Objectifs de conception de la sécurité

Kerberos pour corriger faiblesses vulnérabilités de NTLM. Le support par Windows
2000 de la PKI permet d’éliminer les risques inhérents aux mots de passe et l’utilisation
des cartes à  puces atténue les risques des clés privées. L’accès physique aux
disques durs est un problème croissant, surtout avec le vol des ordinateurs portables.

Pour y répondre, Microsoft a développé le nouveau système de fichier EFS (Encrypting
File System) dans Windows 2000.

Deuxièmement, Windows 2000 repose beaucoup sur des standards et des protocoles
du marché. Microsoft est en train de comprendre que les entreprises ne peuvent
pas et ne veulent pas renoncer aux autres environnements et que l’industrie a
déjà  produit de bons standards. Microsoft a donc, semble-t-il, cherché le meilleur
standard ou protocole pour chaque zone d’interaction entre les composants. Windows
2000 utilise des standards comme LDAP (Lightweight Directory Access Protocol),
Kerberos, PKCS (Public Key Cryptographic Standards), PC/SC (intégration du PC
et de la carte à  puce), X.500, DNS et IPSec (IP Security), au lieu de technologies
propriétaires comme NTLM, SAM, WINS et PPTP (que Windows 2000 supportera pour
la compatibilité amont).
L’utilisation de standards augmente automatiquement l’interopérabilité de Windows
2000 et permet de remplacer des composants de Microsoft par des solutions plus
performantes si nécessaire.

Troisièmement, Microsoft tenait à  une plate-forme qui permettrait de réduire les
coûts de développement des applications. L’éditeur avait d’ailleurs commencé dans
NT 4.0 avec SSPI (Security Support Provider Interface) et CryptoAPI. Les API de
Windows 2000 permettent aux développeurs de réutiliser des services (par exemple
des services de chiffrement) assurés par l’OS. L’abstraction des applications
du fournisseur les protège également de l’obsolescence. Les composants peuvent
être mis à  jour et améliorés au fur et à  mesure des progrès de la technologie,
sans affecter l’application.

Par exemple, une application utilisant CSP peut rapidement tirer profit du prochain
algorithme de chiffrement standard. Le paradigme de l’API facilite aussi le développement
et la mise en oeuvre de solutions tierces qui poussent Windows 2000 au-delà  de
l’imagination ou des possibilités de Microsoft. Microsoft s’efforce aussi de rendre
son serveur plus apte à  assumer les tâches stratégiques et les exigences de l’entreprise.
AD sera plus évolutif et fiable grâce à  son support des annuaires partitionnés
et de la duplication multimaître. La structure d’annuaire basée sur X.500 et l’Editeur
des stratégies de groupe (GPE) promettent d’apporter d’excellentes possibilités
d’administration des comptes utilisateurs et de configuration du système, dépassant
le niveau du département.

Enfin, pour répondre au défi de l’e-commerce, le support de la PKI dans l’ensemble
du système d’exploitation comprend le logon par carte à  puces, l’accès au Web
basé sur PKI, le réseau virtuel privé (VPN), EFS, la messagerie électronique et
Authenticode. Windows 2000 supporte ces composants grâce à  ses services de sécurité
distribués, notamment les services AD, les services de chiffrement, les services
de certificats, les services d’authentification, les protocoles de transport sécurisés,
EFS et les cartes à  puces. Voyons de plus près chacun de ces composants.