Guide de planification de la sécurisation des accès par carte à puce
Chapitre 3 : Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs
Paru le 30 juin 2005 | Dernière mise à jour le 07 mai 2007
Microsoft® Windows Server™ 2003 permet aux entreprises de sécuriser les comptes d'administrateurs à l'aide d'un ensemble de fonctions de sécurité spécifiques aux comptes. En plus de l'obligation pour les administrateurs d'ouvrir une session avec une carte à puce, Windows Server 2003 prend en charge l'authentification par carte à puce pour les actions complémentaires suivantes :
Créer un lecteur réseau mappé avec la commande net use.
Utiliser le service d'ouverture de session secondaire en tapant runas à l'invite de commande.
Installer le service Active Directory® grâce à l'Assistant d'installation Active Directory (que vous pouvez exécuter en tapant dcpromo à l'invite de commande).
Ouvrir une session via le composant Bureau à distance de Windows Server 2003
Ouvrir une session via le composant Terminal Server de Windows Server 2003
Remarque : bien que Microsoft Windows® 2000 prenne en charge les cartes à puce pour l'authentification, il ne prend pas en charge ces fonctions supplémentaires, qui ne sont disponibles que sous Windows Server 2003.
Sur cette page
Différentes approches de sécurisation des comptes d'administrateurs par carte à puce
Questions et besoins
Conception de la solution
Différentes approches de sécurisation des comptes d'administrateurs par carte à puce
La prise en charge par Windows Server 2003 de l'authentification des actions complémentaires par carte à puce permet une meilleure séparation des comptes d'utilisateurs et d'administrateurs. Pour les actions courantes, les administrateurs peuvent ouvrir une session sur des stations de travail avec des comptes non administratifs. S'ils veulent effectuer une tâche d'administration, ils peuvent se servir de leur carte à puce pour authentifier l'action par le biais d'une action complémentaire. Cette procédure est plus sûre et plus pratique que si l'administrateur devait entrer un nom d'utilisateur et un mot de passe ou devait se déconnecter puis se reconnecter avec un compte d'administrateur.
Identification des comptes et des groupes d'administration
La mise en œuvre de cartes à puce pour les administrateurs implique que l'entreprise définisse au préalable les comptes d'administrateurs justifiant une authentification à deux facteurs. Pour mener à bien cette étape, vous devez comprendre les caractéristiques des différents comptes et groupes d'administration sous Windows XP et Windows Server 2003.
Les groupes permettent aux administrateurs de gérer plusieurs comptes d'utilisateurs en même temps. Microsoft Windows NT® et les systèmes d'exploitation ultérieurs comprennent des groupes de sécurité avec des droits d'administration intégrés.
Ces groupes de sécurité peuvent être des groupes locaux (sur des ordinateurs associés à un domaine, comme des stations de travail et des serveurs membres) ou des groupes par défaut (sur des contrôleurs de domaine). Les comptes d'administrateurs reçoivent leurs droits en fonction de leur appartenance à un ou plusieurs de ces groupes de sécurité.
Groupes locaux
Les groupes locaux sur des ordinateurs associés à un domaine possèdent différents niveaux de droits d'administration. notamment :
Administrateurs. Les membres de ce groupe disposent d'un contrôle total sur l'ordinateur local. Le compte Administrateur appartient à ce groupe par défaut. Si l'ordinateur fait partie d'un domaine, le groupe Admins du domaine appartient également à ce groupe.
Opérateurs de sauvegarde (tous les types d'ordinateurs). Les membres de ce groupe peuvent contourner les autorisations du système de fichiers NTFS pour sauvegarder des fichiers et des dossiers. Les opérateurs de sauvegarde peuvent aussi arrêter des serveurs membres.
Utilisateurs avec pouvoir. Les membres de ce groupe bénéficient de droits d'administration limités sur les ressources d'une station de travail locale ou d'un serveur membre. Ils peuvent aussi arrêter un serveur membre.
Opérateurs d’impression. Les membres de ce groupe peuvent gérer des serveurs d'impression, des imprimantes et des travaux d'impression. Ils peuvent aussi arrêter un serveur membre.
Pour une description complète des groupes par défaut dans Windows Server 2003, reportez-vous à la rubrique Default Local Groups (Groupes locaux par défaut) à l'adresse technet2.microsoft.com/windowsserver/fr/library/f6e01e51-14ea-48f4-97fc-5288a9a4a9b11036.mspx.
Les stratégies de sécurité de votre entreprise doivent déterminer quels membres des groupes Administrateurs, Opérateurs de serveur et Utilisateurs avec pouvoir ont besoin de cartes à puce pour l'ouverture de session et pour l'administration.
Groupes par défaut
Chaque domaine possède plusieurs groupes par défaut qui fournissent des fonctions d'administration sur des contrôleurs de domaine. Ces groupes sont les suivants :
Administrateurs. Les membres de ce groupe disposent d'un contrôle total sur les contrôleurs de domaine. Le compte Administrateur et le groupe Admins du domaine font partie de ce groupe par défaut.
Opérateurs de sauvegarde. Les membres de ce groupe peuvent contourner les autorisations du système de fichiers NTFS pour sauvegarder des fichiers et des dossiers. Les opérateurs de sauvegarde peuvent également ouvrir une session localement et arrêter des contrôleurs de domaine.
Opérateurs de serveur. Ce groupe bénéficie de droits d'administration limités sur des contrôleurs de domaine, comme les Utilisateurs avec pouvoir sur les stations de travail. Les opérateurs de serveur peuvent ouvrir une session localement et arrêter des contrôleurs de domaine.
Opérateurs d’impression. Les membres de ce groupe gèrent des serveurs d'impression, des imprimantes et des travaux d'impression. Ils peuvent également ouvrir une session localement et arrêter des contrôleurs de domaine.
Opérateurs de compte. Les membres de ce groupe bénéficient de droits limités de gestion des comptes d'utilisateurs et des groupes. Ils peuvent se connecter de manière interactive, mais ne peuvent pas arrêter les contrôleurs de domaine.
