Evolution des services de sécurité de Windows Server 2008

Les services de certificats Active Directory (AD CS – Active Directory Certificate Services) inclus dans Windows Server 2008 sont une évolution majeure des services de certificats déjà présents sous Windows Server 2003. Bien sûr, ils fournissent l’ensemble des services d’une infrastructure à clés publiques pour émettre et gérer des certificats X.509 v3 utiles et nécessaires à la mise en oeuvre des mécanismes cryptographiques de différents types d’entités que sont les systèmes Windows, non-Windows ainsi que les utilisateurs ou les applications.

Pour rappel, les certificats émis par les autorités de certification Windows Server 2003 et 2008 peuvent être utilisés pour l’authentification des utilisateurs et des ordinateurs et pour l’usage d’applications telles que les accès aux sites Web sécurisés via SSL ou la messagerie électronique. Les Autorités de Certification d’entreprise sont enregistrées au sein de la configuration Active Directory et supportent des fonctionnalités intéressantes telles que l’enrôlement et le renouvellement automatique des certificats pour les machines Windows XP, Windows Vista, les serveurs tels que les contrôleurs de domaine Active Directory, mais aussi pour les utilisateurs. Les services de certificats AD CS permettent aussi, via le support du protocole Kerberos, les ouvertures de session et authentifications par cartes à puce (SmartLogon).

Enfin, parmi les fonctions offertes par les autorités fonctionnant sous Windows Server, il est important de découvrir les fonctionnalités avancées suivantes :
• La gestion de l’archivage et de la récupération des clés privées de manière centralisée.
• La mise à disposition des listes de révocation de certificats « delta » pour toutes les applications utilisant l’interface CryptoAPI sous Windows XP Professionnel, Windows Vista et les systèmes de la famille Windows Server 2003 et 2008. Cette méthode minimise les trafics sur le réseau en réduisant le nombre de téléchargements de listes de révocation de certificats trop longues. Lorsque l’opération se produit, le poste client télécharge la liste delta la plus récente et l’associe à la dernière liste de base pour disposer d’une liste complète.
• Le support des certifications croisées, lesquelles permettent d’établir des relations d’approbation entre des autorités de certification appartenant à des hiérarchies d’approbation distinctes afin de permettre à un certificat d’être utilisé dans des hiérarchies de certification différentes de celle d’origine.
• Le support de la subordination qualifiée. Cette possibilité permet d’imposer des contraintes d’émission de certificat à des autorités de certification subordonnées. Il est ainsi possible d’imposer des contraintes d’utilisation aux certificats délivrés par ces autorités et ainsi de restreindre le pouvoir des autorités de certification subordonnées en fonction des besoins.
• La séparation des rôles. Cette fonctionnalité interdit à un utilisateur d’effectuer une opération d’administration s’il détient plus d’un rôle sur la dite autorité. De cette manière, l’éventuelle compromission du compte en question ne pourra mettre en danger l’ensemble de l’autorité.
• L’audit des événements. Cette option, disponible uniquement sur les autorités de certification fonctionnant sous Windows Server 2003 Edition Entreprise ou Windows Server 2008 Edition Entreprise permet d’enregistrer les événements relatifs à l’activité de l’autorité de certification tels que l’émission des certificats ou les changements de rôles.

Pourquoi utiliser une PKI Microsoft Windows Server plutôt qu’une autre ?
Les services de certificats inclus dans Windows Server 2008 présentent de nombreux avantages qui intéresseront à plus d’un titre les administrateurs des infrastructures sécurisées fonctionnant sous Windows.