Exporter (0) Imprimer
Développer tout
3 sur 4 ont trouvé cela utile - Évaluez ce sujet

Guide de planification de la sécurisation des accès par carte à puce

Présentation

Dernière mise à jour le 16/05/2006

Dans cet article
Téléchargez
DownloadThe Security Monitoring and Attack Detection Planning Guide (Guide de planification de la surveillance de la sécurité et de la détection des attaques)

Les administrateurs prennent de plus en plus conscience des risques qu'implique l'utilisation exclusive de noms d'utilisateurs et de mots de passe pour l'authentification réseau. Les pirates peuvent deviner les noms d'utilisateurs ou utiliser des informations accessibles à tous, telles qu'une adresse électronique sur une carte de visite, pour trouver un nom d'utilisateur. Lorsque le pirate est en possession d'un nom d'utilisateur, le seul mécanisme de sécurité restant n'est autre que le mot de passe.

Les secrets uniques comme les mots de passe peuvent constituer des contrôles de sécurité efficaces. Un mot de passe de plus de dix caractères, constitué de façon aléatoire de lettres, de chiffres et de caractères spéciaux peut être très difficile à déchiffrer. Malheureusement, pour les utilisateurs, ce type de mot de passe n'est pas toujours facile à retenir. Cela est en partie dû aux limites du genre humain.

Dans une étude, publiée dans la revue The Psychological Review (1956), George A. Miller conclut que le cerveau humain a une mémoire à court terme qui ne permet de retenir qu'entre cinq et neuf caractères aléatoires, la moyenne étant de sept caractères. Toutefois, dans la plupart des conseils sur la sécurité, il est recommandé d'utiliser des mots de passe aléatoires d'au moins huit caractères. Comme les utilisateurs (dans leur grande majorité) ne peuvent pas retenir un mot de passe aléatoire de huit caractères, la plupart le notent sur un bout de papier.

Les utilisateurs ne sont en général pas très prudents lorsqu'ils notent leurs mots de passe et donnent ainsi l'occasion aux pirates de compromettre l'intégrité de leurs informations d'identification. En l'absence de recommandations concernant l'utilisation d'un mot de passe complexe, les utilisateurs ont tendance à opter pour des mots de passe faciles à retenir, tels que « password », « motdepasse » ou d'autres mots faciles à deviner.

Les phrases de passe sont des mots de passe plus longs que les utilisateurs retiennent plus facilement. Microsoft® Windows® 2000 et les versions ultérieures de Windows prennent en charge des mots de passe pouvant compter jusqu'à 127 caractères. Une phrase de passe forte telle que « J'aime le football à 5 ! » donne beaucoup plus de fil à retordre aux outils qui utilisent des méthodes d'attaque en force des mots de passe. Par ailleurs, pour les utilisateurs, ces phrases de passe sont beaucoup plus faciles à retenir qu'un mélange aléatoire de lettres et de chiffres.

Les systèmes d'authentification à deux facteurs permettent de pallier le problème de l'authentification par secret unique en exigeant un second secret. L'authentification à deux facteurs combine les éléments suivants :

  • Un élément que possède l'utilisateur, tel qu'un jeton matériel ou une carte à puce.

  • Un élément que l'utilisateur connaît, comme un numéro d'identification personnel (PIN).

Les cartes à puce et leurs codes PIN associés constituent une forme d'authentification à deux facteurs fiable et économique de plus en plus répandue. Lorsque les contrôles appropriés sont mis en place, l'utilisateur doit posséder une carte à puce et connaître le code PIN de cette dernière pour accéder aux ressources réseau. L'authentification à deux facteurs réduit considérablement les risques d'accès non autorisé au réseau de l'entreprise.

Les cartes à puce permettent un contrôle de sécurité particulièrement efficace dans les deux scénarios suivants : pour sécuriser les comptes d'administrateurs et pour sécuriser l'accès distant. Ce guide met l'accent sur ces deux scénarios, considérant ces zones comme prioritaires dans le cadre de la mise en œuvre des cartes à puce.

