Présentation de l’authentification Windows

Jan 15, 2022
admin
  • 10/12/2016
  • 5 minutes de lecture
    • . J
    • e
    • j
    • D
    • j
    • +3

S’applique à : Windows Server (canal semestriel), Windows Server 2016

Ce sujet de navigation destiné aux professionnels de l’informatique répertorie les ressources documentaires pour les technologies d’authentification et de connexion de Windows, qui comprennent l’évaluation des produits, les guides de démarrage, les procédures, les guides de conception et de déploiement, les références techniques et les références de commande.

Description de la fonctionnalité

L’authentification est un processus de vérification de l’identité d’un objet, d’un service ou d’une personne. Lorsque vous authentifiez un objet, l’objectif est de vérifier que l’objet est authentique. Lorsque vous authentifiez un service ou une personne, le but est de vérifier que les informations d’identification présentées sont authentiques.

Dans un contexte de réseau, l’authentification est l’acte de prouver l’identité à une application ou une ressource de réseau. Généralement, l’identité est prouvée par une opération cryptographique qui utilise soit une clé que seul l’utilisateur connaît – comme avec la cryptographie à clé publique – soit une clé partagée. Le côté serveur de l’échange d’authentification compare les données signées avec une clé cryptographique connue pour valider la tentative d’authentification.

Le stockage des clés cryptographiques dans un emplacement central sécurisé rend le processus d’authentification évolutif et maintenable. Les services de domaine Active Directory sont la technologie recommandée et par défaut pour le stockage des informations d’identité (y compris les clés cryptographiques qui constituent les informations d’identification de l’utilisateur). Active Directory est requis pour les implémentations NTLM et Kerberos par défaut.

Les techniques d’authentification vont de la simple connexion, qui identifie les utilisateurs sur la base de quelque chose que seul l’utilisateur connaît – comme un mot de passe, à des mécanismes de sécurité plus puissants qui utilisent quelque chose que l’utilisateur possède – comme les jetons, les certificats de clé publique et la biométrie. Dans un environnement professionnel, les services ou les utilisateurs peuvent accéder à de multiples applications ou ressources sur de nombreux types de serveurs au sein d’un même site ou sur plusieurs sites. Pour ces raisons, l’authentification doit prendre en charge des environnements pour d’autres plateformes et pour d’autres systèmes d’exploitation Windows.

Le système d’exploitation Windows met en œuvre un ensemble par défaut de protocoles d’authentification, notamment Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) et Digest, dans le cadre d’une architecture extensible. En outre, certains protocoles sont combinés en paquets d’authentification tels que Negotiate et Credential Security Support Provider. Ces protocoles et paquets permettent l’authentification des utilisateurs, des ordinateurs et des services ; le processus d’authentification, à son tour, permet aux utilisateurs et aux services autorisés d’accéder aux ressources de manière sécurisée.

Pour plus d’informations sur l’authentification Windows, notamment

  • Concepts d’authentification Windows

  • Scénarios d’ouverture de session Windows

  • Architecture d’authentification Windows

  • Architecture de l’interface du fournisseur de support de sécurité

  • . Architecture de l’interface fournisseur de support

  • Processus d’authentification de Windows

  • Paramètres de stratégie de groupe utilisés dans l’authentification de Windows

voir la présentation technique de l’authentification de Windows.

Applications pratiques

L’authentification Windows est utilisée pour vérifier que les informations proviennent d’une source de confiance, qu’il s’agisse d’une personne ou d’un objet informatique, tel qu’un autre ordinateur. Windows fournit de nombreuses méthodes différentes pour atteindre cet objectif, comme décrit ci-dessous.

Pour… Fonctionnalité Description
Authentifier dans un domaine Active Directory Kerberos Les systèmes d’exploitation Microsoft Windows Server mettent en œuvre le protocole d’authentification Kerberos version 5 et des extensions pour l’authentification par clé publique. Le client d’authentification Kerberos est implémenté en tant que fournisseur de support de sécurité (SSP) et est accessible via l’interface de fournisseur de support de sécurité (SSPI). L’authentification initiale de l’utilisateur est intégrée à l’architecture d’authentification unique Winlogon. Le centre de distribution de clés Kerberos (KDC) est intégré aux autres services de sécurité de Windows Server exécutés sur le contrôleur de domaine. Le KDC utilise la base de données du service d’annuaire Active Directory du domaine comme base de données des comptes de sécurité. Active Directory est requis pour les implémentations Kerberos par défaut.

Pour des ressources supplémentaires, voir Vue d’ensemble de l’authentification Kerberos.

