Guide de planification de la sécurisation des accès par carte à puce

  • Article

Chapitre 4 : Utilisation de cartes à puce pour sécuriser les comptes d'accès distant

Dernière mise à jour le 30 juin 2005

La plupart des entreprises doivent fournir un accès distant aux ressources réseau via des connexions par modem ou réseau privé virtuel (VPN). Les changements perpétuels dans les pratiques de l'entreprise, telles que la mise à disposition d'un support pour les utilisateurs distants et les équipes commerciales ne font qu'accélérer cette tendance. Bien que l'accès distant offre de nombreux avantages à l'entreprise, tout accès externe expose considérablement son réseau à des menaces de sécurité potentielles. L'authentification à deux facteurs est devenue indispensable pour tous les réseaux qui prennent en charge l'accès distant.

Sur cette page

Sécurisation de l'accès distant par carte à puce
Questions et besoins
Conception de la solution
Résumé

Sécurisation de l'accès distant par carte à puce

L'accès distant doit permettre à tous les employés autorisés d'accéder aux ressources intranet d'une entreprise. Pour faciliter l'accès à distance via un réseau privé virtuel, vous devez ouvrir des ports sur vos pare-feu externes. Cette plus grande accessibilité crée une voie que peuvent emprunter des pirates pour accéder au réseau.

Le chapitre 1 constituant l' « Introduction » de ce guide montre que le processus d'authentification de comptes reposant uniquement sur les noms d'utilisateurs et les mots de passe concentre l'intégralité de la sécurité du contrôle d'accès sur le mot de passe. Les mots de passe sont vulnérables aux compromissions et les informations d'identification d'un compte dont l'intégrité a été compromise, bénéficiant d'un accès distant au réseau d'une entreprise, peuvent présenter un intérêt pour des organisations criminelles.

Bien que vous puissiez configurer une stratégie de verrouillage du mot de passe de domaine pour les comptes d'utilisateurs, la stratégie de verrouillage de compte offre des possibilités d'attaques par déni de service en bloquant constamment le compte d'utilisateur distant. Bien que cette attaque ne compromette pas l'intégrité des informations sur le réseau, elle ne constitue pas moins une source de frustration pour l'utilisateur bloqué.

Une authentification utilisateur renforcée qui fait appel à des certificats numériques intégrés dans une carte à puce représente une solution de sécurisation des connexions d'accès distant à la fois fiable et souple.

Configuration client requise

L'utilisation des cartes à puce pour contrôler l'accès distant dépend des composants exécutés sur le client distant. Vous devez bien connaître ces composants et tout particulièrement Connection Manager, ainsi que le Kit d'administration de Connection Manager (CMAK). Connection Manager centralise et automatise l'établissement et la gestion des connexions réseau. Connection Manager prend en charge les domaines clés de la configuration de l'accès par carte à puce :

  • protocole EAP–TLS (Extensible Authentication Protocol-Transport Layer Security) pour les connexions VPN et d'accès distant ;

  • vérifications de la sécurité de niveau application pour gérer automatiquement les configurations des ordinateurs clients ;

  • validations et vérifications de la sécurité des ordinateurs faisant partie du processus d'ouverture de session.

Pour plus d'informations sur Connection Manager et CMAK, consultez le site Web Connection Manager Administration Kit (Kit d'administration de Connection Manager) à l'adresse suivante : technet2.microsoft.com/WindowsServer/fr/library/be5c1c37-109e-49bc-943e-6595832d57611036.mspx.

Connection Manager pour le client

Pour mettre en œuvre une solution d'accès distant facile à gérer, vous devez créer et déployer des paramètres de Connection Manager sur plusieurs clients. Pour déployer Connection Manager sur plusieurs clients, créez des profils Connection Manager.

Les profils Connection Manager sont des packages du numéroteur client Connection Manager que vous créez via le CMAK et déployez sur des ordinateurs clients dans un fichier exécutable auto-extractible. Pour distribuer des profils, vous pouvez utiliser n'importe quel mécanisme de distribution logicielle, comme la stratégie de groupe, Microsoft® Systems Management Server 2003, des CD ou des clés USB.

Lorsque vous lancez le fichier exécutable, le profil s'installe sur l'ordinateur local, accompagné des adresses hôtes ou numéros de téléphone requis pour se connecter aux serveurs d'accès distant. Lorsqu'un utilisateur initie une connexion via son profil Connection Manager, Connection Manager recherche automatiquement la carte à puce et invite l'utilisateur à entrer le code PIN requis. Si l'utilisateur entre le code PIN correct, Connection Manager établit les connexions par modem et VPN appropriées, et authentifie les informations d'identification de l'utilisateur.

Connection Manager simplifie également le processus de connexion pour l'utilisateur. Il limite le nombre d'options de configuration pouvant être modifiées par l'utilisateur et permet de s'assurer que la connexion de l'utilisateur peut toujours s'établir avec succès. Les entreprises peuvent personnaliser Connection Manager afin de définir :

  • Des numéros de téléphone disponibles. Une liste de numéros de téléphone auxquels peut avoir recours l'utilisateur en fonction de son emplacement physique.

  • Du contenu personnalisé. Le numéroteur peut inclure des graphiques, des icônes, des messages et une aide personnalisés.

  • Des connexions de prétunnel. Une connexion à Internet via un modem qui s'établit automatiquement avant la tentative de connexion VPN.

  • Des actions de pré-connexion et de post-connexion. Notamment la possibilité de réinitialiser le profil du numéroteur ou la configuration du Pare-feu Windows afin d'ignorer les exceptions aux règles de filtrage des paquets.

Configuration requise pour le système d'exploitation

Les cartes à puce pour les solutions d'accès distant fonctionnent uniquement avec Microsoft Windows® XP Édition Professionnelle. Microsoft recommande l'utilisation de Windows XP Professionnel avec SP2 ou ultérieur. Toutes les mises à jour de sécurité actuelles doivent être installées sur les ordinateurs clients.

Configuration serveur requise

La configuration serveur requise pour l'accès par carte à puce est relativement simple. Les serveurs d'accès distant doivent exécuter Windows 2000 Server (ou une version ultérieure) et doivent prendre en charge EAP-TLS.

Remarque : contrairement aux cartes à puce du scénario pour les administrateurs, les cartes à puce du scénario d'accès distant ne requièrent pas Microsoft Windows Server™ 2003. Toutefois, il est fortement recommandé de mettre à niveau votre infrastructure à clé publique vers Windows Server 2003 avec Service Pack 1 (SP1) ou ultérieur.

Remarques relatives aux connexions par modem et réseau privé virtuel (VPN)

La solution utilise les cartes à puce pour sécuriser l'accès distant et prend en charge l'accès réseau à distance via des connexions RNIS ou RTC, mais les ouvertures de session peuvent durer plus longtemps.

Les connexions à distance qui utilisent des connexions VPN placent une charge processeur supplémentaire sur le serveur d'accès distant. L'ouverture de session sécurisée par carte à puce n'a pas d'impact considérable sur cette charge, mais l'ouverture de session peut s'avérer plus longue. Les serveurs d'accès distant VPN qui traitent un volume important de connexions entrantes requièrent des processeurs rapides, dans une configuration multiprocesseur de préférence. Les entreprises qui utilisent des VPN sécurisés par IPsec peuvent mettre en œuvre des cartes réseau qui déchargent le processus de chiffrement IPsec sur un autre processeur de la carte réseau.

