Les canaux sécurisés sont un élément important des relations d'approbation entre
domaines NT 4.0. Ils doivent donc être gérés de façon efficace, ce qui est possible
avec les outils fournis par Microsoft dans le Kit de ressources de Windows NT
Server.
Les administrateurs
établissent des relations d'approbation entre domaines en donnant aux utilisateurs
d'un domaine l'autorisation d'accéder aux ressources d'un autre sans qu'ils doivent
se connecter au second. Les postes de travail NT établissent des canaux sécurisés
localement avec les contrôleurs de domaine et les contrôleurs de domaine en font
de même entre eux. Dans des canaux sécurisés, entre domaines, le contrôleur de
domaine de chaque domaine approbateur (ressources) établit un canal sécurisé avec
le contrôleur de domaine du domaine approuvé (maître). Les canaux sécurisés permettent
aux contrôleurs de domaines de s'échanger des communications en toute confiance
et de valider les requêtes des utilisateurs d'accéder aux ressources des domaines
approbateurs.
Les
canaux sécurisés entre les domaines maître et de ressources sont importants. Pour
bien comprendre ce type de canaux sécurisés, vous devez connaître le processus
de découverte des canaux sécurisés, l'édition du Registre permettant de sécuriser
encore les canaux et les utilitaires d'administration de domaines permettant de
surveiller et rétablir les canaux sécurisés.
Les canaux sécurisés permettent aux contrôleurs de domaines
de s'échanger des communications en toute confiance
Les canaux sécurisés de Windows NT 4.0
Lorsqu’un contrôleur de domaines du domaine de ressources démarre, il tente de
découvrir et d’établir un canal sécurisé avec un contrôleur de domaine du domaine
maître. Le processus d’établissement du canal sécurisé est complexe.
Premièrement, lorsqu’un administrateur installe un contrôleur de domaine, le système
crée un compte de machine unique pour l’ordinateur et lui affecte un mot de passe.
La LSA (Logical Security Authority) stocke ce mot de passe dans le fichier caché
$machine.acc. Par défaut, le système change le mot de passe tous les 7 jours.
Deuxièmement, le contrôleur de domaine du domaine de ressources utilise son type
de noeud de résolution de noms pour obtenir une liste des contrôleurs de domaines
maîtres. Si la machine est un client WINS, elle envoie des requêtes aux serveurs
WINS désignés ; les clients NETBEUI utilisent des transmissions en mode broadcast
ou des valeurs du fichier LMHOST. Le type de noeud de résolution de noms détermine
comment NetBIOS sur TCP/IP identifie et accède les ressources du réseau. Parmi
les types de noeuds, on trouve les noeuds b, p, m et n. Pour les machines NT utilisant
DHCP, l’administrateur peut configurer le serveur DHCP pour qu’il affecte un de
ces types de noeuds.Les noeuds b utilisent des messages diffusés (broadcast) pour
résoudre les noms. La machine envoie un message pour chercher l’ordinateur avec
lequel il veut communiquer et attend une certaine durée de temps de recevoir une
réponse. Le noeud b est le type par défaut pour les machines non configurées pour
utiliser WINS.
Les noeuds p utilisent les communications point à point et un serveur de noms pour
la résolution des noms. Dans ce type de noeud, toutes les machines s’enregistrent
sur le serveur WINS.Les noeuds m utilisent une méthode mixte qui utilise les noeuds
b et p. Si la résolution de noms ne fonctionne pas avec le noeud b, la machine
utilise le p pour résoudre le nom.Les noeuds h utilisent une méthode mixte basée
sur b et p. Ce type de noeud est le type par défaut pour les machines configurées
pour utiliser WINS. Si la résolution de noms ne fonctionne pas avec le noeud p
parce que le nom n’est pas dans la base de données ou que le serveur WINS n’est
pas disponible, la machine utilise le noeud b pour résoudre les noms.La liste des
contrôleurs de domaine maîtres qu’obtient le contrôleur de domaine est triée selon
un ordre précis. Le PDC est toujours en premier. Ensuite, on trouve les contrôleurs
de domaine enregistrés auprès du serveur WINS, dans l’ordre de leur rafraîchissement
(le plus récent en premier). Les derniers contrôleurs de domaine de la liste sont
ceux qui ne s’y trouvent que parce que les serveurs WINS les répliquent.
Dans la troisième étape de l’établissement d’un canal sécurisé, le contrôleur
du domaine de ressources cherche à obtenir la validation de son compte de machine.
Le contrôleur de domaine envoie un broadcast de demande de connexion localement,
puis une requête Netlogon vers tous les contrôleurs de domaine.
Quatrièmement, le contrôleur du domaine de ressources établit une connexion sur
un canal sécurisé avec le premier contrôleur de domaine maître qui valide sa demande
Netlogon. Généralement, le contrôleur de domaine qui répond à la requête le plus
rapidement est celui qui se trouve le plus proche physiquement du contrôleur de
domaine de ressources, ou celui qui a la liaison la plus rapide. Le canal sécurisé
n’est constitué que dès lors que chaque ordinateur s’est correctement identifié
via son compte machine.
Dès lors qu’il existe un canal sécurisé entre un contrôleur de domaine de ressources
et un contrôleur de domaine maître, les demande de connexion des comptes utilisateurs
passent du contrôleur de domaine de ressources au contrôleur de domaine maître.
Le système doit recommencer le processus de découverte si le canal sécurisé est
interrompu ou qu’un des contrôleurs de domaine ou le service Netlogon s’interrompt
et redémarre.
Téléchargez cette ressource
Comment lutter contre le Phishing ?
Dans un environnement cyber en constante mutation, le phishing évolue vers des attaques toujours plus sophistiquées combinant IA, automatisation et industrialisation. Découvrez les réponses technologiques préconisées par les experts Eviden et les perspectives associées à leur mise en œuvre.