Authentification sécurisée sur le Web TLS/SSL tel que mis en œuvre dans le fournisseur de support de sécurité Schannel Le protocole Transport Layer Security (TLS) versions 1.0, 1.1 et 1.2, le protocole Secure Sockets Layer (SSL), versions 2.0 et 3.0, le protocole Datagram Transport Layer Security version 1.0 et le protocole Private Communications Transport (PCT), version 1.0, sont basés sur la cryptographie à clé publique. La suite de protocoles d’authentification du fournisseur Secure Channel (Schannel) fournit ces protocoles. Tous les protocoles Schannel utilisent un modèle client et serveur.

Pour des ressources supplémentaires, voir TLS – SSL (Schannel SSP) Overview.

Authentification à un service ou une application Web Authentification Windows intégrée

Authentification Digest

Pour des ressources supplémentaires, voir Authentification Windows intégrée et authentification Digest, et authentification Digest avancée.
Authentification aux applications héritées NTLM NTLM est un protocole d’authentification de style défi-réponse.En plus de l’authentification, le protocole NTLM fournit facultativement une sécurité de session – spécifiquement l’intégrité et la confidentialité des messages par le biais de fonctions de signature et de scellement dans NTLM.

Pour des ressources supplémentaires, voir Présentation de NTLM.

Tirer parti de l’authentification multifactorielle Prise en charge des cartes à puce

Prise en charge biométrique

Les cartes à puce sont un moyen inviolable et portable de fournir des solutions de sécurité pour des tâches telles que l’authentification des clients, la connexion à des domaines, la signature de code et la sécurisation du courrier électronique.

La biométrie repose sur la mesure d’une caractéristique physique immuable d’une personne pour identifier de manière unique cette personne. Les empreintes digitales sont l’une des caractéristiques biométriques les plus fréquemment utilisées, avec des millions de dispositifs biométriques d’empreintes digitales qui sont intégrés dans les ordinateurs personnels et les périphériques.

Pour des ressources supplémentaires, voir Smart Card Technical Reference.

Proviser la gestion, le stockage et la réutilisation locaux des informations d’identification Gestion des informations d’identification

Autorité de sécurité locale

Mots de passe

La gestion des informations d’identification dans Windows garantit que les informations d’identification sont stockées en toute sécurité. Les informations d’identification sont collectées sur le Secure Desktop (pour l’accès local ou au domaine), par le biais d’apps ou de sites Web afin que les informations d’identification correctes soient présentées chaque fois qu’une ressource est accessible.
Etendre la protection moderne de l’authentification aux systèmes existants Protection étendue pour l’authentification Cette fonctionnalité améliore la protection et le traitement des informations d’identification lors de l’authentification des connexions réseau en utilisant l’authentification intégrée de Windows (IWA).

Configuration logicielle

L’authentification de Windows est conçue pour être compatible avec les versions précédentes du système d’exploitation Windows. Cependant, les améliorations apportées à chaque version ne sont pas nécessairement applicables aux versions précédentes. Reportez-vous à la documentation sur les fonctionnalités spécifiques pour plus d’informations.

Informations sur le Gestionnaire de serveur

Plusieurs fonctionnalités d’authentification peuvent être configurées à l’aide de la stratégie de groupe, qui peut être installée à l’aide du Gestionnaire de serveur. La fonctionnalité Windows Biometric Framework est installée à l’aide du Gestionnaire de serveur. D’autres rôles de serveur qui dépendent des méthodes d’authentification, tels que le serveur Web (IIS) et les services de domaine Active Directory, peuvent également être installés à l’aide du Gestionnaire de serveur.

.

Technologies d’authentification Ressources
Authentification Windows Aperçu technique de l’authentification Windows
Comprend des sujets traitant des différences entre les versions, des concepts d’authentification généraux, des scénarios de connexion, des architectures pour les versions prises en charge et des paramètres applicables.
Kerberos Vue d’ensemble de l’authentification Kerberos

Vue d’ensemble de la délégation restreinte Kerberos

Référence technique de l’authentification Kerberos(2003)

Forum Kerberos

TLS/SSL et DTLS (fournisseur de support de sécurité Schannel) TLS – SSL (Schannel SSP) Overview

Référence technique du fournisseur de support de sécurité Schannel

Authentification Digest Référence technique de l’authentification Digest(2003)
NTLM Synthèse NTLM
Contient des liens vers des ressources actuelles et passées
PKU2U Introduction de PKU2U dans Windows
Carte à puce Référence technique de la carte à puce
Crédits Crédits. Protection et gestion
Contient des liens vers des ressources actuelles et antérieures

Synthèse des mots de passe
Contient des liens vers des ressources actuelles et antérieures

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.