Prise en charge du protocole EAP

EAP-TLS est un mécanisme d'authentification mutuelle développé pour être utilisé avec des méthodes d'authentification associées à des systèmes de sécurisation comme les cartes à puce ou les jetons matériels. EAP-TLS prend en charge les connexions VPN et établies via le protocole PPP (Point-to-Point Protocol). Il autorise également l'échange de clés secrètes partagées pour le chiffrement MPPE (Microsoft Point-to-Point Encryption).

La résistance aux attaques en force et la prise en charge de l'authentification mutuelle sont les principaux avantages du protocole EAP-TLS. Grâce à l'authentification mutuelle, le client et le serveur doivent se confirmer mutuellement leur identité. Si l'un ou l'autre n'envoie pas un certificat attestant de son identité, la connexion prend fin.

Windows Server 2003 prend en charge EAP-TLS pour les connexions par modem et VPN, autorisant ainsi l'utilisation de cartes à puce pour l'accès distant. Pour plus d'informations sur EAP-TLS, reportez-vous à la rubrique Extensible Authentication Protocol (protocole EAP) du site Web de Microsoft à l'adresse technet.microsoft.com/network/bb643147

Pour plus d'informations sur les exigences du certificat EAP, reportez-vous à la rubrique Certificate Requirements when you use EAP-TLS and PEAP with EAP-TLS (Certificat requis lors de l'utilisation du protocole EAP-TLS et du protocole PEAP avec EAP-TLS) à l'adresse https://support.microsoft.com/kb/814394/fr

Conditions requises pour le serveur d'authentification d'identité

Pour ouvrir une session, les utilisateurs distants doivent fournir leurs informations d'identification à un service d'authentification. Pour les utilisateurs distants, Windows propose les deux services d'authentification suivants :

  • les serveurs IAS (Internet Authentication Services) ;

  • Service d'annuaire Active Directory®

Si votre entreprise opte pour le fournisseur d'authentification RADIUS (Remote Authentication Dial-In User Service), vous devez intégrer des serveurs IAS dans votre configuration. IAS correspond à la mise en œuvre Microsoft de RADIUS. Il s'exécute comme un service sur Windows 2000 Server ou version ultérieure.

Les entreprises peuvent bénéficier de la mise en œuvre du service IAS pour l'authentification RADIUS par carte à puce et en tirer les avantages suivants :

  • autorisation et authentification centralisées des utilisateurs ;

  • mécanismes de gestion et de comptabilité distincts ;

  • choix important d'options d'autorisation et d'authentification.

Le serveur IAS gère le processus d'authentification. Le serveur IAS transmet la demande d'authentification et les informations du certificat d'ouverture de session de l'utilisateur à Active Directory. Celui-ci compare le certificat d'ouverture de session aux informations du certificat enregistrées pour l'utilisateur distant concerné. Si les informations du certificat correspondent, Active Directory authentifie l'utilisateur.

Pour plus d'informations sur une solution de conception utilisant IAS, reportez-vous à la section « Conception de la solution » plus loin dans ce chapitre.

Distribution et inscription des cartes à puce pour l'accès distant

Le processus de distribution et d'inscription des cartes à puce pour l'accès distant est similaire à celui de la solution destinée au compte d'administrateur, comme indiqué dans le chapitre 3 « Utilisation de cartes à puce pour sécuriser les comptes d'administrateurs ». La principale différence réside dans le nombre d'utilisateurs (qui est beaucoup plus important) et dans le fait que le processus peut avoir lieu dans plusieurs pays/régions.

La vérification de l'identité de l'utilisateur distant représente toujours une étape importante du processus. Cependant, les utilisateurs distants ne disposant pas des mêmes droits que les administrateurs, le fait de s'identifier à l'aide d'une pièce d'identité (avec photo), telle qu'un passeport ou un permis de conduire constitue une solution appropriée. Un responsable doit fournir un justificatif pour que l'administrateur accorde un accès distant à l'utilisateur.

Les stations d'inscription doivent là encore être disponibles dans des lieux appropriés, tels que le service du personnel ou le service de sécurité, auxquels les utilisateurs peuvent se rendre pour récupérer leurs cartes à puce. Si un utilisateur ne peut se rendre à la station d'inscription, vous pouvez utiliser des outils afin de débloquer l'utilisateur, de l'inscrire et d'activer sa carte à puce.

La procédure d'inscription requiert un agent d'inscription chargé de générer la demande de certificat au nom de l'utilisateur et d'installer le certificat obtenu sur la carte à puce. L'agent d'inscription envoie la carte à puce bloquée à l'utilisateur via une méthode de livraison sécurisée. Ensuite, l'utilisateur contacte le support technique, justifie son identité et débloque la carte à puce, comme indiqué dans la section Serveur Web d'activation du chapitre 2, « Technologies des cartes à puce ».

Remarques complémentaires

Lorsqu'une entreprise met en œuvre l'accès distant sécurisé, elle voit souvent le nombre de demandes d'adhésion à ce service augmenter. L'entreprise doit examiner son infrastructure réseau actuelle et, si nécessaire, fournir des ressources supplémentaires. Les points à examiner sont les suivants :

  • listes de révocation de certificats ;

  • haute disponibilité et bande passante ;

  • distribution de mises à jour logicielles.

Listes de révocation de certificats

La mise en œuvre de certificats pour les utilisateurs distants implique des changements quant à la méthode utilisée par les clients pour localiser une liste de révocation de certificats (CRL) afin de vérifier la validité d'un certificat. L'URL (Uniform Resource Locator) par défaut de la liste de révocation de certificats pour Windows Server 2003 pointe vers un emplacement intranet, par exemple URL=http://Certification_Root_Server_DNS_Name/CertEnroll/
Certification_Authority_Name.crl.

Cette URL doit diriger les utilisateurs distants vers un emplacement accessible depuis Internet. Cette condition implique tous les certificats délivrés et comprend les URL intranet et extranet pour la liste de révocation de certificats. Pour plus d'informations sur la personnalisation des listes de révocation de certificats, reportez-vous à la rubrique Specify certificate revocation list distribution points in issued certificates (Spécifier des points de distribution de listes de révocation de certificats dans les certificats émis) à l'adresse technet2.microsoft.com/windowsserver/fr/library/6c95826e-8c8d-4138-bae6-a92e8612499f1036.mspx.

Remarque : les ordinateurs distants qui téléchargent la liste de révocation de certificats via une connexion lente risquent de rencontrer des problèmes de dépassement de délai.

Distribution de mises à jour logicielles

La mise en œuvre d'un mécanisme de distribution des mises à jour logicielles est une étape importante de la mise en œuvre des cartes à puce pour l'accès utilisateur. Parmi les mises à jour logicielles figurent notamment des profils Connection Manager à jour et des nouvelles versions des outils de gestion des cartes à puce.

Vous pouvez distribuer les mises à jour logicielles en utilisant :

  • des serveurs Web contenant les mises à jour et accessibles en externe ;

  • des CD ou des clés USB ;

  • des solutions de gestion logicielles telles que Systems Management Server (SMS) 2003 ;

  • des courriers électroniques contenant des mises à jour numériquement signées.

Si vous optez pour la quarantaine VPN, vous pouvez distribuer les mises à jour des profils Connection Manager en ayant recours à la même méthode que celle que vous utilisez pour vos mises à jour de sécurité et votre logiciel antivirus. Pour plus d'informations sur la quarantaine VPN, reportez-vous à la rubrique Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide (Mise en œuvre des services de quarantaine à l'aide du guide de planification Microsoft Virtual Private Network) à l'adresse https://go.microsoft.com/fwlink/?LinkId=41307.