Pour plus d'informations concernant les groupes par défaut, reportez-vous à la rubrique Default groups (Groupes par défaut) à l'adresse https://go.microsoft.com/fwlink/?LinkId=81737.
Les stratégies de votre entreprise doivent imposer à tous les membres de ces groupes de se servir de cartes à puce pour l'administration.
Groupes par défaut des domaines et des forêts
En plus des groupes par défaut, la création d'une forêt Active Directory définit les groupes de sécurité suivants :
Admins du domaine. Les membres de ce groupe disposent d'un contrôle total sur tous les objets du domaine. Tout domaine suivant dans la forêt possède aussi un groupe Admins du domaine
Administrateurs de l'entreprise (n'existe que dans le domaine racine de la forêt). Les membres de ce groupe disposent d'un contrôle total sur tous les objets de la forêt.
Administrateurs du schéma (n'existe que dans le domaine racine de la forêt). Les membres de ce groupe peuvent créer des classes et des attributs dans le schéma, ainsi que gérer le maître d'opérations de schéma.
Remarque : pour des raisons de sécurité, limitez le plus possible le nombre de membres dans ces trois groupes.
Tous les membres de ces groupes doivent utiliser une carte à puce pour l'administration.
Exiger une carte à puce pour l'ouverture de session interactive
Il existe deux façons d'utiliser une carte à puce pour ouvrir une session interactive. Vous pouvez configurer :
les propriétés d'un compte d'utilisateur dans Utilisateurs et ordinateurs Active Directory ;
une stratégie de groupe pour des ordinateurs donnés ou pour des groupes d'ordinateurs donnés.
Dans la plupart des environnements, l'approche la plus facile à gérer est d'utiliser une stratégie de groupe.
Propriétés des comptes d'utilisateurs
Vous pouvez configurer n'importe quel compte d'utilisateur pour qu'une carte à puce soit obligatoire pour ouvrir une session interactive. Pour ce faire, dans Utilisateurs et ordinateurs Active Directory, double-cliquez sur l'utilisateur, cliquez sur l'onglet Compte, sous Options de compte, cochez la case Une carte à puce est nécessaire pour ouvrir une session interactive. Activer cette option modifie le mot de passe de l'utilisateur en lui attribuant une valeur complexe aléatoire et active la propriété Le mot de passe n'expire jamais. Si par la suite vous désactivez l'obligation d'utiliser une carte à puce, vous devrez réinitialiser le mot de passe de l'utilisateur.
Comme le paramétrage de l'utilisation d'une carte à puce attribue une valeur inconnue au mot de passe de l'utilisateur, ce dernier ne peut plus se servir d'une combinaison nom d'utilisateur et mot de passe pour ouvrir une session sur le domaine. Ainsi, l'utilisateur ne peut plus ouvrir de session sur des programmes comme Microsoft Outlook® Web Access pour Microsoft Exchange Server 2003 avec un nom d'utilisateur et un mot de passe.
Vous pouvez utiliser un script pour activer ce paramètre pendant l'inscription. Cependant, cette méthode suppose que vous développiez des scripts adaptés qui puissent activer et désactiver l'obligation d'utiliser une carte à puce pour des personnes données.
Lorsque l'obligation d'utiliser une carte à puce est activée pour le compte d'utilisateur, l'administrateur doit se servir d'une carte à puce pour se connecter de manière interactive à n'importe quel ordinateur du domaine, pas uniquement aux serveurs protégés. Cela peut s'avérer problématique si les ordinateurs ne sont pas tous équipés de lecteurs de cartes à puce.
Si vous mettez en place l'utilisation de cartes à puce via les propriétés du compte d'utilisateur, les administrateurs ne peuvent plus administrer à distance des ordinateurs sous Windows 2000 Server. Les sessions des services Terminal Server Windows 2000 ne prennent pas en charge la redirection des cartes à puces. Par conséquent, les administrateurs doivent se connecter localement pour gérer un ordinateur sous Windows 2000. Cette obligation peut se révéler contraignante si l'administrateur ne se trouve pas au même endroit que le serveur.
Stratégie de groupe
Une approche plus facile à gérer consiste à utiliser les paramètres de stratégie de groupe pour indiquer les ordinateurs qui ont besoin de cartes à puce pour les ouvertures de sessions interactives et pour contrôler ce qui se produit lorsqu'un utilisateur retire une carte à puce. Vous pouvez créer des objets de Stratégie de groupe (GPO) en configurant ces paramètres et lier l'objet GPO à l'unité d'organisation (UO) qui contient l'ordinateur pour lequel vous demandez une ouverture de session par carte à puce. Le chemin d’accès aux options des cartes à puce dans Stratégie de groupe est Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité. Les paramètres sont Ouverture de session interactive : carte à puce nécessaire et Ouverture de session interactive : comportement lorsque la carte à puce est retirée.
Remarque : ce paramètre nécessite soit Windows XP avec Service Pack 2, soit une mise à jour spécifique. Pour plus d'informations, reportez-vous à l'article de la Base de connaissances Update for the "interactive logon: require smart card" security setting in Windows XP (Mise à jour du paramètre de sécurité « Ouverture de session interactive : carte à puce nécessaire ») à l'adresse https://support.microsoft.com/kb/834875/fr.
Pour une sécurité optimale, il est recommandé de rendre obligatoire l'utilisation de cartes à puce pour les ouvertures de session interactives, puis de faire en sorte que la station de travail soit verrouillée ou la session fermée lorsque la carte à puce est retirée. Ces paramètres de stratégie de groupe doivent s'intégrer à un GPO personnalisé applicable aux administrateurs. Les GPO peuvent être appliqués au niveau du site, du domaine ou d'une UO. La plupart du temps, les GPO qui appliquent des paramètres de cartes à puce s'appliquent à une UO.
