> Tech > Windows 2000 et la sécurité

Windows 2000 et la sécurité

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

Beaucoup de nouvelles fonctions de Windows 2000 concernent la sécurité. A la vue des nouvelles fonctions comme Kerberos, Active Directory (AD) et le support intégré de l'infrastructure des clés publiques (PKI), on pourrait penser que Microsoft a remplacé la plus grande partie de l'architecture de la sécurité Windows NT. Mais, en fait, Microsoft a exploité beaucoup de fonctions de sécurité originales de NT. Malgré l'arrivée de Kerberos, AD et de la PKI, le coeur de la sécurité de Windows 2000 s'appuie sur l'infrastructure de NT 4.0. Microsoft a conçu l'architecture de sécurité de NT 4.0 avec l'évolutibilité à  l'esprit. C'est ainsi que l'on trouve des limites bien définies entre les modules et plusieurs API permettant d'ajouter des éléments de fonctionnalité (par exemple les services de chiffrement, d'authentification) sans affecter le reste du système d'exploitation.

Cet article présente l'architecture de la sécurité Windows 2000. Je commencerai par expliquer comment la sécurité de Windows 2000 a évolué depuis NT 4.0, les problèmes de NT 4.0 résolus par Windows 2000 et d'autres objectifs de conception contribuant à  l'ambition de Microsoft de faire de Windows 2000 le système d'exploitation pour l'e-commerce. J'examinerai ensuite chacun des composants de l'architecture et la place qu'il occupe dans ce tableau global.

Windows 2000 et la sécurité

Pour comprendre l’architecture de sécurité de Windows 2000, il faut revenir à 
NT 4.0, conçu par Microsoft pour résoudre plusieurs problèmes communs au LAN.
NT 4.0 a apporté un seul logon au réseau (du moins pour tous les systèmes Windows)
et une certaine centralisation de l’administration grâce aux domaines.
Microsoft a conçu le composant GINA (Graphical Identification and Authentication),
les packages de notification de changement des mots de passe, et le composant
CSP (Cryptographic Service Provider) dans NT pour permettre l’évolutibilité. GINA
est chargé d’accepter les références des utilisateurs à  l’ouverture de session.
Pour répondre à  d’autres fonctions de logon nécessaires, comme l’affichage de
la dernière connexion d’un utilisateur ou l’ouverture de session unique (single
sign-on – SSO), vous pouvez mettre en oeuvre votre propre GINA.

Par exemple, Novell a implémenté un GINA customisé pour IntraNetWare. Les packages
de notification de mots de passe sont des DLL plug-ins qui permettent de saisir
de nouveaux mots de passe pour la synchronisation avec d’autres environnements
afin d’imposer des règles et de rendre les mots de passe difficiles à  deviner.
Microsoft File and Print Services pour NetWare (FPNW) a été parmi les tout premiers
utilisateurs d’un package de notification. L’interface CSP permet aux applications
d’outsourcer leurs besoins de chiffrement auprès de système d’exploitation L’interface
CSP permet aux applications d’outsourcer leurs besoins de chiffrement auprès de
système d’exploitation.

Au fur et à  mesure que de nouveaux standards de chiffrement émergent ou si les
utilisateurs non-américains déploient l’application, cette dernière utilisera
la méthode de chiffrement appropriée sans affecter son implémentation. On peut
même remplacer des composants de base tels que la base de donnée SAM grâce à  des
interfaces bien définies entre chaque composant. Novell a remplacé des composants
de base par NDS (Novell Directory Services) pour NT, qui assure une intégration
étroite de NDS et NT. Windows NT 4.0 a donc posé de solides fondations pour la
sécurité, mais comme les administrateurs insistaient pour mettre NT au service
de l’entreprise, ils ont reconnu plusieurs insuffisances. Il n’existait pas de
SSO distribué sans produits add-ons compliqués.

De nombreuses failles de sécurité de NT avaient pour origine la compatibilité
amont avec LAN Manager. La délégation (possibilité d’attribuer à  un autre utilisateur
des privilèges administratifs limités sur un ensemble de comptes limités) était
très nettement insuffisante.

Par exemple, on ne pouvait pas donner au personnel du Help desk le droit de redéfinir
des mots de passe pour les comptes d’utilisateurs sans en faire des administrateurs
avec tous les droits associés. On ne pouvait pas modéliser correctement la hiérarchie
de l’organisation et la structure administrative avec de simples domaines NT.

Plusieurs autres problèmes d’évolutivité se posaient à  NT 4.0, comme le nombre
d’utilisateurs pouvant être gérés par un domaine. NT 4.0 n’avait pas de place
pour mettre des informations sur les comptes d’utilisateurs spécifiques aux applications.

La fonctionnalité de la PKI (rudimentaire) de NT se limitait aux environnements
Web et à  un vague support des communications basées sur Microsoft Exchange Server,
mais la PKI n’était pas complètement intégrée.Microsoft a conçu Windows 2000 en
se fixant plusieurs objectifs pour corriger les faiblesses de NT 4.0 et répondre
aux besoins de l’e-commerce

Téléchargez gratuitement cette ressource

Le Guide d’Orchestration du Parcours client

Le Guide d’Orchestration du Parcours client

Au-delà de la clarification des nouveaux concepts de gestion du parcours client, ce guide vous permettra de définir, créer et mettre œuvre une orchestration complète articulée autour des trois volets essentiels au succès de l’expérience client et de l’entreprise.

Tech - Par iTPro.fr - Publié le 24 juin 2010