La mise à disposition de mises à jour de Connection Manager et de cartes à puce via un serveur Web accessible de l'extérieur permet aux utilisateurs de télécharger les mises à jour avant de se connecter au réseau de l'entreprise. L'inconvénient de cette solution réside dans le fait que l'utilisateur risque de ne pas pouvoir s'authentifier auprès du serveur Web externe avec sa carte à puce. Dans ce cas, les utilisateurs doivent utiliser une combinaison nom d'utilisateur/mot de passe pour ouvrir une session et télécharger des mises à jour. Cela semble aller à l'encontre de l'authentification à deux facteurs, mais le serveur Web ne fournissant que des mises à jour, le risque encouru semble acceptable.

La distribution de mises à jour sur CD s'avère très pratique dans le cadre de déploiements initiaux de grande envergure, car le coût d'un CD chute considérablement lorsque le disque est produit en grande quantité. Les clés USB conviennent davantage aux mises à jour destinées à une seule personne.

L'utilisation de systèmes de gestion de logiciels tels que Systems Management Server 2003 pour distribuer des mises à jour logicielles exige que les ordinateurs se connectent au réseau. Ce mécanisme peut convenir aux utilisateurs itinérants et distants qui se connectent régulièrement au réseau local et qui utilisent des ordinateurs membres du domaine de l'entreprise. Toutefois, les mécanismes de mise à jour logicielle tels que Systems Management Server ne conviennent pas aux utilisateurs distants qui travaillent chez eux, sur leurs propres ordinateurs.

Dans certains cas, vous pouvez envoyer des mises à jour par courrier électronique. Pour mettre en œuvre cette méthode de distribution logicielle, vous devez fournir des mises à jour numériquement signées et apprendre à l'utilisateur à vérifier l'authenticité du certificat numériquement signé.

Cette section vous a permis de découvrir les composants susceptibles de permettre une authentification par carte à puce pour les comptes d'accès distant. La section suivante qui traite les Questions et Besoins présente les problèmes qu'a pu rencontrer la Woodgrove National Bank lors de la mise en œuvre des cartes à puce.

Questions et besoins

Pendant la phase de planification et de conception de la solution de carte à puce pour l'accès distant, le service informatique de la Woodgrove National Bank a rencontré des problèmes professionnels, techniques et de sécurité. La section suivante identifie ces problèmes.

Contexte du scénario de la Woodgrove National Bank

La Woodgrove National Bank offre à ses commerciaux, à son personnel de support informatique et à ses dirigeants un accès distant à son réseau d'entreprise. La solution d'accès distant actuelle utilise un accès réseau à distance via des circuits privés vers des serveurs d'accès distant dédiés équipés de modems ou de cartes RNIS. Comparé aux connexions haut débit, ce type de connexion est lent et onéreux, surtout pour les utilisateurs distants qui voyagent dans le monde entier.

L'accès Internet haut débit est de plus en plus répandu et permet aux entreprises d'utiliser un réseau privé virtuel (VPN) pour l'accès distant. Cette approche réduit les coûts en supprimant l'accès par modem et améliore le confort d'utilisation. La banque devient toutefois plus vulnérable aux attaques malveillantes.

Respect de la réglementation en vigueur

En tant qu'institution financière, la Woodgrove National Bank doit respecter les réglementations strictes en vigueur dans les différents pays/régions. La banque doit préserver la confiance de ses clients en protégeant les ressources de l'entreprise et des clients. La Woodgrove National Bank a mis en œuvre une initiative visant à sécuriser ses ordinateurs et a défini des stratégies de sécurité strictes sur tous les ordinateurs qui ont accès au réseau de l'entreprise, qu'ils soient connectés au réseau local ou à distance.

Vérification des utilisateurs

La solution d'accès distant actuelle de la Woodgrove National Bank ne permet pas de répondre de façon appropriée aux attaques par usurpation d'identité (dans ce type d'attaque le pirate tente de découvrir la combinaison nom d'utilisateur/mot de passe). Les attaques par usurpation d'identité peuvent verrouiller des comptes d'accès distant, empêchant ainsi les utilisateurs légitimes de se connecter. Cette vulnérabilité augmente les risques encourus par le réseau de l'entreprise et a contraint la Woodgrove National Bank à limiter les options de connectivité proposées à ses employés.

Problèmes propres à l'entreprise

Un grand nombre de dirigeants utilisent l'accès distant. Bien que la sécurité soit prépondérante lors du déploiement d'une solution de carte à puce, le maintien de la productivité de l'utilisateur distant reste tout aussi important. La solution déployée doit équilibrer au mieux ces besoins.

Maintien de la productivité

Les employés n'ont souvent plus confiance dans les solutions de sécurité affectant leur productivité. Les utilisateurs sont souvent frustrés lorsqu'ils ne parviennent pas à accéder aux ressources réseau pendant ou juste après le déploiement d'une solution. Le service informatique de la Woodgrove National Bank doit proposer d'autres méthodes d'accès afin d'essayer de combler ces frustrations. La liste suivante répertorie les autres méthodes d'accès réseau disponibles :

  • Outlook Web Access. Fournit à l'utilisateur un accès sécurisé à la messagerie électronique via un navigateur Web.

  • Bureau à distance et services Terminal Server. Les employés peuvent utiliser le Bureau à distance et les services Terminal Server pour accéder aux applications de l'entreprise et aux fichiers des ordinateurs.

Support technique

L'acceptation de l'utilisateur et l'intégrité d'une solution d'accès distant sont souvent fonction du niveau de support disponible. Les dirigeants sont frustrés de perdre du temps avant d'avoir accès au support technique. L'entreprise doit prévoir le budget nécessaire à la formation de l'utilisateur final et du personnel de support.

Problèmes techniques

La Woodgrove National Bank a identifié plusieurs problèmes techniques essentiels à traiter avant de déployer la solution de carte à puce pour l'accès distant. Ces problèmes incluent notamment la distribution des cartes à puce et des lecteurs de cartes, l'intégration de la solution au réseau actuel avec une interruption minimale et son intégration à l'infrastructure de gestion informatique actuelle.

  • Lecteurs de cartes à puce pris en charge. Les utilisateurs distants peuvent travailler de chez eux sur des ordinateurs équipés de systèmes d'exploitation différents. Le service informatique de la Woodgrove National Bank a décidé que seules seraient prises en charge les configurations Windows XP Professionnel avec SP2 ou ultérieur. Pour les utilisateurs distants exécutant Windows 2000 Professionnel, la prise en charge des lecteurs de cartes à puce n'est pas garantie.

  • Latence du réseau. Le temps nécessaire à l'acheminement des paquets du client au serveur d'accès distant, puis à nouveau vers le client peut provoquer l'échec des connexions sécurisées VPN. Cela constitue un véritable problème pour les connexions haut débit par satellite. La Woodgrove National Bank a décidé de ne pas prendre en charge les connexions qui présentent une latence moyenne de plus de 300 millisecondes.

  • Distribution des cartes à puce. La Woodgrove National Bank étant présente dans plusieurs pays/régions du monde, la distribution des cartes à puce constitue à la fois un problème technique et un problème de sécurité. Les agents d'inscription doivent pouvoir contacter le serveur Web d'activation quels que soient le pays ou la région où ils se trouvent. D'autre part, il se peut que les utilisateurs doivent débloquer leurs cartes à puce via un système de stimulation/réponse. Le système de stimulation/réponse peut nécessiter des efforts de développement afin d'être créé avec le kit de développement logiciel (SDK) du fournisseur de cartes à puce.