Remarque : Microsoft vous recommande de ne pas modifier la Stratégie Contrôleurs de domaine par défaut ni la Stratégie de domaine par défaut en y ajoutant des paramètres de cartes à puce ou toute autre modification de stratégie. Créez toujours un nouveau GPO ou servez-vous d'un GPO existant pour paramétrer la stratégie de groupe pour l'ouverture de session par carte à puce.
Les paramètres de sécurité de groupe pour l'ouverture de session par carte à puce contrôlent l'ouverture de session interactive et n'affectent pas l'accès à un serveur à travers le réseau. L'ouverture de session interactive comprend l'ouverture de session avec le Bureau à distance ou les services Terminal Server.
Microsoft vous recommande de mettre en œuvre des cartes à puce pour les administrateurs avec d'autres mécanismes de contrôle comme IPsec ou les paramètres de stratégie de groupe afin de ne pas avoir à gérer un serveur avec des outils d’administration à distance comme les outils MMC (Microsoft Management Consol).
Gestion des accès par carte à puce dans plusieurs domaines et forêts
La mise en œuvre de cartes à puce pour les administrateurs suppose que vous compreniez les problèmes que posent de multiples domaines et forêts. Par exemple, les administrateurs qui sont membres du groupe Admins du domaine dans plus d'une forêt pourraient avoir besoin d'une carte à puce par forêt pour laquelle ils ont des droits d'administration. Au final, cette obligation peut les amener à devoir s'équiper de plusieurs cartes à puce.
Bien que les cartes à puce puissent contenir plus d'un certificat, Windows Server 2003 ne peut actuellement accepter qu'un seul certificat d'ouverture de session par carte à puce (le certificat stocké dans l'emplacement 0 sur la carte à puce) pour chaque certificat racine de l'Autorité de certification (AC). Cette contrainte peut imposer aux administrateurs de conserver plusieurs cartes à puce, à moins que l'entreprise n'ait établi des relations d'approbation entre les forêts.
Sécurisation des serveurs
Les ordinateurs qui exécutent des services comme les services de fichiers et d'impression, de bases de données, de messagerie et de répertoires demandent de plus hauts niveaux de sécurité que les stations de travail. Vous devez envisager en particulier d'utiliser l'authentification par carte à puce pour tous les comptes qui administrent des ordinateurs avec les rôles suivants :
Contrôleurs de domaine
Serveurs de base de données
Serveurs de certificats
Serveurs de fichiers et d’impression
Sécurisation des contrôleurs de domaine
Les contrôleurs de domaine sont les ordinateurs les plus importants pour l'utilisation d'authentification à deux facteurs, car ils contiennent et contrôlent toutes les informations des comptes du domaine et appliquent les règles de sécurité pour chacun. Si un pirate compromettait un contrôleur de domaine, il pourrait alors créer un nouveau compte, élever ses privilèges ou accéder à tous les contrôleurs de domaine en tant qu'administrateur.
Sécurisation des serveurs de base de données
Un serveur de base de données stocke des informations essentielles au fonctionnement d'une entreprise. Ces informations peuvent être soumises à des processus de vérification à l'entrée et à la sortie, avec un audit du suivi des demandes d'accès aux données. Les serveurs de base de données sont par exemple des serveurs qui stockent le code source d'un éditeur de logiciels, la composition secrète d'un fabricant de boissons ou des informations sur les comptes client. L'authentification par carte à puce doit sécuriser les accès à tous les serveurs de base de données.
Une entreprise doit identifier les serveurs à haute sécurité et collaborer avec leurs propriétaires pour modifier le type de compte sur lequel s'exécute le service ou la tâche planifiée, ou placer les comptes et les serveurs dans des groupes de sécurité spéciaux qui ont un accès plus large et des restrictions utilisateur.
Sécurisation des serveurs de certificats
Les serveurs qui hébergent les autorités de certification et les services de certificats doivent être hautement sécurisés. La compromission de l'autorité de certification brise l'intégrité de l'entreprise, car aucun des certificats émis n'est plus sécurisé. La plus haute priorité en terme de sécurité est requise pour les serveurs qui hébergent des services de certificats, depuis le réseau comme pour les accès physiques.
Sécurisation des serveurs de fichiers et d’impression
Un serveur de fichiers peut héberger d'importants documents d'entreprise et des informations confidentielles. La compromission de l'intégrité de ces informations pourrait nuire aux bénéfices à venir ou donner lieu à des sanctions de la part des organismes de réglementation. Les serveurs d'impression qui publient des factures ou des chèques doivent absolument être sécurisés via une authentification par carte à puce.
Pour plus d'informations concernant les fonctionnalités de sécurité dans Windows Server 2003, reportez-vous au guide Windows Server 2003 Security Guide (Guide sur la sécurité de Windows Server 2003) à l'adresse https://go.microsoft.com/fwlink/?LinkId=14845
Installation de lecteurs de cartes à puce sur des serveurs
Vous devez connecter un lecteur de cartes à puce à chaque serveur sur lequel la stratégie de groupe exige des cartes à puce pour l'ouverture de session interactive. La plupart des ordinateurs montés en rack disposent de ports USB à l'arrière qui permettent d'utiliser des lecteurs de cartes à puce. Vous pouvez ensuite placer le lecteur à l'avant du rack pour que les utilisateurs puissent y accéder. Il est important d'étiqueter clairement les lecteurs de cartes à puce pour que les administrateurs sachent à quel serveur ils sont reliés.
Si un administrateur doit se connecter sur un autre serveur, il doit retirer sa carte à puce du premier lecteur et l'insérer dans celui connecté sur l'autre ordinateur. Cet inconvénient rend l'administration des serveurs avec le Bureau à distance beaucoup plus intéressante.
Distribution des cartes à puce
Le processus de distribution des cartes à puce pour les administrateurs comprend les étapes suivantes :
Création des groupes qui doivent recevoir des cartes à puce.
Choix des responsables de sécurité qui agiront en tant qu'agents d'inscription.
Choix d'une méthode qui convienne à l'acheminement des cartes.
Mise en place de contrôles d'identification rigoureux.
