Vue d’ensemble de l’authentification Windows
S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016
Cette rubrique de navigation pour les professionnels de l’informatique répertorie des ressources de documentation pour l’authentification Windows et les technologies d’ouverture de session qui comprennent l’évaluation du produit, les guides de prise en main, les procédures, les guides de conception et de déploiement, les références techniques et les références des commandes.
Description de la fonctionnalité
L’authentification est un processus de vérification de l’identité d’un objet, d’un service ou d’une personne. Lorsque vous authentifiez un objet, l’objectif est de vérifier que celui-ci est authentique. Lorsque vous authentifiez un service ou une personne, l’objectif est de vérifier que les informations d’identification présentées sont authentiques.
Dans un contexte de réseau, l’authentification est le fait de prouver une identité à une application ou une ressource réseau. En général, l’identité est prouvée par une opération de chiffrement qui utilise soit une clé connue uniquement par l’utilisateur (comme avec le chiffrement à clé publique), soit une clé partagée. Le côté serveur de l’échange d’authentification compare les données signées avec une clé de chiffrement connue pour valider la tentative d’authentification.
Le stockage des clés de chiffrement dans un emplacement centralisé sécurisé rend le processus d’authentification évolutif et facile à gérer. Les services de domaine Active Directory représentent la technologie par défaut et recommandée pour le stockage d’informations d’identité (notamment les clés de chiffrement qui constituent les informations d’identification de l’utilisateur). Active Directory est requis pour les implémentations NTLM et Kerberos par défaut.
Les techniques d’authentification vont d’une simple ouverture de session, qui identifie les utilisateurs en fonction d’une information que seul l’utilisateur connaît, comme un mot de passe, à des mécanismes de sécurité plus puissants qui utilisent des éléments dont dispose l’utilisateur, comme les jetons, les certificats de clé publique et la biométrie. Dans un environnement d’entreprise, les services ou les utilisateurs peuvent accéder à plusieurs applications ou ressources sur plusieurs types de serveurs dans un même emplacement ou dans plusieurs emplacements. C’est pourquoi l’authentification doit prendre en charge des environnements pour d’autres plateformes et pour d’autres systèmes d’exploitation Windows.
Le système d’exploitation Windows implémente un ensemble par défaut de protocoles d’authentification, notamment Kerberos, NTLM, TLS/SSL (Transport Layer Security/Secure Sockets Layer) et Digest, dans une architecture extensible. En outre, certains protocoles sont combinés en packages d’authentification, par exemple Negotiate et CredSSP (Credential Security Support Provider). Ces protocoles et packages permettent l’authentification des utilisateurs, des ordinateurs et des services ; le processus d’authentification permet à son tour aux utilisateurs et services autorisés d’accéder aux ressources de façon sécurisée.
Pour plus d’informations sur l’authentification Windows, notamment :
Architecture de l’interface du fournisseur SSP (Security Support Provider)
Processus des informations d’identification dans l’authentification Windows
Paramètres de stratégie de groupe utilisés dans l’authentification Windows
voir Vue d’ensemble technique de l’authentification Windows.
Cas pratiques
L’authentification Windows est utilisée pour vérifier que les informations proviennent d’une source approuvée, qu’il s’agisse d’une personne ou d’un objet ordinateur, tel qu’un autre ordinateur. Windows offre de nombreuses méthodes différentes pour y parvenir, comme indiqué ci-dessous.