Problèmes de sécurité

dans le cadre de la mise en œuvre de l'accès distant sécurisé par carte à puce, les problèmes suivants affectent la stratégie de sécurité de la Woodgrove National Bank :

  • Identification des utilisateurs d'accès distant. Le service informatique de la Woodgrove National Bank doit valider l'identité des utilisateurs d'accès distant lors du processus d'activation et de distribution des cartes à puce.

  • Exceptions de connexion dans le cas de la solution de la Woodgrove National Bank. Les cartes à puce pouvant être perdues, volées ou tout simplement oubliées, le service informatique de la Woodgrove National Bank doit s'assurer que sa solution de déploiement de cartes à puce dispose d'une méthode de distribution rapide et fiable de cartes à puce de remplacement et une méthode de gestion des exceptions pendant le transit des cartes de remplacement.

Exigences de la solution

Les exigences de la solution relatives à l'utilisation de cartes à puce pour sécuriser les comptes d'accès distant incluent les composants suivants :

  • Services d'authentification Internet (IAS). Les serveurs IAS actuels requièrent des mises à jour vers Windows Server 2003 avec Service Pack 1 (ou ultérieur) pour faciliter le filtrage IP amélioré et l'acceptation d'attributs spécifiques à un distributeur. En outre, le service informatique de la Woodgrove National Bank doit activer la prise en charge du protocole EAP-TLS sur les serveurs d'accès distant.

  • Modèles d'utilisateurs de cartes à puce. La Woodgrove National Bank doit mener à bien la personnalisation des modèles de certificats et définir les autorisations appropriées sur les modèles. L'agent d'inscription de certificats et les modèles d'ouverture de session de carte à puce requièrent les autorisations adéquates.

    Remarque : vous pouvez limiter l'accès distant aux certificats de carte à puce en définissant la stratégie d'accès distant de façon à ce qu'elle accepte uniquement un certificat qui possède un identificateur d'objet spécifique. Pour plus d'informations sur les modèles de certificats et les identificateurs d'objet, consultez le livre blanc Implementing and Administering Certificate Templates in Windows Server 2003 (Mise en œuvre et administration des modèles de certificats sous Windows Server 2003) à l'adresse technet2.microsoft.com/windowsserver/en/library/c25f57b0-5459-4c17-bb3f-2f657bd23f781033.mspx.

  • Outils de gestion des codes PIN. Les utilisateurs ont besoin d'un utilitaire qui leur permette de gérer leurs propres codes PIN. La plupart des distributeurs de cartes à puce fournissent des outils de gestion de codes PIN simples. Le service informatique de la Woodgrove National Bank a décidé de pousser encore plus loin la personnalisation en intégrant à l'outil de gestion des codes PIN un utilitaire de déblocage de code PIN distant.

  • Objets Stratégie de groupe (GPO). Le service informatique de la Woodgrove National Bank doit créer les GPO qui conviennent à sa structure d'unité d'organisation. Ces GPO doivent inclure des paramètres qui assurent la prise en charge d'exceptions, telles que le cas où l'utilisateur perd ou oublie sa carte à puce ou son code PIN.

  • Profils Connection Manager. Le service informatique de la Woodgrove National Bank doit créer des profils Connection Manager contenant des paramètres de connexion serveur par modem ou VPN, configurés spécifiquement pour les serveurs d'accès distant de la banque. Le service informatique de la Woodgrove National Bank doit également personnaliser le texte du profil Connection Manager afin d'aider les utilisateurs à comprendre le processus de connexion et de leur indiquer la marche à suivre en cas de problème. Le service informatique de la Woodgrove National Bank a créé différents profils Connection Manager pour des utilisateurs différents ; un pour les dirigeants, un autre pour les utilisateurs réguliers et enfin un pour le personnel administratif. Lors de la configuration de la connexion, chaque profil avait des priorités différentes. Les administrateurs peuvent se connecter à distance indépendamment des niveaux de trafic réseau.

  • Windows XP Professionnel avec Service Pack 2. La Woodgrove National Bank doit mettre à niveau tous les ordinateurs distants vers Windows XP Professionnel avec SP2 ou ultérieur. Windows XP Professionnel avec SP2 offre des fonctions de sécurité améliorées, telles que le Pare-feu Windows, ainsi qu'une meilleure prise en charge des mises à jour automatiques qui optimisent l'intégrité de la solution d'accès distant. Windows XP Édition familiale avec SP2 offre également ces fonctionnalités, mais l'ordinateur qui exécute ce système ne peut ni intégrer un domaine ni utiliser la stratégie de groupe. Windows 2000 Professionnel avec SP4 ne bénéficie pas des améliorations de sécurité de Windows XP Professionnel avec SP2.

  • Approvisionnement en cartes à puce et en lecteurs de cartes. Bien que l'infrastructure à clé publique de la Woodgrove National Bank ne soit pas très récente, la banque n'aurait que très peu d'intérêt à installer le système d'exploitation Windows for Smart Cards sur des cartes à puce vierges. La plupart des fournisseurs proposent des cartes à puce sur lesquelles un système d'exploitation est déjà installé. Le fait de se procurer des cartes à puce et des lecteurs de cartes auprès d'un même fournisseur permet d'avoir un contact unique en cas de problème nécessitant une assistance.

  • Lecteurs de cartes à puce USB ou de cartes PC. La création d'une base standard pour le déploiement réduit le coût de l'installation d'une solution de carte à puce. La Woodgrove National Bank a mis en œuvre une stratégie d'entreprise exigeant que tous les nouveaux ordinateurs portables soient équipés de lecteurs de cartes à puce intégrés. La Woodgrove National Bank a également défini une règle commune pour l'approvisionnement en lecteurs de cartes à puce USB. La banque fournit des lecteurs de cartes à puce USB aux employés qui travaillent de chez eux sur leurs propres ordinateurs. La Woodgrove National Bank s'est également assurée de la continuité de son système par le biais d'un contrat établi avec le fournisseur de cartes à puce, stipulant que celui-ci s'engage à fournir le même modèle de lecteur de cartes pendant une période de deux ans.

  • Relations d'approbation. La Woodgrove National Bank a utilisé, dans le cadre du déploiement de sa solution de carte à puce, les relations d'approbation entre des forêts distinctes et des approbations à sens unique, telles que celles entre des forêts d'équipe de développement plus petites et la forêt principale de l'entreprise. Ce scénario n'a exigé aucune modification des modèles de certificats.

  • Infrastructure à clé publique (PKI, Public Key Infrastructure) Windows Server 2003. Les services de certificat de Windows Server 2003 permettent d'attribuer des autorisations à des éléments d'un modèle de certificat de carte à puce par défaut et de personnaliser des modèles. L'optimisation de la souplesse des autorisations du modèle est un élément essentiel qui permet au service informatique de la Woodgrove National Bank de déléguer en toute sécurité le modèle d'émission de certificat défini. Le service informatique de la Woodgrove National Bank utilise les fonctionnalités améliorées de l'infrastructure à clé publique de Windows Server 2003 pour définir des règles de renouvellement automatique des certificats. Le service informatique utilise les fonctionnalités des autorisations du modèle de certificat pour exiger des responsables de la sécurité de la Woodgrove National Bank la création manuelle de toute nouvelle inscription de certificat de carte à puce. Toutefois, l'utilisateur peut renouveler automatiquement tous les certificats de carte à puce actuels.