Comme les comptes d'administrateurs possèdent des droits d'utilisateur étendus, si l'un de ces comptes est compromis, un intrus peut accéder à l'ensemble des ressources réseau. Il est primordial de protéger les comptes d'administrateurs, car le vol des informations d'identification de ce type de compte compromet l'intégrité du domaine, voire de l'ensemble de la forêt, ainsi que de toute autre forêt d'approbation. L'authentification à deux facteurs est primordiale pour authentifier l'administrateur.

Les entreprises peuvent se doter d'une couche de sécurité supplémentaire en mettant en œuvre des cartes à puce pour les utilisateurs qui requièrent une connexion à distance aux ressources réseau. L'authentification à deux facteurs revêt une grande importance avec les utilisateurs distants car pour les connexions à distance, il est impossible de fournir un contrôle d'accès physique. L'authentification à deux facteurs avec des cartes à puce peut permettre d'élever le niveau de sécurité du processus d'authentification des utilisateurs distants, lorsque ceux-ci se connectent au réseau via des liaisons de type réseau privé virtuel (VPN).

Sur cette page

Défi pour l'entreprise Défi pour l'entreprise
Avantages pour l'entreprise Avantages pour l'entreprise
À qui s'adresse ce guide À qui s'adresse ce guide
Connaissances préalables Connaissances préalables
Présentation du guide de planification Présentation du guide de planification

Défi pour l'entreprise

La compromission de l'intégrité des informations d'identification du compte d'administrateur sur des ordinateurs faisant partie d'un domaine risque de compromettre l'intégrité de l'ensemble du domaine, de la forêt dans laquelle il réside et des autres forêts et domaines qui entretiennent des relations d'approbation avec cette forêt. La compromission de comptes d'accès distant peut donner à des pirates externes un accès à des informations sensibles via des connexions à distance ou VPN.

Le défi que constitue la protection des connexions d'administrateurs et d'accès à distance consiste à fournir un niveau de sécurité qui ne compromet pas l'utilisabilité. Une entreprise qui met en œuvre une authentification à deux facteurs ne peut pas fonctionner de façon optimale si les utilisateurs ne parviennent pas à accéder aux informations dont ils ont besoin pour accomplir leurs tâches. Il est donc primordial de trouver le bon équilibre entre l'authentification à deux facteurs et l'utilisabilité.

Avantages pour l'entreprise

L'utilisation de cartes à puce pour sécuriser les comptes stratégiques peut présenter les avantages suivants :

  • Plus grande protection des données sensibles. Les cartes à puce permettent de réduire les risques d'accès non autorisé via des informations d'identification volées car le pirate doit non seulement dérober la carte à puce, mais également obtenir le code PIN associé.

  • Sécurité accrue des informations de connexion. Les cartes à puce utilisent des certificats numériques pour les informations de connexion. Ceux-ci sont particulièrement difficiles à falsifier.

  • Niveaux plus élevés de respect des réglementations. La possibilité de confirmer l'identité de l'utilisateur connecté accroît la crédibilité des journaux contrôlés.

  • Faible probabilité de répudiation. Avec l'authentification par carte à puce, les utilisateurs peuvent plus difficilement nier leurs actions.

  • Meilleure intégration avec les systèmes de gestion d'accès. Pour gérer l'accès physique, certaines cartes à puce fonctionnent comme des cartes d'accès, comme celles qui permettent d'ouvrir des portes donnant accès à un site physique et aux différentes zones de ce site. La combinaison carte à puce/carte d'accès permet de contrôler plus facilement le niveau d'accès réseau et physique exact d'un utilisateur ou d'un administrateur, ainsi que de réduire les craintes d'une atteinte à la sécurité.