Il est conseillé de créer un groupe de sécurité intermédiaire qui contienne les comptes d'administrateurs sélectionnés. Il vous faut également un groupe de sécurité qui contienne les comptes activés. Une partie du processus d'inscription suppose que les comptes d'administrateurs passent du groupe intermédiaire au groupe activé.
Le processus de distribution exige que vous nommiez des responsables de sécurité. Ceux-ci pourront alors :
remettre les cartes à puce à la station d'inscription ;
agir en tant qu'agents d'inscription ;
procéder à des contrôles d'identification.
Les contrôles d'identification doivent être rigoureux. Les responsables de sécurité doivent personnellement vérifier l'identité des administrateurs à l'aide d'une pièce d'identité valide, comme une carte d'identité ou un permis de conduire - identité que devra confirmer leur responsable de service.
Il appartient aux entreprises de se renseigner sur les antécédents de leurs administrateurs. Ces enquêtes sont particulièrement importantes dans les secteurs financiers ou pour toute entreprise soumise à des obligations réglementaires. Pour plus d'informations concernant les enquêtes de sécurité sur les antécédents des administrateurs, reportez-vous au guide The security Monitoring and Attack Detection Planning Guide (Guide de planification de la surveillance de la sécurité et de la détection des attaques) à l'adresse (https://go.microsoft.com/fwlink/?LinkId=41309.
Activation des cartes à puce
L'activation des cartes à puce doit être effectuée dans un endroit sûr, comme le bureau où sont remis les laissez-passer qui donnent accès aux locaux de l'entreprise. Le responsable de sécurité met en place une station d'inscription avec deux lecteurs de cartes à puce et se connecte à l'aide de la sienne.
Après s'être assuré de l'identité de l'administrateur, le responsable de la sécurité émet une demande de certificat pour ce compte d'utilisateur. Il émet une nouvelle carte à puce et installe le certificat demandé. Le responsable de sécurité déplace ensuite le compte d'administrateur du groupe temporaire au groupe activé. Enfin, il consigne le numéro de série de la carte avant de la remettre à l'administrateur.
L'administrateur se sert ensuite de l'outil de réinitialisation du code PIN pour réinitialiser le code par défaut ou se sert de l'outil de déblocage du code PIN ainsi que du Serveur Web d'activation pour définir un nouveau code. L'administrateur peut maintenant se servir de sa carte à puce.
Gestion des cartes à puce
La mise en œuvre de cartes à puce est une activité suivie, et non ponctuelle, car les certificats de sécurité intégrés aux cartes doivent être gérés et vous devez faire face à des cas où les administrateurs oublient leur carte à puce, la perdent ou se la font voler. Il est souhaitable de fixer des procédures à appliquer et un budget approprié pour la gestion des cartes à puce.
Gestion des cas exceptionnels
Votre entreprise doit établir un plan spécifique pour gérer les cas où les cartes à puce des administrateurs sont perdues, oubliées ou volées. La mise en oeuvre de ce plan dépendra de la façon dont vous appliquez les conditions requises pour l'ouverture d'une session par carte à puce dans votre entreprise.
Si l'application des conditions requises repose sur des comptes d'utilisateurs dans Active Directory, il vous sera facile d'accorder une exception à l'utilisateur concerné dans un tel cas. La méthode utilisée pour accorder une exception consiste à supprimer l'obligation d'utiliser une carte à puce pour ouvrir une session pour ce compte, puis à réinitialiser le mot de passe après avoir vérifié que le paramètre L'utilisateur doit changer de mot de passe à la prochaine ouverture de session est activé. Vous pouvez ensuite fournir le mot de passe au propriétaire du compte et, après une période de temps suffisante, réactiver l'obligation d'utiliser une carte à puce. Pour mettre cette méthode en application, dans Utilisateurs et ordinateurs Active Directory, double-cliquez sur l'utilisateur, cliquez sur l'onglet Compte, puis sous Options de compte, décochez la case Une carte à puce est nécessaire pour ouvrir une session interactive et cochez la case L'utilisateur doit changer de mot de passe à la prochaine ouverture de session. Cliquez sur OK, puis, dans le menu contextuel, cliquez avec le bouton droit de la souris sur le nom d'utilisateur, sélectionnez Rétablir le mot de passe pour réinitialiser le mot de passe et appliquer ces conditions requises pour l'administrateur.
Si votre entreprise utilise la Stratégie de groupe pour appliquer l'obligation d'utiliser une carte à puce pour l'ouverture d'une session, il est alors impossible de créer une exception pour un utilisateur. Dans ce cas, vous devrez déterminer une stratégie appropriée pour votre entreprise que les administrateurs pourront suivre dans l'éventualité où ils oublieraient ou perdraient leur carte à puce.
En cas de carte à puce oubliée, vous pouvez mettre en œuvre un certain nombre de solutions. Par exemple, une stratégie peut exiger que les administrateurs rentrent chez eux pour récupérer leur carte à puce.
Si vous entreprise sous-traite l'infrastructure des cartes à puce, vous pouvez mettre en œuvre une stratégie exigeant qu'un administrateur gère un petit nombre de cartes à puce génériques avec des certificats liés à des comptes d'utilisateurs spécifiques sur site. Si un utilisateur perd une carte à puce, un administrateur peut temporairement émettre l'une de ces cartes à puce génériques au nom de l'utilisateur, étant entendu que ce dernier est responsable de toute action entreprise pour accéder à des ressources en utilisant le compte générique. Dans ce cas, il est recommandé que l'administrateur chargé de la gestion des cartes à puce génériques réinitialise le code de la carte à puce systématiquement avant chaque nouvelle émission au profit d'un utilisateur.
Si vous entreprise gère directement l'infrastructure des cartes à puce, vous pouvez émettre un nouveau certificat à durée de vie réduite pour un compte d'utilisateur générique. Dans cette méthode de gestion des exceptions, l'administrateur est là aussi responsable de l'utilisation faite du compte générique pour accéder à des ressources.
