Par Jan de Clercq
Les logiciels de Microsoft sont faciles à utiliser, mais la généralisation d'Internet oblige la firme à sécuriser suffisamment ses logiciels pour qu'ils puissent fonctionner dans un réseau public. Au cours des dernières années, Microsoft a beaucoup travaillé pour relever ce défi.
Les réseaux Windows 2000 utilisent Kerberos, un standard de sécurité ouvert éprouvé, améliorent la gestion de la sécurité avec les GPO (Group Policy Objects) et le jeu d'outils MMC (Microsoft Management Console) Security Configuration, étendent la sécurité aux protocoles de « tunnelisation », comme L2TP (Layer 2 Tunneling Protocol) et IPSec (IP Security), et offrent un modèle de contrôle d'accès granulaire. Windows .NET Server et les produits clients Windows XP (ancien nom de code : Whistler) poussent encore plus loin la sécurité. J'ai utilisé .NET Server bêta 2 et XP Professional bêta 2 pour prévisualiser les fonctions nouvelles et améliorées qui rendront les réseaux sous Windows encore plus sûrs.
L’obligation pour les utilisateurs de Win2K et des anciens OS de réentrer leurs références chaque fois qu’ils accèdent à des ressources à partir d’un serveur Internet ou intranet « untrusted » est contraignante. Elle l’est encore plus pour les utilisateurs à références multiples – par exemple, des références ID et mots de passe utilisateurs supplémentaires, des références Microsoft Passport et des références de clé privée fondées sur une carte intelligente.
Les administrateurs éprouvent les mêmes difficultés quand ils doivent utiliser des références différentes pour diverses tâches administratives. Bien qu’il existe des solutions propres à chaque application (comme le mécanisme de cache de référence d’Internet Explorer), Microsoft intègre une solution universelle dans les OS .NET Server et XP Pro (ainsi que dans XP Home Edition) : Credential Manager (gestionnaire des références), une solution SSO (single sign-on) de type client qui utilise un mécanisme de cache de référence intelligent.
Credential Manager garde les références utilisateurs dans un stockage des références côté client. Il suffit qu’un utilisateur entre ses « références primaires » (c’est-à -dire celles qu’il soumet habituellement pour se connecter localement ou à un domaine), pour déverrouiller son stockage des références et accéder aux ressources (c’est-à -dire les cibles) auxquelles ces références s’appliquent. Une cible peut être un nom DNS, un nom NetBIOS, ou une adresse http et peut contenir des jokers (*.compaq. com, par exemple). Un jeu de références dans une mappe de cibles de références peut prendre l’une des trois formes suivantes : une ID et mot de passe utilisateur, une ID utilisateur et un certificat et une clé privée, ou un jeu de références Passport. Les références fondées sur des certificats et des clés privées peuvent être stockées sur un disque dur ou une carte intelligente. Comme le stockage des références fait partie du profil d’un utilisateur, le « roaming » est possible. L’API Data Protection (DPAPI) sécurise l’accès au contenu du stockage des références. (Pour désactiver le stockage des références côté client, les administrateurs peuvent sélectionner Network Access : do not allow credential manager to save passports or credentials for domain authentication dans le conteneur GPO Windows Settings\Security Settings\LocalPolicies\Security Options.)
On peut accéder aux mappes cibles de références par divers moyens : l’applet Windows Key Ring du poste de travail de .NET Server, l’applet User Account du Poste de travail de XP et la boîte de dialogue Common Credential Collection. Les applets Windows Key Ring et User Accounts permettent de visualiser et de modifier les mappages des cibles de références du stockage des références et leurs propriétés. La boîte de dialogue Common Credential Collection surgit quand l’OS constate qu’il ne peut pas utiliser les références primaires pour atteindre une cible particulière. La boîte de dialogue demande à l’utilisateur d’autres références, tout en proposant de les ajouter au stockage des références.
Téléchargez cette ressource
*** SMART DSI *** VERSION NUMÉRIQUE
Découvrez SMART DSI, la nouvelle revue du Décideur IT en version numérique. Analyses et dossiers experts pour les acteurs de la transformation numérique de l'entreprise, Gagnez en compétences et expertise IT Professionnelle avec le contenu éditorial premium de SMART DSI.