Lorsque la Woodgrove National Bank a décidé de mettre en œuvre une solution de carte à puce, elle utilisait déjà l'infrastructure à clé publique de Windows 2000 Server. Pour le pilote initial, le service informatique de la Woodgrove National Bank a décidé d'utiliser son infrastructure de sécurité Windows 2000 actuelle pour créer et gérer des certificats de cartes à puce, plutôt que d'avoir recours à des services tiers. Toutefois, la solution de sécurité par carte à puce de la Woodgrove National Bank requiert que les certificats expirent après une période d'un an. Cette exigence implique des coûts de support technique importants car elle signifie renouveler manuellement des dizaines de milliers de certificats d'utilisateur chaque année. En raison de cette charge administrative supplémentaire, le service informatique de la Woodgrove National Bank a décidé de mettre à niveau son infrastructure à clé publique vers Windows Server 2003.

Si la Woodgrove National Bank avait choisi d'utiliser l'infrastructure à clé publique de Windows 2000 Server pour le renouvellement automatique des certificats, ses options de renouvellement auraient été limitées car elle aurait eu à choisir entre le renouvellement automatique et le renouvellement manuel de tous les certificats. Le renouvellement automatique de tous les certificats supprime toute souplesse d'options de renouvellement.

Conception de la solution

Cette section présente les choix de conception du service informatique de la Woodgrove National Bank dans le cadre de l'utilisation de cartes à puce pour sécuriser l'accès distant. Cette section inclut le concept de la solution, la configuration requise pour la solution et décrit l'architecture de la solution.

Concept de la solution

La solution utilise une combinaison de paramètres de stratégie de groupe, de stratégies d'accès distant, de profils Connection Manager, de certificats utilisateur X.509 v3 installés sur des cartes à puce et de lecteurs de cartes. Le concept est le suivant : un utilisateur distant lance un profil Connection Manager personnalisé qui l'invite à insérer une carte à puce dans le lecteur de cartes de son ordinateur. Le système d'exploitation invite ensuite l'utilisateur à entrer un code PIN. Si le code PIN est exact, le lecteur extrait le certificat de la carte à puce et les informations du compte. Connection Manager établit une connexion vers le serveur d'accès distant de l'entreprise et présente les informations d'identification de la carte à puce. Enfin, Active Directory authentifie ces informations d'identification et le serveur d'accès distant autorise l'utilisateur à accéder au réseau de l'entreprise.

Configuration requise

La configuration requise pour une solution de carte à puce permettant de sécuriser des comptes d'accès distant est identique à celle requise pour la solution de carte à puce permettant de sécuriser des comptes d'administrateurs. Vous devez :

  • consulter les utilisateurs et les groupes ;

  • mettre en place l'équipe de projet ;

  • définir les attentes de l'utilisateur ;

  • effectuer des mises à niveau matérielles et logicielles ;

  • distribuer et activer les cartes à puce en toute sécurité.

Consultation des utilisateurs et des groupes

Dans le cycle planifié, vous devez évaluer les solutions d'accès distant actuelles et consulter les personnes qui les utilisent. La Woodgrove National Bank est présente dans plusieurs pays/régions comptant des utilisateurs distants. L'équipe initiale a enquêté auprès des utilisateurs distants et des équipes de support actuels afin d'identifier et de « recruter » des utilisateurs, groupes et équipes de support susceptibles de participer aux pilotes.

Mise en place de l'équipe de projet

Pour mettre en œuvre un projet de ce type, vous devez vous assurer que vous disposez bien du personnel et des compétences appropriés. L'équipe de projet aura très probablement besoin de personnes occupant les postes suivants :

  • responsable du programme ;

  • architecte des systèmes d'information ;

  • analyste système ou intégrateur ;

  • ingénieurs système ;

  • responsable de la sortie du produit ;

  • responsable des tests du produit ;

  • responsable du support technique ;

  • spécialistes du support pour les utilisateurs ;

  • responsables de la sécurité.

Pour plus d'informations sur les postes et les associations de rôles dans le cadre du MOF (Microsoft Operations Framework), consultez le livre blanc The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy (livres blancs MSF (Microsoft Solutions Framework) supplémentaires -  Classification des postes dans l'informatique) à l'adresse https://www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053

Si vous ne possédez pas en interne toutes les compétences requises, recrutez du personnel supplémentaire. Le projet n'impliquant pas toutes ces personnes dans toutes les étapes, vous devez déterminer la disponibilité de chacun pour la durée du projet.

Définition des attentes de l'utilisateur

En ce qui concerne les attentes de l'utilisateur, les ouvertures de session plus longues constituent le problème principal des cartes à puce et de l'accès distant. Avec l'authentification par carte à puce, l'utilisateur doit s'attendre à ce que l'ouverture de session dure quelques secondes de plus.

Mises à niveau matérielles et logicielles

La solution de carte à puce pour l'accès distant requiert les systèmes d'exploitation et les service packs Microsoft les plus récents. Ainsi, la solution d'accès distant peut tirer parti des toutes dernières avancées et des services de sécurité de Windows XP Professionnel avec SP2 et de Windows Server 2003 avec SP1, notamment du Pare-feu Windows, de la prévention d'exécution des données, de l'Assistant Configuration de la sécurité et de la mise en quarantaine VPN.

Les mises à niveau logicielles peuvent nécessiter des mises à niveau vers le matériel du client ou du serveur. Un programme pilote peut déterminer si l'ancien équipement peut exécuter ou non les systèmes d'exploitation plus récents. Pour vérifier si votre équipement est certifié pour Windows XP ou Windows Server 2003, reportez-vous à la page Products Designed for Microsoft Windows (Produits conçus pour Microsoft Windows) et consultez la rubrique Windows Catalog and HCL (Catalogue et liste de compatibilité matérielle de Windows) à l'adresse https://www.microsoft.com/whdc/hcl/default.mspx?gssnb=1.

Distribution et activation des cartes à puce en toute sécurité

La mise en œuvre de cartes à puce pour l'accès distant requiert une méthode sécurisée de distribution et d'activation des cartes à puce. En général, ce processus de distribution nécessite que l'utilisateur contacte son bureau administratif local, que l'agent d'inscription vérifie son identité, puis que ce dernier émette la carte à puce et entreprenne la procédure d'activation. La section Modèle d'émission délégué, plus loin dans ce chapitre, décrit la méthode utilisée par la Woodgrove National Bank pour distribuer et activer des cartes à puce pour des utilisateurs distants.

Architecture de la solution

La mise en œuvre de la solution de carte à puce pour l'accès distant entreprise par la Woodgrove National Bank requiert les composants suivants :

  • Active Directory

  • Services IAS installés sur un serveur Windows Server 2003

  • Windows Server 2003 avec SP1 avec routage et accès distant

  • Stratégie de groupe

  • Ordinateurs clients exécutant Windows XP Professionnel avec SP2 ou ultérieur

  • Lecteurs de cartes à puce

  • Cartes à puce dotées d'une mémoire de 32 Ko minimum

  • Profils Connection Manager créés avec CMAK

  • Scripts côté client pour le profil Connection Manager

Dans un premier temps, le service informatique de la Woodgrove National Bank a envisagé de proposer un support pour toutes les versions de Windows actuellement déployées. Puis, en prenant de plus en plus conscience des risques qu'encourent les ordinateurs connectés à Internet, ils ont décidé de généraliser l'utilisation de Windows XP Professionnel avec SP2 ou ultérieur.

À la Woodgrove National Bank, les comptes d'utilisateurs et les appartenances aux groupes stockés dans Active Directory régulent la connectivité et l'accès à distance aux ressources de l'entreprise. Le service informatique de la Woodgrove National Bank utilise également les objets GPO pour la configuration des ordinateurs clients afin de respecter les stratégies de sécurité du réseau de l'entreprise.

