Présentation de l’authentification Windows
- 10/12/2016
- 5 minutes de lecture
-
- .
J -
e -
j -
D -
j -
+3
- .
S’applique à : Windows Server (canal semestriel), Windows Server 2016
Ce sujet de navigation destiné aux professionnels de l’informatique répertorie les ressources documentaires pour les technologies d’authentification et de connexion de Windows, qui comprennent l’évaluation des produits, les guides de démarrage, les procédures, les guides de conception et de déploiement, les références techniques et les références de commande.
Description de la fonctionnalité
L’authentification est un processus de vérification de l’identité d’un objet, d’un service ou d’une personne. Lorsque vous authentifiez un objet, l’objectif est de vérifier que l’objet est authentique. Lorsque vous authentifiez un service ou une personne, le but est de vérifier que les informations d’identification présentées sont authentiques.
Dans un contexte de réseau, l’authentification est l’acte de prouver l’identité à une application ou une ressource de réseau. Généralement, l’identité est prouvée par une opération cryptographique qui utilise soit une clé que seul l’utilisateur connaît – comme avec la cryptographie à clé publique – soit une clé partagée. Le côté serveur de l’échange d’authentification compare les données signées avec une clé cryptographique connue pour valider la tentative d’authentification.
Le stockage des clés cryptographiques dans un emplacement central sécurisé rend le processus d’authentification évolutif et maintenable. Les services de domaine Active Directory sont la technologie recommandée et par défaut pour le stockage des informations d’identité (y compris les clés cryptographiques qui constituent les informations d’identification de l’utilisateur). Active Directory est requis pour les implémentations NTLM et Kerberos par défaut.
Les techniques d’authentification vont de la simple connexion, qui identifie les utilisateurs sur la base de quelque chose que seul l’utilisateur connaît – comme un mot de passe, à des mécanismes de sécurité plus puissants qui utilisent quelque chose que l’utilisateur possède – comme les jetons, les certificats de clé publique et la biométrie. Dans un environnement professionnel, les services ou les utilisateurs peuvent accéder à de multiples applications ou ressources sur de nombreux types de serveurs au sein d’un même site ou sur plusieurs sites. Pour ces raisons, l’authentification doit prendre en charge des environnements pour d’autres plateformes et pour d’autres systèmes d’exploitation Windows.
Le système d’exploitation Windows met en œuvre un ensemble par défaut de protocoles d’authentification, notamment Kerberos, NTLM, Transport Layer Security/Secure Sockets Layer (TLS/SSL) et Digest, dans le cadre d’une architecture extensible. En outre, certains protocoles sont combinés en paquets d’authentification tels que Negotiate et Credential Security Support Provider. Ces protocoles et paquets permettent l’authentification des utilisateurs, des ordinateurs et des services ; le processus d’authentification, à son tour, permet aux utilisateurs et aux services autorisés d’accéder aux ressources de manière sécurisée.
Pour plus d’informations sur l’authentification Windows, notamment
-
Concepts d’authentification Windows
-
Scénarios d’ouverture de session Windows
-
Architecture d’authentification Windows
-
Architecture de l’interface du fournisseur de support de sécurité
-
Processus d’authentification de Windows
-
Paramètres de stratégie de groupe utilisés dans l’authentification de Windows
. Architecture de l’interface fournisseur de support
voir la présentation technique de l’authentification de Windows.
Applications pratiques
L’authentification Windows est utilisée pour vérifier que les informations proviennent d’une source de confiance, qu’il s’agisse d’une personne ou d’un objet informatique, tel qu’un autre ordinateur. Windows fournit de nombreuses méthodes différentes pour atteindre cet objectif, comme décrit ci-dessous.
| Pour… | Fonctionnalité | Description |
|---|---|---|
| Authentifier dans un domaine Active Directory | Kerberos | Les systèmes d’exploitation Microsoft Windows Server mettent en œuvre le protocole d’authentification Kerberos version 5 et des extensions pour l’authentification par clé publique. Le client d’authentification Kerberos est implémenté en tant que fournisseur de support de sécurité (SSP) et est accessible via l’interface de fournisseur de support de sécurité (SSPI). L’authentification initiale de l’utilisateur est intégrée à l’architecture d’authentification unique Winlogon. Le centre de distribution de clés Kerberos (KDC) est intégré aux autres services de sécurité de Windows Server exécutés sur le contrôleur de domaine. Le KDC utilise la base de données du service d’annuaire Active Directory du domaine comme base de données des comptes de sécurité. Active Directory est requis pour les implémentations Kerberos par défaut.