Enfin, si un administrateur perd sa carte à puce, votre entreprise doit instaurer une stratégie afin d'émettre une nouvelle carte à puce pour l'administrateur et révoquer l'ancien certificat de l'administrateur.
Révocation de certificat
Dans certains cas, vous serez peut-être amené à révoquer un certificat, par exemple si une clé privée vient à être compromise, si l'utilisateur de la carte accède à de nouveaux droits, ou lorsqu'il quitte l'entreprise. Lorsque vous révoquez un certificat, cette action en publie les détails à l'emplacement où se trouve la liste de révocation de certificats (CRL). Cet emplacement est en général une URL ou un chemin réseau UNC.
Un certificat émis inclut une liste de points de distribution où un serveur d'authentification peut vérifier le statut du certificat dans la CRL. Pour plus d'informations concernant la révocation des certificats, reportez-vous à la rubrique Revoking certificates and publishing CRLs (Révocation de certificats et publication de CRL) à l'adresse technet2.microsoft.com/windowsserver/fr/library/a4331df0-273b-41a3-95f5-8425d39543c71036.mspx.
Renouvellement de certificat
La date d’expiration du certificat numérique sur une carte à puce dépend des paramètres du modèle qui a créé ce certificat. Les certificats d'utilisation des cartes à puce ont en général des durées de validité de six mois à deux ans.
Lorsqu'un certificat approche de l'échéance, il doit être renouvelé pour s'assurer que son utilisateur peut continuer à l'utiliser ou le remplacer. Dans le cas d'un renouvellement de certificat, celui qui en fait la demande possède déjà un certificat. Le renouvellement prend en compte les informations du certificat en cours lorsque la demande de renouvellement est déposée. Vous pouvez alors renouveler un certificat avec une nouvelle clé ou utiliser la même clé.
Inscription automatique de certificat
L'inscription automatique de certificat est une fonctionnalité des Services de certificats de Windows Server 2003 Édition Professionnelle. Cette fonctionnalité signe automatiquement une demande de renouvellement en se servant du certificat existant pour en obtenir un nouveau. Cette fonctionnalité permet de gérer des certificats en grand nombre. Pour en savoir plus sur l'inscription automatique de certificat, reportez-vous à l'article Certificate Autoenrollment in Windows Server 2003 (Inscription automatique de certificat sous Windows Server 2003) à l'adresse https://go.microsoft.com/fwlink/?LinkId=69027.
Contrôle de l'utilisation des cartes à puce
Les administrateurs se servent de comptes à carte à puce lorsqu'ils effectuent des opérations hautement privilégiées comme des redémarrages de serveurs, la gestion de comptes d'utilisateurs et la configuration des autorisations de fichier. Les administrateurs malveillants ou insuffisamment formés représentent un sérieux potentiel de destruction de l'infrastructure de votre réseau. Ainsi, il est recommandé de contrôler vos journaux de sécurité pour enregistrer quand des administrateurs se connectent et se déconnectent avec leur carte à puce.
Les outils de gestion d’entreprise, comme Microsoft Operations Manager (MOM) 2005, qui peuvent contrôler et évaluer des journaux de sécurité conviennent à la surveillance de l'utilisation des cartes à puce. Pour plus d'informations sur la manière de contrôler des journaux de sécurité, reportez-vous au guide The security Monitoring and Attack Detection Planning Guide (Guide de planification de la surveillance de la sécurité et de la détection des attaques) à l'adresse (https://go.microsoft.com/fwlink/?LinkId=41309.
Questions et besoins
Cette section décrit les problèmes et besoins spécifiques rencontrés par la Woodgrove National Bank pendant la conception de leur solution pour sécuriser les comptes d'administrateurs avec des cartes à puce.
Contexte
La Woodgrove National Bank possède de nombreux serveurs critiques qui demandent un contrôle administratif étroit et un accès sécurisé. À l'heure actuelle, les administrateurs s'authentifient sur ces serveurs critiques à l'aide d'une combinaison nom d'utilisateur et mot de passe. Des utilisateurs non autorisés ont essayé d'accéder à ces serveurs à l'aide d'informations d'identification volées.
Problèmes propres à l'entreprise
La Woodgrove National Bank a identifié trois problèmes relatifs à la continuité des opérations et à la responsabilisation des administrateurs :
Responsabilisation. Le service informatique ne peut pas vérifier les modifications critiques effectuées sur les serveurs par des administrateurs qui utilisent une authentification par nom d'utilisateur et mot de passe, car les administrateurs partagent souvent les mêmes informations d'identification.
Protection des informations d'identification. Les utilisateurs malveillants ou mal intentionnés qui volent les informations d'identification des administrateurs peuvent grandement nuire à la réputation de l'entreprise et générer des coûts financiers en raison d'interruptions des activités. L'authentification par carte à puce réduirait considérablement les risques de vol des informations d'identification des administrateurs.
Continuité des opérations. Comme la Woodgrove National Bank ne peut laisser des modifications de sa configuration réseau perturber ses services dédiés, une approche soigneusement planifiée est essentielle pendant la phase de mise en œuvre de la solution de carte à puce.
Problèmes techniques
Le service informatique de la Woodgrove National Bank a déterminé que les problèmes techniques suivants doivent être surmontés pour mettre en œuvre une solution de carte à puce :
Prise en charge des lecteurs de cartes à puce. Chaque serveur auquel les administrateurs doivent accéder avec une carte à puce doit fournir une prise en charge matérielle des lecteurs de cartes à puce.
Mise en œuvre des pratiques opérationnelles recommandées. L'intégrité d'un déploiement de cartes à puce dépend de la gestion et de la maintenance à long terme. Le service informatique de la Woodgrove National Bank doit mettre en œuvre les pratiques opérationnelles recommandées décrites par Microsoft Operations Framework (MOF).
