Si vous n’avez pas utilisé les éléments de sécurité reconnus Windows, vous n’avez peut-être pas conscience de leur puissance et de leur complexité. Comme Microsoft en a ajouté de nouveaux à Windows Server 2003, il est bon de commencer à utiliser ce moyen pour administrer les paramètres de contrôle d’accès.Mais, avant d’entrer dans le détail de leur administration, j’aimerais passer en revue brièvement les éléments de sécurité en général et les éléments de sécurité reconnus particulièrement. La deuxième partie de cet article appronfondira l’administration de ces entités complexes.
Un élément de sécurité Windows est une entité authentifiée qui utilise les ressources (fichiers, imprimantes, etc.), les applications ou services qu’un ordinateur Windows héberge. Un élément de sécurité peut être un utilisateur, un ordinateur ou un groupe d’utilisateurs ou d’ordinateurs. Chaque élément de sécurité a un identificateur unique appelé SID.
Les éléments de sécurité reconnus sont une catégorie spéciale des éléments de sécurité. Ils représentent les entités spéciales que le sous-système de sécurité Windows prédéfinit et contrôle. Parmi quelques exemples, on retiendra Everyone, Authenticated Users, System, Self et Creator Owner.
Contrairement aux éléments de sécurité classiques, il n’est pas possible de renommer ou de supprimer les éléments de sécurité reconnus. Vous ne pouvez pas non plus créer les vôtres : ce sont les mêmes sur chaque système Windows, bien que la liste des éléments de sécurité reconnus disponibles varie légèrement selon la version de l’OS. Un élément de sécurité reconnu a également le même SID sur chaque système Windows. Par exemple, SID S-1-5- 10 représente toujours le élément de sécurité bien connu Self et SID S-1-3-0 représente toujours le principal Creator Owner.
Comprendre les éléments de sécurité reconnus, 1ere partie
Le tableau 1 contient la liste des éléments de sécurité reconnus que l’on trouve dans Windows 2003, Windows XP Service Pack 2 (SP2) et Windows 2000. Le tableau 2 énumère les nouveaux éléments de sécurité reconnus que Microsoft a introduits dans Windows 2003. Un astérisque indique ceux qui sont également supportés dans XP SP2. Pour chaque élément de sécurité reconnu, le tableau donne également le SID correspondant. Vous pouvez aussi trouver la liste de tous les SID Windows bien connus dans l’article Microsoft « Well-known security identifiers in Windows operating systems ». J’explique la plupart des éléments de sécurité reconnus figurant dans le tableau 1 et le tableau 2, dans la 2e partie de cet article.
Dans Windows 2003, Microsoft a ajouté les éléments de sécurité reconnus Local Service, Network Service, Digest Authentication, NTLM Authentication, Remote Interactive Logon, SChannel Authentication, Restricted Code, Other Organization et This Organization. Ces nouveaux éléments n’apparaissent dans l’AD (Active Directory) que quand le DC (domain controller) qui contient le rôle Operations Master de l’émulateur PDC, utilise Windows 2003. Dans un domaine qui contient à la fois des DC Windows 2003 et Win2K, il faut d’abord transférer le rôle Operations Master sur un DC Windows 2003. Cette information est documentée dans l’article Microsoft « Local Service and other well-known éléments de sécurité do not appear on your Windows Server 2003 domain controller ». Cette limitation devrait peu influencer votre infrastructure d’AD parce que beaucoup des nouvelles fonctions qui utilisent les nouveaux éléments de sécurité reconnus Windows 2003, nécessitent le niveau fonctionnel de Windows 2003.
Vous pouvez voir la plupart des éléments de sécurité reconnus dans les listes des tableau 1 et tableau 2 (par exemple, Everyone, Authenticated Users) en tant que groupes de éléments de sécurité reconnus. Contrairement aux groupes classiques, l’OS – pas un administrateur – contrôle automatiquement leur appartenance, subordonnée à certaines conditions. Ainsi, dans XP et Win2K, l’OS attribue automatiquement un utilisateur au groupe Interactive si l’utilisateur se trouve en personne devant l’ordinateur où réside la ressource, ou si l’utilisateur est connecté à cet ordinateur via une connexion RDP. Dans Windows 2003, l’utilisateur est ajouté au groupe Remote Interactive Logon.
Vous pouvez aussi désigner ces groupes de éléments de sécurité reconnus sous le nom de groupes dynamiques, parce que l’OS détermine leur appartenance de manière dynamique. Il ne faut pas les confondre avec les groupes basés sur des requêtes LDAP dynamiques que Microsoft a introduits dans l’Authorization Manager (AzMan) de Windows 2003.
Les éléments de sécurité reconnus présentent une caractéristique intéressante : c’est la manière dont ils sont répliqués entre les instances d’AD. Bien qu’ils puissent s’appliquer à des milliers d’objets d’AD, seuls leurs noms sont répliqués, pas leurs appartenances. Par conséquent, vous ne pouvez pas utiliser des outils de requête et d’administration d’AD classiques pour interroger leurs appartenances. En raison de la manière dont sont utilisés les éléments de sécurité reconnus, vous n’avez pas besoin de stocker leurs appartenances. Leur rôle majeur est de fournir un SID que vous pourrez ajouter au jeton d’accès d’un utilisateur quand celui-ci se connecte à un système ou accède à une ressource. La présence d’un élément de sécurité reconnu particulier dans le jeton d’accès octroie à l’utilisateur certains privilèges sur le système ou la ressource. Pour visualiser le contenu d’un jeton d’accès, utilisez l’outil WhoAmI avec le commutateur /all (WhoAmI est livré avec Windows 2003 et avec le Microsoft Windows 2000 Resource Kit), ou un outil gratuit tel que SecTok (téléchargeable à http://www.joeware.net), comme le montre la figure 1.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.