Pour des ressources supplémentaires, voir Vue d’ensemble de l’authentification Kerberos. |
| Authentification sécurisée sur le Web | TLS/SSL tel que mis en œuvre dans le fournisseur de support de sécurité Schannel | Le protocole Transport Layer Security (TLS) versions 1.0, 1.1 et 1.2, le protocole Secure Sockets Layer (SSL), versions 2.0 et 3.0, le protocole Datagram Transport Layer Security version 1.0 et le protocole Private Communications Transport (PCT), version 1.0, sont basés sur la cryptographie à clé publique. La suite de protocoles d’authentification du fournisseur Secure Channel (Schannel) fournit ces protocoles. Tous les protocoles Schannel utilisent un modèle client et serveur.
Pour des ressources supplémentaires, voir TLS – SSL (Schannel SSP) Overview. |
| Authentification à un service ou une application Web | Authentification Windows intégrée
Authentification Digest |
Pour des ressources supplémentaires, voir Authentification Windows intégrée et authentification Digest, et authentification Digest avancée. |
| Authentification aux applications héritées | NTLM | NTLM est un protocole d’authentification de style défi-réponse.En plus de l’authentification, le protocole NTLM fournit facultativement une sécurité de session – spécifiquement l’intégrité et la confidentialité des messages par le biais de fonctions de signature et de scellement dans NTLM.
Pour des ressources supplémentaires, voir Présentation de NTLM. |
| Tirer parti de l’authentification multifactorielle | Prise en charge des cartes à puce
Prise en charge biométrique |
Les cartes à puce sont un moyen inviolable et portable de fournir des solutions de sécurité pour des tâches telles que l’authentification des clients, la connexion à des domaines, la signature de code et la sécurisation du courrier électronique.
La biométrie repose sur la mesure d’une caractéristique physique immuable d’une personne pour identifier de manière unique cette personne. Les empreintes digitales sont l’une des caractéristiques biométriques les plus fréquemment utilisées, avec des millions de dispositifs biométriques d’empreintes digitales qui sont intégrés dans les ordinateurs personnels et les périphériques. Pour des ressources supplémentaires, voir Smart Card Technical Reference. |
| Proviser la gestion, le stockage et la réutilisation locaux des informations d’identification | Gestion des informations d’identification
Autorité de sécurité locale Mots de passe |
La gestion des informations d’identification dans Windows garantit que les informations d’identification sont stockées en toute sécurité. Les informations d’identification sont collectées sur le Secure Desktop (pour l’accès local ou au domaine), par le biais d’apps ou de sites Web afin que les informations d’identification correctes soient présentées chaque fois qu’une ressource est accessible. |
| Etendre la protection moderne de l’authentification aux systèmes existants | Protection étendue pour l’authentification | Cette fonctionnalité améliore la protection et le traitement des informations d’identification lors de l’authentification des connexions réseau en utilisant l’authentification intégrée de Windows (IWA). |
Configuration logicielle
L’authentification de Windows est conçue pour être compatible avec les versions précédentes du système d’exploitation Windows. Cependant, les améliorations apportées à chaque version ne sont pas nécessairement applicables aux versions précédentes. Reportez-vous à la documentation sur les fonctionnalités spécifiques pour plus d’informations.
Informations sur le Gestionnaire de serveur
Plusieurs fonctionnalités d’authentification peuvent être configurées à l’aide de la stratégie de groupe, qui peut être installée à l’aide du Gestionnaire de serveur. La fonctionnalité Windows Biometric Framework est installée à l’aide du Gestionnaire de serveur. D’autres rôles de serveur qui dépendent des méthodes d’authentification, tels que le serveur Web (IIS) et les services de domaine Active Directory, peuvent également être installés à l’aide du Gestionnaire de serveur.
| Technologies d’authentification | Ressources |
|---|---|
| Authentification Windows | Aperçu technique de l’authentification Windows Comprend des sujets traitant des différences entre les versions, des concepts d’authentification généraux, des scénarios de connexion, des architectures pour les versions prises en charge et des paramètres applicables. |
| Kerberos | Vue d’ensemble de l’authentification Kerberos
Vue d’ensemble de la délégation restreinte Kerberos Référence technique de l’authentification Kerberos(2003) Forum Kerberos |
| TLS/SSL et DTLS (fournisseur de support de sécurité Schannel) | TLS – SSL (Schannel SSP) Overview
Référence technique du fournisseur de support de sécurité Schannel |
| Authentification Digest | Référence technique de l’authentification Digest(2003) |
| NTLM | Synthèse NTLM Contient des liens vers des ressources actuelles et passées |
| PKU2U | Introduction de PKU2U dans Windows |
| Carte à puce | Référence technique de la carte à puce |
| Crédits | Crédits. Protection et gestion Contient des liens vers des ressources actuelles et antérieures Synthèse des mots de passe |
.