Comment fonctionne la solution

Cette section présente des détails techniques relatifs à la solution mise en œuvre par la Woodgrove National Bank. Elle explique comment Active Directory authentifie l'utilisateur et suit le chemin d'authentification des informations d'identification des cartes à puce.

La procédure suivante permet d'activer l'accès distant par carte à puce :

  1. Un utilisateur distant ouvre une session sur un ordinateur avec accès à Internet et équipé d'un lecteur de cartes à puce. L'utilisateur lance le profil Connection Manager personnalisé en double-cliquant sur la connexion nommée Woodgrove IT Connection Manager for smart cards.

  2. Le profil Connection Manager vérifie si une carte à puce est insérée dans le lecteur de cartes à puce. Une boîte de dialogue invitant l'utilisateur à entrer son code PIN apparaît. Connection Manager utilise le code PIN pour effectuer des opérations clés sur la carte en tant que service système car il ne peut pas lancer une invite et afficher l'interface utilisateur sur le bureau. Si l'utilisateur entre le bon code PIN, la carte se débloque et permet de continuer le processus d'ouverture de session d'accès distant.

  3. L'autorité de sécurité locale (LSA) est le composant approuvé du système d'exploitation chargé d'effectuer toutes les opérations d'authentification. SChannel (code qui met en œuvre SSL) s'exécute en partie dans l'autorité de sécurité locale et initialise la séquence de mappage.

  4. Le profil Connection Manager initialise une liaison vers les serveurs IAS de la Woodgrove National Bank via une connexion par modem ou VPN. Le serveur IAS effectue un contrôle de révocation sur le certificat du client. Grâce au mappage des certificats avec le Nom d'utilisateur principal (UPN), l'autorité de certification émettrice doit se trouver dans le magasin NTAUTH. Un mappage explicite peut également être défini sur le compte d'utilisateur Active Directory.

  5. L'autorité de sécurité locale présente les informations de l'utilisateur au serveur IAS. Le code SChannel qui s'exécute sur le serveur IAS envoie un message au code SChannel qui réside sur le contrôleur de domaine et lui transmet les informations UPN du certificat.

  6. Le code SChannel qui s'exécute sur le serveur IAS valide le certificat, puis recherche l'utilisateur dans Active Directory sur le contrôleur de domaine. Le contrôleur de domaine génère un PAC (Privilege Access Certificate) contenant l'identificateur 128 bits et l'appartenance de groupe de l'utilisateur. Ce stade atteint, les communications suivantes utilisent le protocole Kerberos v5.

  7. Le contrôleur de domaine transmet une clé de session générée de façon aléatoire à l'ordinateur client. Cette clé contient le ticket d'authentification (TGT) Kerberos. La réception de cette clé authentifie le serveur d'accès distant auprès du client. Les deux ordinateurs se sont à présent mutuellement authentifiés.

  8. L'ordinateur client déchiffre la clé de session et présente le ticket d'authentification Kerberos v5 au service d'attribution de tickets. Une fois ce processus effectué, toutes les autres communications du protocole Kerberos v5 utilisent le chiffrement symétrique.

  9. Si l'utilisateur s'est connecté via une connexion par modem, une boîte de dialogue invitant l'utilisateur à entrer un nom d'utilisateur et un mot de passe apparaît. L'utilisateur entre ses informations d'identification et peut accéder à toutes les ressources du réseau de la Woodgrove National Bank. Les utilisateurs qui se sont connectés via un réseau privé virtuel (VPN) peuvent ignorer cette étape.   

L'illustration ci-dessous présente les étapes de l'authentification de l'accès distant par carte à puce.

Dd491907.pgfg0401(fr-fr,TechNet.10).gif

Figure 4.1 Ouverture de session par accès distant et processus d'authentification par carte à puce

Les cycles de processus supplémentaires requis pour traiter les informations de la carte à puce allongent la durée du processus d'authentification initial de 20 à 25 secondes environ. Une fois l'authentification terminée, les performances ne sont pas affectées.

Considérations de conception complémentaires

La section suivante présente d'autres considérations relatives au déploiement de cartes à puce. Elle présente notamment le mécanisme de distribution mis en place par la Woodgrove National Bank.

Modèle d'émission délégué

Le service informatique de la Woodgrove National Bank a développé un modèle d'émission délégué pour les cartes à puce. Ce modèle offre un support réactif qui permet d'assurer un niveau de sécurité maximum dans le cadre de la distribution des cartes à puce aux employés répartis dans le monde entier.

Pour le déploiement de cartes à puce en dehors du centre informatique principal de la Woodgrove National Bank (basé à Londres), le service informatique de la banque a utilisé un modèle d'émission délégué. Il a ensuite envoyé des techniciens dans les différents bureaux locaux répartis dans le monde entier afin de former les responsables d'émission délégués (DIO). Les techniciens ont formé les responsables d'émission délégués pour distribuer des cartes à puce et utiliser les outils de gestion des cartes à puce. Après cette première visite, les responsables d'émission délégués ont participé à des conférences téléphoniques hebdomadaires avec l'équipe informatique principale de la Woodgrove National Bank afin de traiter les problèmes rencontrés.

L'illustration ci-dessous montre les étapes constituant le modèle d'émission délégué pour l'approbation de la demande de certificat.

Dd491907.pgfg0402(fr-fr,TechNet.10).gif

Figure 4.2 Processus de délégation des cartes à puce utilisé pour émettre des cartes à puce pour l'accès distant

Opérations réalisées dans le cadre de cet organigramme :

  1. L'utilisateur demande une carte à puce au responsable d'émission délégué.

  2. Ce dernier valide l'identité de l'utilisateur en la comparant à une pièce d'identité acceptable, telle qu'un passeport ou un permis de conduire, puis vérifie l'identité de l'utilisateur auprès du service principal. Une fois l'identité de l'utilisateur confirmée, le responsable d'émission délégué envoie une demande de certificat au responsable de la sécurité basé à Londres.

  3. Pour valider la demande, le responsable de la sécurité vérifie si des certificats ont déjà été émis pour ce nom d'utilisateur. Le responsable de la sécurité détermine également si l'utilisateur a déjà envoyé d'autres demandes de cartes à puce. Si l'émission de la carte à puce ne fait l'objet d'aucune objection, le responsable de la sécurité donne son approbation. Si le responsable de la sécurité découvre un problème, le processus doit faire l'objet d'un audit, comme indiqué à l'étape 5.

  4. L'agent d'émission délégué reçoit l'approbation, puis utilise le compte de l'agent d'inscription pour émettre le certificat. Ce certificat est intégré à une nouvelle carte à puce que l'agent d'émission délégué remet en mains propres à l'utilisateur. Le processus d'émission délégué est terminé.

  5. En cas de doutes sur la validité de la demande, le responsable de la sécurité effectue un audit afin de déterminer s'il peut accorder son approbation à l'utilisateur. Une fois l'audit terminé, l'utilisateur doit faire une nouvelle demande.

  6. Le processus d'émission délégué est terminé.

La Woodgrove National Bank n'a pu mettre en œuvre le modèle d'émission délégué que lorsque son service informatique a fait migrer les autorités de certification de l'entreprise vers Windows Server 2003. L'infrastructure à clé publique de Windows Server 2003 permet d'appliquer des autorisations détaillées à des sections des modèles de certificats, activant ainsi le rôle des agents d'émission délégués au sein du modèle d'émission délégué. Dans le modèle d'émission, la Woodgrove National Bank a développé des procédures visant à émettre de nouveau en toute sécurité des cartes à puce perdues ou volées.  