Mise en place de tâches planifiées qui s'exécutent avec les droits d'administrateur sur un serveur à accès contrôlé par carte à puce. La Woodgrove National Bank exécute des tâches planifiées qui se servent de comptes avec des droits d'administrateur. La Woodgrove National Bank doit passer en revue ces comptes et, lorsque cela est possible, utiliser des comptes qui n'ont pas besoin de droits d'administrateur. La Woodgrove National Bank doit également mettre en œuvre un groupe d'exclusion permanent qui comprend tous les comptes qui exécutent des tâches planifiées afin qu'ils ne soient pas soumis à l'utilisation d'une carte à puce pour l'ouverture de session.
Intégration avec UNIX. La Woodgrove National Bank fonctionne en environnement hétérogène, c'est pourquoi l'intégration de cartes à puce avec des ordinateurs sous UNIX pose problème. La Woodgrove National Bank projette de se renseigner sur des produits comme TrustBroker de CyberSafe Limited qui permettent l'authentification intégrée par carte à puce pour Windows et UNIX.
Problèmes de sécurité
L'utilisation de cartes à puce pour sécuriser les comptes d'administrateurs a pour but d'améliorer la sécurité et la responsabilisation. Le service informatique de la Woodgrove National Bank a établi que les problèmes de sécurité suivants doivent être traités avant que la banque ne puisse déployer la solution :
Distribution et activation. La distribution et l'activation de cartes à puce sont importantes pour préserver l'intégrité de l'ensemble de la solution. Comme la Woodgrove National Bank a des sites dans le monde entier, le service informatique ne peut pas distribuer de cartes à puce à partir d'un seul endroit. La vérification des destinataires de cartes à puce est un facteur clé dans la préservation de l'intégrité du projet. La Woodgrove National Bank projette de déployer des équipes de sécurité qui utiliseraient les données d'identification des Ressources humaines pour s'assurer que la carte à puce est remise à la bonne personne.
Principe du moindre privilège pour les droits d'administration. La Woodgrove National Bank doit examiner son modèle d'administration réseau actuel et réduire le nombre de comptes d'utilisateurs et comptes des services qui s'exécutent avec des droits d'administration complets. La banque ne doit assigner que les droits dont les administrateurs ont besoin pour leur travail. L'analyse et la réduction du nombre de comptes d'administrateurs peuvent permettre le déploiement, le contrôle et la gestion continue de la solution de carte à puce.
Gestion des comptes des services. Le service informatique de la Woodgrove National Bank a passé en revue les comptes des services programmes et s'est assuré que le minimum de services possible nécessite un contexte de sécurité administrateur. De nombreux programmes sont signalés pour une mise à jour ou un remplacement.
Une seule carte à puce par forêt dans une relation d'approbation totale. La Woodgrove National Bank a deux forêts liées par des relations d'approbation bidirectionnelles. Bien qu'une carte à puce puisse contenir plusieurs certificats, Windows Server 2003 n'utilise que celui qui est stocké dans l'emplacement 0 de la carte à puce pour l'ouverture de session interactive. Ce principe oblige les administrateurs réseau qui travaillent sur plusieurs forêts non liées à avoir plusieurs cartes à puce. Cependant, un administrateur muni d'une carte a accès aux ressources dans toutes les forêts avec lesquelles la forêt qui l'authentifie a une relation d'approbation totale, à moins qu'une restriction de sécurité dans la forêt approuvée ne remplace cet accès.
Gestion des codes PIN. La sécurité et l'intégrité de la solution de carte à puce augmentent si les utilisateurs peuvent facilement modifier leur code PIN. Ainsi, le service informatique de la Woodgrove National Bank a acheté des outils de gestion des codes PIN à son fournisseur de cartes à puce.
Exigences de la solution
Après examen de la configuration pilote, le service informatique a exprimé des exigences de solution spécifiques. La solution appliquée par la Woodgrove National Bank pour sécuriser les comptes d'administrateurs qui exigent des cartes à puce doit :
faire en sorte que les serveurs sécurisés exigent une carte à puce valide pour une ouverture de session interactive, secondaire ou avec le Bureau à distance ;
distribuer et activer des cartes à puce de manière sûre et rapide ;
fournir un audit des accès aux serveurs sécurisés et rassembler les données de sécurité ainsi obtenues dans un référentiel central ;
permettre la gestion et le contrôle de l'utilisation des cartes à puce ;
permettre une révocation rapide des certificats compromis, comme ceux qui figurent sur des cartes à puce perdues ou volées ;
fournir une structure pour la gestion continue.
La Woodgrove National Bank a identifié plusieurs problèmes clé professionnels, techniques et de sécurité qui sont ressortis du plan initial. Le service informatique a procédé à un examen pour traiter ces problèmes et a pratiqué des tests de solutions de contournement et de corrections. La Woodgrove National Bank a créé des plans détaillés pour la phase de déploiement de la solution.
Conception de la solution
Une fois compris les problèmes professionnels, techniques et de sécurité que doit résoudre l'utilisation de cartes à puce, vous pouvez concevoir une solution adaptée à votre environnement. Le processus de conception identifie les éléments essentiels et analyse logiquement les obligations pour planifier la solution.
La Woodgrove National Bank a mené cette expertise. Cette section décrit les problèmes depuis le plan initial qu'envisageaient les architectes système de la Woodgrove National Bank, les conclusions auxquelles ils sont arrivés et les décisions de conception qu'ils ont prises.
Elle décrit également les choix de conception effectués par le service informatique de la Woodgrove National Bank pour sécuriser les comptes d'administrateurs par l'utilisation de cartes à puce. Il détaille le concept de la solution et ses conditions requises et décrit l'architecture planifiée par la Woodgrove National Bank.
Concept de la solution
Dans la solution proposée, toute activité d'administration de serveur exige que l'administrateur confirme son identité en présentant un certificat stocké sur une carte à puce et en entrant le code PIN correspondant. La solution associe des paramètres de Stratégie de groupe, des certificats d'utilisateurs X.509 version 3 (v3), des cartes à puce et des lecteurs de cartes à puce. La solution nécessite l'installation d'un certificat X.509 v3 sur la carte à puce.