À qui s'adresse ce guide

Ce guide s'adresse aux décisionnaires techniques, aux architectes système d'entreprise et aux administrateurs de sécurité d'entreprise qui envisagent de planifier, de déployer ou de mettre en œuvre des liaisons d'accès à distance et une sécurité réseau. Il apportera aussi une aide précieuse aux consultants désireux de planifier, de déployer ou de mettre en œuvre des réseaux Windows.

Les informations contenues dans ce guide s'appliquent aux entreprises de toutes tailles qui requièrent une protection des identités et un contrôle d'accès aux données fiables.

Connaissances préalables

Pour comprendre les solutions présentées dans ce guide, vous devez connaître et avoir assimilé les technologies et sujets suivants dans Microsoft Windows Server™ 2003 :

  • Routage et accès distant, ce qui inclut les composants VPN

  • Services de certificats et infrastructure à clé publique (PKI)

  • Service d'annuaire Active Directory®

  • Stratégie de groupe

Ce guide traite des quadrants du modèle de processus Exploitation et Support dans le cadre du Microsoft Operations Framework (MOF). Il aborde également les fonctions de gestion de service (SMF) Administration de la sécurité et Gestion des incidents dans le cadre du MOF. Pour plus d'informations sur le MOF, reportez-vous au site Web Microsoft Operations Framework.

Présentation du guide de planification

Ce guide comprend quatre chapitres. Ils mettent tous l'accent sur les concepts requis et les problèmes rencontrés lors de la planification d'une solution d'authentification par carte à puce. Ces chapitres sont les suivants :

Chapitre 1 : Introduction

Ce chapitre comprend une synthèse, évalue les défis auxquels l'entreprise peut être confrontée et examine les avantages qui découlent de la mise en œuvre d'une solution d'authentification par carte à puce. Il indique à qui ce guide s'adresse, répertorie les connaissances préalables et donne un aperçu des chapitres et des scénarios de solution.

Chapitre 2 : Technologies des cartes à puce

Ce chapitre explique, selon plusieurs approches, comment utiliser les cartes à puce pour protéger les comptes stratégiques. Il décrit aussi les éléments essentiels pour les deux scénarios de solution dont il est question dans les chapitres 3 et 4. Ce chapitre présente également la Woodgrove Bank, qui sert de base aux deux scénarios de solution.

Chapitre 3 : Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs

Ce chapitre présente les considérations de conception requises pour sécuriser des comptes d'administrateurs via des cartes à puce. Il examine ensuite les problèmes et impératifs pour la Woodgrove Bank. Il traite du concept de la solution, des conditions requises, de l'architecture de la solution et de son fonctionnement dans le cadre du scénario. Enfin, il passe en revue les options d'extension possibles visant à ce que la solution intègre le processus de gestion des modifications.

Chapitre 4 : Utilisation de cartes à puce pour sécuriser les comptes d'accès distant

Ce chapitre présente des considérations de conception pour l'accès distant via des cartes à puce. Il examine ensuite les problèmes et les exigences requises dans le cadre de la mise en œuvre d'un accès distant sécurisé pour la Woodgrove Bank. Il traite du concept de la solution, des conditions requises, de l'architecture de la solution et de son fonctionnement dans le cadre du scénario. Enfin, il passe en revue les options d'extension possibles visant à ce que la solution intègre un contrôle d'accès physique.

Remerciements

Liens Connexes

Vos commentaires

Microsoft vous remercie de bien vouloir lui transmettre vos commentaires sur ce document, en particulier vos réponses aux questions suivantes :

  • Les informations fournies vous sont-elles utiles ?

  • Les procédures étape par étape sont-elles suffisamment précises ?

  • Les chapitres sont-ils compréhensibles et intéressants ?

  • De manière générale, que pensez-vous de cette solution ?

Envoyez vos commentaires à l'adresse suivante : cisfdbk@microsoft.com


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft. Tous droits réservés.