Configuration de la comptabilisation RADIUS

Bien que la maintenance des journaux ne soit pas obligatoire dans le cadre de la mise en œuvre d'une solution d'accès distant par carte à puce, Microsoft vous recommande vivement de l'entreprendre. Si vous utilisez les serveurs IAS, vous pouvez bénéficier de la prise en charge intégrée du fournisseur de comptabilisation RADIUS qui enregistre les demandes de connexion et les sessions client. La Woodgrove National Bank souhaite savoir quels utilisateurs se connectent au réseau de l'entreprise, ainsi que l'heure et la durée de la connexion. RADIUS permet à la Woodgrove National Bank d'analyser les tendances de connexion, afin d'analyser et d'améliorer le service.

Chaque serveur IAS récupère les données des sessions d'utilisateurs, qu'il stocke dans Microsoft SQL Server™ Desktop Engine (Windows) (WMSDE) sous Windows Server 2003 ou sur SQL Server 2000 Desktop Engine (MSDE 2000) sous Windows 2000 Server et versions antérieures. Le serveur IAS transfère les informations de comptabilisation de WMSDE ou de MSDE vers une base de données centrale SQL Server 2000, et ce pratiquement en temps réel. Cette méthode garantit une utilisation économique des licences SQL Server et n'affecte en rien les performances du serveur.

La Woodgrove National Bank a déployé des serveurs SQL Server régionaux de collecte des données afin de collecter les données de session d'accès distant IAS.

Déploiement des pilotes

Le service informatique de la Woodgrove National Bank teste toutes les solutions dans un environnement de laboratoire et dans plusieurs pilotes avant de les déployer sur le réseau de production. Pour déployer sa solution de carte à puce pour l'accès distant, le service informatique a développé deux pilotes : le premier a impliqué un petit groupe d'utilisateurs expérimentés et le second un groupe plus hétérogène d'utilisateurs répartis dans plusieurs pays/régions avec différentes expériences de l'accès distant.

Le pilote du groupe d'utilisateurs expérimentés a permis à la Woodgrove National Bank d'identifier les problèmes importants liés au déploiement d'une solution de carte à puce. Les utilisateurs les plus expérimentés ont été capables de gérer les problèmes mineurs d'interruption et les boîtes de dialogues inattendues. Une fois le premier pilote terminé, le service informatique a compris que sa solution de carte à puce fonctionnerait mais que certains ajustements seraient nécessaires.

Le second pilote, comprenant différents types d'utilisateur, a permis au service informatique d'identifier les types d'appels auxquels serait confronté le support technique suite à un déploiement complet. Ce pilote a permis au support technique de résoudre des problèmes techniques et de mettre en valeur les développements ultérieurs requis avant d'opter pour un déploiement des cartes à puce pour tous les utilisateurs distants.

Garantir une haute disponibilité

Le scénario de la solution doit être particulièrement fiable, car le maintien de la productivité est une condition clé de la solution d'accès distant. La Woodgrove National Bank doit envisager de prendre les dispositions nécessaires pour une haute disponibilité. notamment :

  • Serveurs d'accès distant à équilibrage de charge

  • Serveurs IAS à équilibrage de charge

  • Chemins réseau redondants

    Remarque : la Woodgrove National Bank a localisé géographiquement les points d'entrée du service de routage et d'accès distant (RRAS)/IAS en raison de la topologie physique du réseau.

Garantir une bande passante réseau adéquate

Les architectes système doivent tenir compte des chemins réseau actuels, des temps de connexion attendus, ainsi que du type et de l'étendue du trafic d'accès distant attendu. La bande passante supplémentaire requise par les utilisateurs distants ne doit pas être sous-estimée. Les déploiements pilotes doivent aider à analyser les modèles de trafic d'accès distant et l'impact possible de ce trafic sur l'infrastructure réseau actuelle. Il est primordial que les essais incluent des utilisateurs non spécialisés et des modèles d'utilisation types afin de pouvoir simuler les problèmes susceptibles de survenir lors d'un déploiement complet. Les commutateurs matériels qui intègrent un contrôle de la bande passante et les réseaux locaux virtuels (VLAN) peuvent réduire les effets du trafic d'accès distant sur d'autres utilisateurs.

Pour offrir une connectivité Internet satisfaisante, la Woodgrove National Bank fait appel à plusieurs fournisseurs d'accès à Internet (FAI). Une grande partie de la bande passante actuelle permet un accès à Internet destiné aux recherches et à la messagerie. Le service informatique de la Woodgrove National Bank doit réévaluer les dispositions actuelles afin d'autoriser le trafic supplémentaire dû aux connexions d'accès distant.

Exceptions

Les architectes système de la Woodgrove National Bank savent que toute solution doit pouvoir s'adapter à des situations dans lesquelles un ou plusieurs périphériques sont exemptés des exigences de sécurité habituelles pour les besoins de l'activité. Par exemple, lors d'une réunion importante, l'accès distant des dirigeants doit pouvoir être exempté du processus d'authentification par carte à puce. Si la solution de carte à puce ne permet pas d'établir des exemptions pour des périphériques donnés, le service informatique doit désactiver l'ensemble du processus de sécurisation de l'accès distant pour une seule exemption. C'est pour cette raison que la solution de carte à puce pour l'accès distant doit prendre en charge des exceptions.

Remarque : le groupe de sécurité informatique doit être la seule autorité en droit de déterminer si l'entreprise a besoin d'une exemption qui justifie le risque de sécurité.

Pour gérer les exceptions, le service informatique de la Woodgrove National Bank a créé un nouveau groupe de sécurité, appelé RemoteSmartCardUsersTempException, dédié aux exceptions temporaires relatives à la solution d'accès distant par carte à puce. Le groupe a ensuite configuré la stratégie d'accès distant pour le serveur d'accès distant entrant comme indiqué dans le tableau suivant.

Tableau 4.1 : Conditions de la stratégie d'accès distant de la Woodgrove National Bank

Configuration requise

Conditions de la stratégie

Type d'authentification

Exiger une authentification par carte à puce pour les membres du groupe d'utilisateurs distants

Groupes Windows correspondant à « WOODGROVE\RemoteSmartCardUsers »

EAP - Carte à puce ou autre certificat uniquement.

Ne pas exiger d'authentification par carte à puce pour les membres du groupe d'exclusion temporaire

Groupes Windows correspondant à « WOODGROVE\RemoteSmartCardUsersTempException »

MSCHAP v2

Ce système applique le processus d'authentification par carte à puce aux membres du groupe RemoteSmartCardUsers et non aux membres du groupe RemoteSmartCardUsersTempException. Pour plus d'informations sur la demande d'une authentification par carte à puce pour les utilisateurs distants, reportez-vous à la rubrique Configure smart card remote access (Configuration des cartes à puce pour l'accès distant) à l'adresse technet2.microsoft.com/windowsserver/fr/library/863638a6-f9e0-48d7-9db5-0b54af3cf1351036.mspx.

Application des pratiques recommandées

Le service informatique de la Woodgrove National Bank a dressé une liste énumérant les pratiques recommandées suivantes :

  • Impliquer le support technique. Une équipe de support technique bien préparée doit participer à tous les projets de carte à puce. Après le déploiement, l'implication du support technique change. L'équipe joue davantage un rôle de maintenance. Il est primordial de tenir informé le personnel du support technique de toute modification du système interne et de tout développement technologique affectant l'utilisation.