Pour ouvrir une session sur un serveur, l'administrateur insère la carte à puce dans un lecteur connecté à l'ordinateur. À l'insertion de la carte, le système d'exploitation demande le code PIN. L'administrateur entre le code PIN de la carte à puce. Si le code est correct, l'administrateur peut accéder au serveur avec les droits d'administration.
Configuration requise
Lorsque vous vous lancez dans un projet de cette nature, il convient de respecter plusieurs conditions préalables. Il est notamment nécessaire de recruter l'équipe de projet, consulter la base des utilisateurs, mettre en œuvre des tests ou des phases pilotes et mettre à jour le matériel et les logiciels pour satisfaire aux exigences de la solution.
Consultation des équipes d'administration
Un élément clé à considérer lorsque vous modifiez un service utilisateur est de consulter les utilisateurs et les groupes concernés. En retour, les utilisateurs doivent comprendre ce qu'ils peuvent attendre ou non du service. Une consultation réciproque et la prise en compte des attentes des utilisateurs encouragent l'assentiment de ces derniers. Des objectifs mesurables doivent être fixés pour juger du succès final du projet de manière rationnelle. Ces objectifs pourraient notamment être la réduction d'incidents de sécurité liés à des informations d'identification volées.
La Woodgrove National Bank étend ses activités dans plusieurs pays/régions du monde entier et se sert de centres d'assistance régionaux. L'équipe de conception initiale a intensivement démarché les équipes d'administration dans tous les bureaux afin d'identifier les serveurs justifiant l'application de la solution de carte à puce. L'équipe a également recensé tous les serveurs qu'elle ne pourrait pas mettre à niveau pour satisfaire à la configuration requise par la solution dans un délai acceptable.
Recrutement de l'équipe de projet
Assurez-vous d'avoir le personnel et les compétences appropriés pour mettre en œuvre un projet de cette nature. L'équipe de projet aura très probablement besoin de personnes occupant les postes suivants :
responsable du programme ;
architecte des systèmes d'information ;
analyste système ou intégrateur ;
ingénieurs système ;
responsable de la sortie du produit ;
responsable des tests du produit ;
responsable du support technique ;
spécialistes du support utilisateur ;
responsables de la sécurité.
Pour plus d'informations sur les postes de responsable et associations de rôles MOF, reportez-vous au document The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy (Livre blanc Microsoft Solutions Framework supplémentaire – Classification des postes dans l'informatique) à l'adresse www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053
Si vous ne possédez pas en interne toutes les compétences requises, recrutez du personnel supplémentaire. Le projet n'impliquant pas toutes ces personnes dans toutes les étapes, vous devez déterminer la disponibilité de chacun pour la durée du projet.
Architecture de la solution
La mise en œuvre d'une solution de carte à puce pour sécuriser les comptes d'administrateurs nécessite les éléments suivants :
Active Directory
Stratégie de groupe
Infrastructure à clé publique (PKI) Windows Server 2003 Édition Professionnelle
Installation de lecteurs de cartes à puce sur les serveurs qui exécutent Windows Server 2003
Stations d'inscription
Personnalisation des cartes à puce
Outils de gestion des codes PIN
Avant de mettre en œuvre la solution, la Woodgrove National Bank a appliqué les procédures suivantes :
Mise à niveau des certificats de service vers Windows Server 2003 Édition Professionnelle ou version ultérieure.
Mise à niveau de tous les serveurs dédiés vers Windows Server 2003 pour la prise en charge de l'ouverture de session interactive qui utilise les services Terminal Server. Cette condition requise dépend de la compatibilité des applications.
Personnalisation des modèles de certificat de carte à puce et paramétrage des autorisations adéquates.
Création et test des Objets de Stratégie de groupe (GPO) pour la mise en place des cartes à puce, les exclusions temporaires et les exclusions permanentes.
Le service informatique de la Woodgrove National Bank a également mis en œuvre des solutions pour les défis suivants :
Distribution des cartes à puce
Activation des cartes à puce
Gestion et prise en charge des cartes à puce
Gestion des exceptions
Distribution des cartes à puce
Avant de distribuer les cartes à puce, le service informatique de la Woodgrove National Bank a placé ses administrateurs dans un groupe de sécurité Active Directory intermédiaire. Une équipe de responsables de sécurité a été chargée de vérifier les identités des administrateurs et de distribuer les cartes à puce. Une fois l'administrateur en possession de sa carte, le service informatique le déplaçait du groupe intermédiaire vers le groupe des utilisateurs de carte à puce. L'administrateur a ensuite accès au serveur Web d'activation pour activer sa carte à puce et changer le code PIN.
Activation des cartes à puce
Comme les administrateurs ont reçu leur carte à puce dans un état d'attente, les cartes doivent être activées avant utilisation. L'administrateur active sa carte à puce en l'insérant dans un lecteur, puis en étant soumis à interrogation et en changeant le code PIN.
Gestion et prise en charge des cartes à puce
Bien que les administrateurs de la Woodgrove National Bank forment un groupe techniquement compétent, l'équipe de déploiement des cartes à puce a dû collaborer étroitement avec le support technique. Le personnel du support technique avait besoin d'instructions appropriées pour pouvoir traiter les problèmes qui se présentaient.
Gestion des exceptions
La Woodgrove National Bank a instauré une stratégie d'entreprise pour faire face aux cartes perdues, volées ou oubliées. Pour les cartes perdues ou volées, le service informatique révoque tous les certificats attribués et émet de nouvelles cartes sous 24 heures. Le service informatique s'occupe des administrateurs qui oublient d'apporter leur carte à puce au travail en émettant à leur intention des cartes à puce temporaires. Même si un certificat peut être révoqué, cela ne signifie pas que la carte à puce est désactivée pendant le même temps. La Woodgrove National Bank doit revoir les stratégies CRL afin qu'elles correspondent aux stratégies de sécurité.
Révocation de certificat
Les certificats d'ouverture de session par carte à puce pour les administrateurs de la Woodgrove National Bank se servent d'URL intranet pour localiser la liste CRL et chercher les certificats révoqués. Le service informatique a mis en œuvre l'Équilibrage de la charge réseau (NLB) Windows pour garantir une haute disponibilité du site Web qui héberge la liste CRL.
