> Tech > Le contrôle d’accès dynamique sous Windows Server 2012

Le contrôle d’accès dynamique sous Windows Server 2012

Tech - Par Freddy Elmaleh - Publié le 30 avril 2014
email

Ces dernières années, nous avons organisé toute notre sécurité de données (nos ressources) autour de l’affectation de droits (ACL) à des utilisateurs suivant leur appartenance à tel ou tel groupe.

Le contrôle d’accès dynamique sous Windows Server 2012

Bien que cette méthode ait fait ses preuves, elle possède ses limites du fait qu’un accès se résume à être autorisé ou pas suivant l’appartenance aux groupes définis ou tout du moins suivant le positionnement des ACLs sur un dossier ou un fichier. La sécurité était davantage centrée sur les utilisateurs pouvant accéder à ces données qu’à la criticité de la donnée elle-même.

Avec Windows Server 2012, il est possible d’améliorer notablement cette gestion de la donnée au travers d’une nouvelle notion appelée le Contrôle d’accès dynamique (ou Dynamic Access Control (DAC)).

Le contrôle d’accès dynamique permet d’établir des autorisations d’accès en fonction de règles précises. Il permet de compléter les droits existants sur un dossier ou un fichier. Il n’a pas vocation à remplacer les ACL mais vient s’ajouter aux droits NTFS en place.

Ces règles peuvent être liées à de nombreux paramètres comme :

• Le niveau de confidentialité associé à un fichier/dossier.

• Le poste occupé par un utilisateur, sa localisation ou tout autre attribut différenciateur.

• La configuration du périphérique utilisé pour accéder aux ressources.

Il sera, ainsi, possible de donner l’accès à une ressource en fonction de sa classification. Une condition d’accès supplémentaire peut être ajoutée comme la conformité de l’ordinateur depuis lequel l’utilisateur tente d’accéder à la ressource. Ce même utilisateur, depuis un ordinateur personnel non à jour, ne pourra pas accéder à ce même fichier. La bascule de ces deux états se faisant instantanément et à la volée puisque les critères sont vérifiés au moment de l’accès à la ressource.

Les informations concernant DAC sont stockées dans l’Active Directory au niveau de CN=Claims Configuration, CN=Services, CN=Configuration, DC=domain, DC=tld et sont répliquées au sein de la forêt AD.

Un petit peu de terminologie…

Avant de pouvoir aborder DAC, présentons les différents termes à connaître.

• Revendication (Claim) : Avant de pouvoir mettre en place DAC dans votre infrastructure, un travail de fond sera nécessaire pour catégoriser vos données, leur criticité, le périmètre système autorisé (poste vu comme Conforme ou pas) pour l’accès aux fichiers, etc. Ces éléments sont rattachés à des attributs. Une revendication est un de ces attributs ; il fera toujours référence à un utilisateur (ses attributs AD), un périphérique (attributs AD de l’ordinateur) ou une ressource (propriété de ressources définies par les admins).

Cela permet ainsi de définir de façon précise les utilisateurs, périphériques et ressources à intégrer à DAC au niveau de toute l’entreprise. Lorsqu’une revendication est basée sur un compte ordinateur, l’option FAST (Kerberos Armoring) devra être activée par GPO sur les DCs du domaine. Le regroupement d’une revendication utilisateur et ordinateur forme une authentification composée (Compound ID) disponible uniquement pour Windows 8/2012.

Les revendications, ou propriétés, sont ajoutées à une liste de propriétés de ressources.

• Règle d’accès centralisé (Rule Access Policy) : C’est une expression de règles d’autorisation qui comporte une ou plusieurs conditions. Ces conditions concernent des groupes d’utilisateurs, des propriétés de ressources, des revendications d’utilisateur ou de périphérique.

• Stratégie d’accès centralisé (Central Access Policy): est une stratégie d’autorisation comportant des expressions conditionnelles, c›est-à-dire les conditions à remplir pour pouvoir accéder à la ressource (en l’occurrence le fichier). La stratégie d’accès centralisé doit être ajoutée à une règle d’accès centralisée. La règle d’accès centralisé doit alors être appliquée à tous les fichiers concernés. La stratégie d’accès centralisée est alors déployée sur tous les serveurs de fichiers.

• Expression : On parle ici d’expression conditionnelle (ou de « la puissance du IF » !). L’accès aux ressources peut être affiné grâce à la réunion de plusieurs conditions que vous pouvez définir (comme l’appartenance d’un compte à un groupe, le niveau de sécurité du poste utilisateur, etc…). Les expressions se définissent au niveau des Paramètres de sécurité avancés du fichier/dossier ou de l’éditeur de règles d’accès centralisées.

Pour utiliser DAC, deux approches sont possibles :

• Il est possible de définir des règles et stratégies d’accès centralisé, au niveau de l’AD et ces dernières seront les seules utilisées pour autoriser l’accès à une ressource ou pas.

• La seconde méthode est de créer et intégrer des revendications dans les listes de contrôles d’accès existantes (ACLs).

Ce cas est utile notamment pour les fichiers stockés sur un système de fichier ReFS car celui-ci ne supporte pour l’instant pas de stratégie d’accès.

En terme de prérequis…

• Le niveau fonctionnel de la forêt doit au moins être Windows Server 2003.

• DAC nécessite au moins un contrôleur de domaine sous Windows Server 2012.

• Les serveurs de fichiers pour lesquels vous souhaitez utiliser une authentification basée sur les revendications, doivent également utiliser Windows Server 2012. Le rôle File Server Resource Manager (FSRM) doit être installé sur ces serveurs de fichiers.

• Un client sous Windows RT/8/2012 si l’accès se base sur les revendications et que vous cherchez à utiliser les attributs sur l’objet Ordinateur. Autrement, les clients sous Windows 7/2008 R2 fonctionnent aussi.
• Un client sous Windows RT/8/2012 devra avoir accès à un contrôleur de domaine sous Windows Server 2012 sur les sites distants

• Si l’utilisateur ne se trouve pas dans la même forêt que le serveur de fichiers, tous les contrôleurs de domaine du domaine racine du serveur de fichiers doivent utiliser Windows Server 2012.

Comme vous le voyez, plusieurs nouvelles notions sont à appréhender mais le gain en termes de sécurité pure des données peut être très intéressant.

Prenons l’exemple du service Ressources Humaines (RH) d’une grande entreprise ayant plusieurs pays regroupés autour d’un même domaine Active Directory. Les fichiers RH de chaque pays ne doivent être consultés en lecture seule que par le service RH de chaque pays respectif. Un service central RH pourra quant à lui accéder aux fichiers RH de tous les pays.

Téléchargez gratuitement cette ressource

Guide de Migration Windows Server 2008

Guide de Migration Windows Server 2008

L’année 2019 marque la fin de vie de Windows Server 2008/2008 R2 et SQL Server 2008/2008 R2, deux briques très populaires dans l’offre Microsoft et largement adoptées en France par des entreprises de toute taille. Il y a urgence à étudier les solutions possibles, découvrez-les dans ce Guide Thématique.

Tech - Par Freddy Elmaleh - Publié le 30 avril 2014