  • Fournir un service de gestion des codes PIN. Etant donné que l'objectif principal des cartes à puce consiste à améliorer la sécurité réseau, la sécurité des données stockées sur les cartes à puce est un élément vital. Lorsque l'utilisateur oublie son code PIN, cela pose un problème pendant mais également après le déploiement des cartes à puce. Renseignez-vous auprès de votre distributeur de cartes à puce sur les outils de gestion de codes PIN et mettez en œuvre des processus de réinitialisation de codes PIN pour les utilisateurs qui ne peuvent pas réinitialiser leur code PIN sur leur lieu de travail (par exemple, pour un utilisateur itinérant).

  • Mettre en œuvre des mesures de protection. Les cartes à puce requièrent des mesures de protection de sorte que la carte se bloque si l'utilisateur entre un code PIN incorrect cinq fois de suite.

  • Conserver une équipe post-déploiement. Le personnel de l'équipe post-déploiement peut être bien plus restreint que celui de l'équipe initiale. Il permet de contrôler régulièrement l'intégrité du système, de tester et de coordonner toute mise à niveau de l'infrastructure de cartes à puce.

Surveillance et gestion

Une solution qui utilise des cartes à puce pour sécuriser l'accès distant doit permettre de contrôler le bon fonctionnement de la solution. Ce processus doit offrir la possibilité de surveiller l'ensemble du réseau, une seule ressource ou une liste de ressources en temps réel. Les outils de surveillance doivent présenter les informations nécessaires à l'entreprise pour assurer le support technique. Si la solution ne répond pas à ces exigences, le personnel de sécurité ne peut pas déterminer si la solution maintient un niveau de sécurité des connexions d'accès distant efficace.

Identifier les considérations de fonctionnement

Lors du déploiement de la solution, le service informatique de la Woodgrove National Bank a identifié les considérations de fonctionnement suivantes :

  • Tester l'authentification sur des applications internes. Une carte à puce doit être utilisée pour l'ouverture de session initiale uniquement. Le programme pilote doit tester et vérifier le succès de l'authentification auprès des applications internes.

  • Résoudre les problèmes des clients distants. La résolution de ces problèmes peut exiger que plusieurs équipes réparties sur des fuseaux horaires différents travaillent en étroite collaboration. Des tests rigoureux et un déploiement pilote approprié permettent de réduire le nombre d'appels au service technique.

  • Comprendre les scénarios d'accès distant et les menaces pour l'entreprise. Vous devez bien connaître les scénarios d'accès distant ainsi que les menaces de sécurité pour votre entreprise et l'équilibre qui existe entre les deux. Vous devez classer par ordre de priorité les ressources qui nécessitent une meilleure protection. La recherche de l'équilibre idéal entre le coût et les risques est une décision stratégique qui incombe aux dirigeants de l'entreprise.

  • Anticiper les défis techniques. Il s'agit par exemple des routines d'installation et de la distribution des outils de gestion des cartes à puce. Vous devrez peut-être intégrer la solution de cartes à puce à vos outils de gestion existants.

  • Surveiller et gérer les problèmes de performances. Vous devez contrôler et gérer les problèmes liés aux performances et définir les attentes des utilisateurs avant le déploiement. Par exemple, les utilisateurs distants qui ouvrent une session pour la première fois risquent d'attendre un certain temps l'ouverture de session s'ils cochent la case Ouvrir la session en utilisant une connexion par modem dans la boîte de dialogue Ouverture de session Windows. Vous devez vous assurer que les utilisateurs distants sont informés de ce délai d'attente.

  • Disposer des dernières mises à jour. Si vous envisagez une mise à niveau vers la technologie la plus récente, faites-le très tôt dans le processus de mise en œuvre du projet. Cette stratégie fournit une base de plate-forme serveur et client et supprime un grand nombre de variables que vous auriez probablement rencontrées lors du déploiement. La stabilité du service doit être plus importante et les coûts de support doivent baisser.

  • Mettre en œuvre des phases du projet. Vous devez envisager de mettre en œuvre le projet par phases et d'accorder suffisamment de temps entre chaque phase pour que les utilisateurs s'habituent et pour que le système et le processus se stabilisent. Les phases qui se chevauchent peuvent affecter gravement le service et empêchent l'identification des problèmes de service.

  • Considérer les ressources personnelles. N'oubliez pas que les ordinateurs domestiques des employés sont des biens personnels qui leur appartiennent et qu'ils ne sont pas gérés par le service informatique de l'entreprise. Si un employé ne souhaite pas ou ne parvient pas à installer le matériel ou le logiciel prenant en charge la solution d'accès distant sécurisé par carte à puce, il existe d'autres solutions. Par exemple, Microsoft Outlook® Web Access permet aux employés d'accéder en toute sécurité à leur boîte aux lettres Microsoft Exchange Server.

  • Gérer des modifications apportées à la solution. Vous devez mettre en place des procédures semblables à celles utilisées lors du déploiement pour gérer les modifications et les améliorations de la solution.

  • Optimiser la solution. Tous les aspects de la solution de cartes à puce doivent être régulièrement examinés et optimisés. Régulièrement, le service informatique de la Woodgrove National Bank examine les processus d'inscription et les besoins d'exception de compte afin d'améliorer la sécurité et l'intégrité.

Extensions possibles de la solution

Les cartes à puce offrent un potentiel non négligeable en matière de développement d'application. Par exemple, les programmeurs peuvent adapter la mémoire sécurisée et la plate-forme ouverte et extensible des cartes à puce pour des utilisations diverses, comme pour en faire des cartes de paiement pour la cafétéria.

Bien que l'utilisation de cartes à puce pour sécuriser l'accès distant réduise les attaques menées par des personnes non autorisées, la solution ne garantit pas que les ordinateurs d'accès distant sont conformes aux stratégies de sécurité du réseau. La fonctionnalité Network Access Quarantine Control de Windows Server 2003 avec SP1 peut confirmer que les ordinateurs distants exécutent les mises à jour antivirus et les mises à jour de sécurité les plus récentes. Le contrôle de quarantaine peut également effectuer d'autres vérifications. Il peut notamment vérifier que le Pare-feu Windows sur Windows XP avec SP2 est activé. Pour plus d'informations sur le contrôle de quarantaine, reportez-vous à la rubrique Implementing Quarantine Services with Microsoft Virtual Private Network Planning Guide (Mise en œuvre des services de quarantaine à l'aide du guide de planification Microsoft Virtual Private Network) à l'adresse https://go.microsoft.com/fwlink/?LinkId=41307.

Résumé

L'implémentation de cartes à puce pour authentifier les connexions d'accès distant assure une protection plus efficace que les combinaisons de nom d'utilisateur et de mot de passe. Les cartes à puce mettent en œuvre une authentification à deux facteurs (une carte à puce associée à un code PIN). L'authentification à deux facteurs est beaucoup plus difficile à compromettre et le code PIN est beaucoup plus facile à retenir qu'un mot de passe fort.

La mise en œuvre d'une solution d'authentification par carte à puce pour l'accès distant est une méthode fiable et économique qui accroît la sécurité réseau. Ce guide vous a présenté les étapes nécessaires dans le cadre de la planification et de la mise en œuvre de cette solution.

Télécharger

Obtenez le Guide de planification de la sécurisation des accès par carte à puce

Notifications de mise à jour

Abonnez-vous aux mises à jour et aux nouvelles versions

Commentaires

Envoyez-nous vos commentaires et vos suggestions.