Renouvellement de certificat
Le service informatique de la Woodgrove National Bank a développé un processus de renouvellement de certificat qui exige que le responsable de l'administrateur approuve la demande de renouvellement de carte à puce. Une fois la demande validée, le certificat en cours signe la demande et le certificat de la carte à puce est renouvelé.
Contrôle de la solution
La Woodgrove National Bank se sert de Microsoft Operations Manager (MOM) 2005 pour recueillir et analyser des journaux de sécurité et pour contrôler la disponibilité et les performances de la solution. La solution de carte à puce s'intègre à MOM, analyse les journaux de sécurité, fournit des alertes et génère des rapports d'utilisation. La Woodgrove National Bank projette de contrôler le service tous les trimestres et de générer des rapports à partir des données MOM.
Comment fonctionne la solution
Cette section décrit les processus détaillés qui se produisent pendant l'authentification d'une ouverture de session par carte à puce.
Un administrateur insère une carte à puce dans le lecteur connecté à un ordinateur et la DLL d'identification graphique et d'authentification Microsoft (MSGINA) demande à l'utilisateur d'entrer un code PIN.
MSGINA envoie le code PIN à l'autorité de sécurité locale (LSA) et l'ordinateur se sert du code PIN pour accéder à la carte à puce.
Le package client Kerberos lit le certificat et la clé privée X.509 v3 sur la carte à puce de l'administrateur.
Le package Kerberos envoie une requête de service d'authentification au service Centre de distribution de clés (KDC) qui s'exécute sur un contrôleur de domaine, afin de demander l'authentification et un ticket d'authentification (TGT). La requête de service d'authentification consiste en un certificat d'attribution de droits (PAC), qui rassemble l'identificateur de sécurité (SID) de l'utilisateur, les SID pour tous les groupes auxquels l'utilisateur appartient et une demande au service d'authentification (TGS) avec des données de pré-authentification.
Le KDC vérifie le chemin de certification du certificat de l'utilisateur pour s'assurer qu'il provient d'une source approuvée. Le KDC a recours à CryptoAPI pour créer un chemin de certification depuis le certificat de l'administrateur vers un certificat d'autorité de certification racine qui réside dans le magasin racine sur le contrôleur de domaine. Le KDC utilise ensuite CryptoAPI pour vérifier la signature numérique sur l'authentificateur qui a été ajouté en données signées dans les champs de données de pré-authentification. Le contrôleur de domaine vérifie la signature et utilise la clé publique du certificat de l'administrateur pour prouver que la requête provenait du propriétaire de la clé publique. Le KDC vérifie aussi que l'émetteur est fiable et apparaît bien dans le magasin de certificats NTAuth.
Le service KDC récupère les informations sur le compte d'utilisateur à partir d'Active Directory en fonction du nom d'utilisateur principal (UPN) indiqué dans le champ Autre nom de l'objet dans le certificat de l'administrateur. Le KDC produit un TGT à partir des informations sur le compte d'utilisateur qu'il récupère depuis Active Directory. Le TGT comprend l'identificateur de sécurité (SID) de l'administrateur, les SID pour tous les groupes de domaine auxquels l'administrateur appartient et (dans un environnement à plusieurs domaines) les SID pour tous les groupes universels auxquels l'utilisateur appartient. Les champs de données d'autorisation du TGT comprennent la liste des SID.
Remarque : un SID est un identifiant de sécurité qui est créé pour chaque utilisateur ou groupe lors de la création d'un compte d'utilisateur ou d'un compte de groupe, soit dans la base de données de comptes de sécurité locale sur des ordinateurs exécutant Windows NT ou version ultérieure, soit dans Active Directory. Le SID ne change jamais, même si le compte d'utilisateur ou le compte de groupe est renommé.
Le contrôleur de domaine renvoie le TGT au client. Le client ou la carte déchiffre le TGT et se sert de sa clé privée pour obtenir la clé secrète du KDC. Cela dépend du type de la carte ou du certificat utilisé.
Le client valide la réponse du KDC. Il vérifie d'abord la signature du KDC en construisant un chemin de certification depuis le certificat du KDC vers un certificat d'autorité de certification racine et se sert ensuite de la clé publique du KDC pour vérifier la signature de réponse.
Ce processus est illustré dans l'illustration ci-dessous :
.gif "Dd491906.pgfg0301s(fr-fr,TechNet.10).gif")
Figure 3.1 : Processus d'authentification d'ouverture de session par carte à puce
Le service informatique de la Woodgrove National Bank a lié un GPO aux unités d'organisation contenant les serveurs qui exigent une authentification par carte à puce. Ce GPO applique les modifications aux paramètres de configuration machine suivants :
L'ouverture de session interactive nécessite une carte à puce
Le retrait de la carte à puce force la déconnexion du compte
Ces paramètres évitent que les administrateurs partagent des cartes à puce ou laissent un serveur sans surveillance lorsqu'ils sont connectés.
Extension de la solution
La Woodgrove National Bank envisage l'intégration de la solution de carte à puce dans le processus de gestion des modifications des serveurs et des applications. L'idée est d'authentifier chaque étape du processus de gestion des modifications et d'intégrer ce processus dans le flux de travail. Par exemple, les modifications du serveur Web de la Woodgrove devraient être vérifiées par deux administrateurs Web ou plus.
Résumé
L'utilisation de cartes à puce pour authentifier les comptes d'administrateurs réduit les accès frauduleux aux ordinateurs critiques et augmente l'intégrité et le niveau de responsabilité de l'administration de serveur. La mise en œuvre de cartes à puce pour les administrateurs dans votre entreprise se traduira par la réduction des incidents de sécurité et l'augmentation de la qualité des procédures d'administration.
Télécharger
Obtenez le Guide de planification de la sécurisation des accès par carte à puce
Notifications de mise à jour
Abonnez-vous aux mises à jour et aux nouvelles versions
Commentaires