| À... | Fonctionnalité | Description |
|---|---|---|
| S’authentifier dans un domaine Active Directory | Kerberos | Les systèmes d’exploitation Microsoft Windows Server implémentent le protocole d’authentification Kerberos version 5 et des extensions pour l’authentification des clés publiques. Le client d’authentification Kerberos est implémenté en tant que fournisseur SSP (Security Support Provider) et il est accessible par le biais de l’interface SSPI (Security Support Provider Interface). L’authentification utilisateur initiale est intégrée à l’architecture à authentification unique Winlogon. Le centre de distribution de clés Kerberos est intégré à d’autres services de sécurité Windows Server qui s’exécutent sur le contrôleur de domaine. Le centre de distribution de clés Kerberos utilise la base de données du service d’annuaire Active Directory du domaine en tant que base de données de son compte de sécurité. Active Directory est requis pour les implémentations Kerberos par défaut. Pour obtenir des ressources supplémentaires, voir Vue d’ensemble de l’authentification Kerberos. |
| Authentification sécurisée sur le Web | TLS/SSL tel qu’implémenté dans le fournisseur SSP Schannel | Le protocole TLS (Transport Layer Security) versions 1.0, 1.1 et 1.2, le protocole SSL (Secure Sockets Layer) versions 2.0 et 3.0, le protocole DTLS (Datagram Transport Layer Security) version 1.0 et le protocole PCT (Private Communications Transport) version 1.0 sont basés sur le chiffrement à clé publique. La suite de protocoles d’authentification SSP Schannel fournit ces protocoles. Tous les protocoles Schannel utilisent un modèle client et serveur. Pour obtenir des ressources supplémentaires, consultez TLS - Vue d’ensemble du protocole SSL (SSP Schannel). |
| S’authentifier sur un service Web ou une application | Authentification Windows intégrée Authentification Digest |
Pour obtenir des ressources supplémentaires, voir Authentification Windows intégrée, Authentification Digest et Authentification Digest avancée. |
| S’authentifier sur des applications héritées | NTLM | NTLM est un protocole d’authentification de style stimulation-réponse. Outre l’authentification, le protocole NTLM offre éventuellement la sécurité de session, et en particulier l’intégrité et la confidentialité des messages via des fonctions de signature et de scellement dans NTLM. Pour obtenir des ressources supplémentaires, voir Vue d’ensemble de NTLM. |
| Tirer parti de l’authentification multifacteur | Prise en charge des cartes à puce Prise en charge de la biométrie |
Les cartes à puce représentent un moyen résistant aux falsifications et portable permettant d’offrir des solutions de sécurité pour des tâches telles que l’authentification des clients, la connexion aux domaines, la signature du code et la sécurisation des messages électroniques. Elle consiste à mesurer une caractéristique physique inaltérable d’une personne pour identifier celle-ci de façon unique. Les empreintes digitales font partie des caractéristiques biométriques les plus utilisées, notamment avec les millions de lecteurs d’empreintes digitales intégrés aux ordinateurs personnels et aux périphériques. Pour obtenir des ressources supplémentaires, consultez Informations techniques de référence sur les cartes à puce. |
| Assurer la gestion locale, le stockage et la réutilisation des informations d’identification | Gestion des informations d’identification Autorité de sécurité locale Mots de passe |
La gestion des informations d’identification dans Windows garantit le stockage sécurisé des informations d’identification. Les informations d’identification sont collectées sur le Bureau sécurisé (pour un accès local ou au domaine) par le biais d’applications ou de sites Web afin que les informations d’identification correctes soient présentées lors de chaque accès à une ressource. |
| Étendre la protection de l’authentification moderne à des systèmes hérités | Protection étendue de l'authentification | Cette fonctionnalité améliore la protection et le traitement des informations d’identification lors de l’authentification des connexions réseau à l’aide de l’authentification Windows intégrée. |
Configuration logicielle requise
L’authentification Windows est conçue pour être compatible avec les précédentes versions du système d’exploitation Windows. Cependant, les améliorations apportées à chaque version ne sont pas nécessairement applicables aux versions précédentes. Pour plus d’informations, reportez-vous à la documentation relative à des fonctionnalités spécifiques.
Informations sur le Gestionnaire de serveur
De nombreuses fonctionnalités d’authentification peuvent être configurées à l’aide d’une stratégie de groupe, laquelle peut être installée avec le Gestionnaire de serveur. Les fonctionnalités Windows Biometric Framework sont installées à l’aide du Gestionnaire de serveur. D’autres rôles de serveur qui dépendent des méthodes d’authentification, tels que les rôles de serveur Web (IIS) et de services de domaine Active Directory, peuvent également être installés à l’aide du Gestionnaire de serveur.
Ressources associées
| Technologies d’authentification | Ressources |
|---|---|
| Authentification Windows | Vue d’ensemble technique de l’authentification Windows Inclut des rubriques traitant des différences entre les versions, des concepts d’authentification généraux, des scénarios de connexion, des architectures pour les versions prises en charge et des paramètres applicables. |
| Kerberos | Vue d’ensemble de l’authentification Kerberos Vue d’ensemble de la délégation Kerberos contrainte |
| TLS/SSL et DTLS (fournisseur SSP Schannel) | Vue d’ensemble de TLS/SSL (SSP Schannel) Informations techniques de référence sur le fournisseur SSP (Security Support Provider) Schannel |
| Authentification Digest | Référence technique de l’authentification Digest(2003) |
| NTLM | NTLM Overview Contient des liens vers des ressources actuelles et anciennes |
| PKU2U | Présentation de PKU2U dans Windows |
| Carte à puce | Informations techniques de référence sur les cartes à puce |
| Informations d'identification | Gestion et protection des informations d’identification Contient des liens vers des ressources actuelles et anciennes Vue d’ensemble sur les mots de passe |