qui est à la base du modèle d approbation transitive. Le protocole Kerberos permet une étroite sécurisation des ressources réseau, à un coût raisonnable. C est pourquoi Microsoft en a fait le protocole de sécurité principal de Windows REMARQUE Le système d authentification Microsoft Kerberos ne peut fonctionner qu entre clients et serveurs Windows Dans les environnements mixtes, les authentifications avec des systèmes NT doivent être effectuées via NTLM. Paires de clés privées/publiques et certificats Nombre d administrateurs Internet connaissent la technologie PKI (Public Key Infrastructure), qui dérive de la méthode de cryptage PGP (Pretty Good Privacy). PGP est restée populaire pendant plusieurs années, notamment pour la protection des Internet. La cryptographie par clé publique se différencie de l authentification Kerberos et des autres méthodes par clé privée, par le fait qu elle utilise une paire de clés. Celle-ci est formée d une clé publique, à disposition de tout un chacun, et d une clé privée. En général, une de ces clés est utilisée pour crypter le message, tandis que l autre sert à son décryptage. Cette technologie est comparable à l ouverture d un coffre en banque. Vous possédez une clé pour ouvrir le coffre, tandis que l employé de la banque en possède une autre, les deux clés étant indispensables pour ouvrir le coffre. Dans cette analogie, la clé détenue par la banque serait la clé publique, parce qu elle est utilisée pour tous les coffres, alors que votre clé, correspondant à votre coffre, serait la clé privée.

24 Sécurisation des réseaux à l aide des services de sécurité distribués de Windows 2000 CHAPITRE 4 23 L ensemble formé par ces deux clés, privée et publique, constitue une paire de clés privée/ publique. Windows 2000 fait intervenir une autorité de certification pour le stockage des clés privées et publiques. Des certificats numériques sont utilisés pour vérifier que la clé publique appartient réellement à l utilisateur qui prétend être son propriétaire. Les certificats sont fournis par un tiers approuvé (les Services de certificat Microsoft dans le cas de Windows 2000). Ils garantissent que la clé publique utilisée est bien valide. L infrastructure de clé publique, ou PKI (Public Key Infrastructure) mise en œuvre sous Windows 2000 repose sur la norme X.509. Celle-ci a été établie en 1995, et définit la syntaxe et le format des certificats numériques. Les certificats conformes à cette norme sont appelés certificats numériques X.509 v3. REMARQUE Les normes X.509 ont été élaborées par l organisation internationale ITU (International Telecommunication Union), qui est responsable de la normalisation des réseaux et services de télécommunication. Autres protocoles pris en charge Windows 2000 prend également en charge le protocole DPA (Distributed Password Authentication). DPA est un protocole d authentification qui est utilisé par plusieurs services en ligne, par exemple MSN. À propos des cartes à puce L expression carte à puce recouvre divers types de cartes, des simples cartes stockant des valeurs, aux cartes comprenant des circuits intégrés et constituant de véritables mini-ordinateurs (avec toutefois des capacités de traitement et de stockage limitées). La prise en charge de la technologie des cartes à puce représente un élément clé du système d exploitation Windows 2000, via l infrastructure de clé publique. Avec Windows 2000, des cartes à puce peuvent être employées pour le stockage des clés privées et autres informations personnelles. Utilisées avec le système d authentification Kerberos et le service d annuaire Active Directory, les cartes à puce permettent de sécuriser les authentifications lors des ouvertures de session. Cette sécurisation est obtenue par l une des trois manières suivantes : ouverture de session interactive ; authentification de client ; ouverture de session à distance. Une ouverture de session interactive se déroule de la manière suivante : l utilisateur introduit sa carte à puce dans un lecteur de carte ; Windows 2000 invite en retour l utilisateur à saisir son code personnel d identification ; celui-ci est employé pour authentifier la carte à puce ; Windows 2000 extrait ensuite de la carte un certificat de clé publique, qui est utilisé pour effectuer l authentification auprès du domaine, via Kerberos. Dans une authentification de client, les cartes à puce peuvent être employées avec les protocoles SSL et TLS, et sans que ceux-ci aient subi une «adaptation» particulière à l emploi de cartes à puce. Sous Windows 2000 en effet, la prise en charge des cartes à puce est intégrée à CryptoAPI. La clé privée qui correspond à la clé publique est stockée sur la carte à puce. L utilisateur doit s authentifier à la fois auprès de la carte et auprès du domaine, pour renforcer encore la sécurisation de l authentification.