> Tech > Les canaux sécurisés de Windows NT 4.0

Les canaux sécurisés de Windows NT 4.0

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Les canaux sécurisés sont un élément important des relations d'approbation entre domaines NT 4.0. Ils doivent donc être gérés de façon efficace, ce qui est possible avec les outils fournis par Microsoft dans le Kit de ressources de Windows NT Server. Les administrateurs établissent des relations d'approbation entre domaines en donnant aux utilisateurs d'un domaine l'autorisation d'accéder aux ressources d'un autre sans qu'ils doivent se connecter au second. Les postes de travail NT établissent des canaux sécurisés localement avec les contrôleurs de domaine et les contrôleurs de domaine en font de même entre eux. Dans des canaux sécurisés, entre domaines, le contrôleur de domaine de chaque domaine approbateur (ressources) établit un canal sécurisé avec le contrôleur de domaine du domaine approuvé (maître). Les canaux sécurisés permettent aux contrôleurs de domaines de s'échanger des communications en toute confiance et de valider les requêtes des utilisateurs d'accéder aux ressources des domaines approbateurs.

Les canaux sécurisés entre les domaines maître et de ressources sont importants. Pour bien comprendre ce type de canaux sécurisés, vous devez connaître le processus de découverte des canaux sécurisés, l'édition du Registre permettant de sécuriser encore les canaux et les utilitaires d'administration de domaines permettant de surveiller et rétablir les canaux sécurisés.

Les canaux sécurisés permettent aux contrôleurs de domaines de s'échanger des communications en toute confiance

Lorsqu’un contrôleur de domaines du domaine de ressources démarre, il tente de
découvrir et d’établir un canal sécurisé avec un contrôleur de domaine du domaine
maître. Le processus d’établissement du canal sécurisé est complexe.

Premièrement, lorsqu’un administrateur installe un contrôleur de domaine, le système
crée un compte de machine unique pour l’ordinateur et lui affecte un mot de passe.
La LSA (Logical Security Authority) stocke ce mot de passe dans le fichier caché
$machine.acc. Par défaut, le système change le mot de passe tous les 7 jours.

Deuxièmement, le contrôleur de domaine du domaine de ressources utilise son type
de noeud de résolution de noms pour obtenir une liste des contrôleurs de domaines
maîtres. Si la machine est un client WINS, elle envoie des requêtes aux serveurs
WINS désignés ; les clients NETBEUI utilisent des transmissions en mode broadcast
ou des valeurs du fichier LMHOST. Le type de noeud de résolution de noms détermine
comment NetBIOS sur TCP/IP identifie et accède les ressources du réseau. Parmi
les types de noeuds, on trouve les noeuds b, p, m et n. Pour les machines NT utilisant
DHCP, l’administrateur peut configurer le serveur DHCP pour qu’il affecte un de
ces types de noeuds.Les noeuds b utilisent des messages diffusés (broadcast) pour
résoudre les noms. La machine envoie un message pour chercher l’ordinateur avec
lequel il veut communiquer et attend une certaine durée de temps de recevoir une
réponse. Le noeud b est le type par défaut pour les machines non configurées pour
utiliser WINS.

Les noeuds p utilisent les communications point à  point et un serveur de noms pour
la résolution des noms. Dans ce type de noeud, toutes les machines s’enregistrent
sur le serveur WINS.Les noeuds m utilisent une méthode mixte qui utilise les noeuds
b et p. Si la résolution de noms ne fonctionne pas avec le noeud b, la machine
utilise le p pour résoudre le nom.Les noeuds h utilisent une méthode mixte basée
sur b et p. Ce type de noeud est le type par défaut pour les machines configurées
pour utiliser WINS. Si la résolution de noms ne fonctionne pas avec le noeud p
parce que le nom n’est pas dans la base de données ou que le serveur WINS n’est
pas disponible, la machine utilise le noeud b pour résoudre les noms.La liste des
contrôleurs de domaine maîtres qu’obtient le contrôleur de domaine est triée selon
un ordre précis. Le PDC est toujours en premier. Ensuite, on trouve les contrôleurs
de domaine enregistrés auprès du serveur WINS, dans l’ordre de leur rafraîchissement
(le plus récent en premier). Les derniers contrôleurs de domaine de la liste sont
ceux qui ne s’y trouvent que parce que les serveurs WINS les répliquent.

Dans la troisième étape de l’établissement d’un canal sécurisé, le contrôleur
du domaine de ressources cherche à  obtenir la validation de son compte de machine.
Le contrôleur de domaine envoie un broadcast de demande de connexion localement,
puis une requête Netlogon vers tous les contrôleurs de domaine.

Quatrièmement, le contrôleur du domaine de ressources établit une connexion sur
un canal sécurisé avec le premier contrôleur de domaine maître qui valide sa demande
Netlogon. Généralement, le contrôleur de domaine qui répond à  la requête le plus
rapidement est celui qui se trouve le plus proche physiquement du contrôleur de
domaine de ressources, ou celui qui a la liaison la plus rapide. Le canal sécurisé
n’est constitué que dès lors que chaque ordinateur s’est correctement identifié
via son compte machine.

Dès lors qu’il existe un canal sécurisé entre un contrôleur de domaine de ressources
et un contrôleur de domaine maître, les demande de connexion des comptes utilisateurs
passent du contrôleur de domaine de ressources au contrôleur de domaine maître.
Le système doit recommencer le processus de découverte si le canal sécurisé est
interrompu ou qu’un des contrôleurs de domaine ou le service Netlogon s’interrompt
et redémarre.

Téléchargez gratuitement cette ressource

Guide de Cloud Privé Hébergé

Guide de Cloud Privé Hébergé

Comment permettre aux entreprises de se focaliser sur leur cœur de métier, de gagner en agilité, réactivité et résilience en s’appuyant sur un socle informatique performant, évolutif et sécurisé ? Découvrez les avantages des solutions de Cloud Privé hébergé de la CPEM.

Tech - Par iTPro.fr - Publié le 24 juin 2010