La proposition de valeur d’une infrastructure d’authentification forte basée sur des technologies Microsoft

de certification Microsoft capable d’émettre des certificats X509 a été proposée par l’Option Pack de Windows NT 4.0 ! Conscient des nombreux problèmes de sécurité et des demandes exprimées par les clients, il est évident que Microsoft s’oriente très fortement vers l’élimination des mots de passe et vers la généralisation de l’utilisation de l’authentification forte à deux ou trois facteurs. Il n’est donc pas surprenant de constater que Microsoft intègre dans ses nouveaux systèmes d’exploitation, les moyens de gérer nativement les cartes à puce ou les facteurs biométriques.

Nous pouvons globalement découper en trois parties les briques d’infrastructure proposées par Micro – soft afin de gérer l’authentification forte au sein des organisations :

– Eléments fournis avec le poste de travail Windows:

• Le Minidriver et la DLL BaseCSP.dll représentent un framework générique pour gérer les cartes à puces des différents fournisseurs et propose un moyen unique de dialoguer avec celles-ci. La plupart des différents « minidrivers » des fournisseurs de « smartcard » sont maintenant intégrés au système de mise à jour de Microsoft « Windows Update ».
• Le Framework de Biométrie apporté par Windows 7, fournit de la même façon une vision unifiée de la gestion des périphériques de biométrie de type « gestion des empreintes digitales ». Ce framework de biométrie s’accompagne d’un ensemble de Stratégies de Groupe pour faciliter l’administration centralisée depuis Active Directory.

– Eléments fournis avec Windows Server :

• Le premier support nécessaire est le service d’annuaire fourni par Active Directory, permettant le stockage et la gestion des mots de passe en tant que premier facteur d’authentification. De plus, Active Directory permet une gestion centralisée de la politique d’authentification globale au travers des Stratégies de Groupe : par exemple, il sera possible de forcer l’utilisation de la smartcard pour l’authentification des utilisateurs.
• L’autorité de certification proposant le collecteur d’émission et de gestion basique des certificats au sein de l’organisation. Concernant les besoins liés à l’authentification à deux facteurs, l’émission de certificats de type X509 sera réalisée depuis l’autorité de certification, puis les certificats seront stockés sur la carte à puce.

– Eléments complémentaires :

• Forefront Identity Manager 2010 représente la brique serveur permettant la gestion du cycle de vie des certificats émis pour l’authentification forte. FIM 2010 est constitué d’un portail web, d’un workflow à destination des utilisateurs finaux, d’un connecteur avec le moteur de provisionnement et d’un module client permettant la gestion et l’inscription des certificats directement sur les cartes à puces des utilisateurs.
• Forefront Unified Access Gateway est une solution de sécurité péri métrique proposant des services extrêmement innovants en termes d’authentification forte pour les utilisateurs se trouvant en dehors du réseau de l’entreprise.

En effet, UAG possède un système évolutif de gestion des authentifications permettant l’intégration de l’authentification à deux, et même, à trois facteurs.