Le modèle de sécurité distribué de Windows 2000 pour les services réseau est basé sur trois composants fondamentaux. Tout d’abord, chaque poste de travail et chaque serveur disposent d’un chemin d’approbation direct vers un contrôleur du domaine auquel ils appartiennent. Ce chemin est mis en œuvre par le service Netlogon grâce à une connexion RPC authentifiée avec l’autorité approuvée du domaine, c’est-à-dire le contrôleur du domaine. Un canal sécurisé s’étend aux autres domaines Windows 2000 grâce à des relations d’approbation entre domaines. Ce canal permet d’obtenir et de vérifier des informations sur la sécurité, parmi lesquelles les identificateurs de sécurité (SID, Security Identifiers) des utilisateurs et des groupes.
Ensuite, des services réseau empruntent l’identité du contexte de sécurité du client avant d’effectuer les opérations demandées. L’emprunt d’identité est basé sur le jeton d’accès de sécurité créé par l’autorité de sécurité locale (LSA, Local Security Authority) représentant les autorisations du client sur le serveur. Une thread du serveur emprunte l’identité du client et s’exécute avec l’autorisation du client plutôt qu’avec l’identité de sécurité du serveur. L’emprunt d’identité est pris en charge par tous les services Windows 2000, notamment le service serveur de fichiers distant CIFS/SMB. La connexion RPC authentifiée et la sécurité DCOM prennent en charge l’emprunt d’identité pour les applications distribuées. Les services BackOffice comme Exchange, SNA Server et Internet Information Server utilisent également l’emprunt d’identité.
Enfin, le noyau Windows 2000 prend en charge le contrôle d’accès basé sur des objets en vérifiant les SID dans le jeton d’accès par rapport aux droits d’accès accordés tels qu’ils sont définis dans la liste de contrôle d’accès (ACL, Access Control List) pour un objet. Chaque objet dans Windows 2000 (clés de Registre, fichiers et répertoires NTFS, partages de fichiers, objets du noyau, files d’attente d’impression, etc.) dispose d’une ACL qui lui est propre. Le noyau Windows 2000 effectue un contrôle d’accès à chaque tentative d’ouverture d’un descripteur sur un objet. La gestion du contrôle d’accès et de l’audit s’effectuent en définissant les propriétés de sécurité de l’objet pour accorder des permissions à un utilisateur, ou de préférence à un groupe. L’autorisation est gérée de manière centralisée en ajoutant des utilisateurs aux groupes Windows 2000 ayant reçu les droits d’accès appropriés.
Ces composants du modèle de sécurité distribué constituent une partie importante de tous les serveurs d’applications sécurisés dans Windows 2000. Ce dernier ajoute de nouveaux protocoles de sécurité, y compris une authentification client par clé publique à l’aide de SSL/TLS et de Kerberos Version 5, qui sont intégrés dans le modèle de sécurité.
Windows 2000 s’appuie sur un annuaire d’entreprise nommé Active Directory. Compatible LDAP v3, cet annuaire a pour vocation d’être un point d’intégration pour rassembler les systèmes et consolider les opérations de gestion. Il sert de base à l’authentification des utilisateurs et des ressources du système.
Les composants de base d’Active Directory sont les objets et leurs attributs. Ils sont organisés autour d'un modèle de domaine hiérarchique. Le modèle de domaine organise logiquement les objets autour de frontières d'administration, de sécurité et d'organisation.
Un domaine est composé de systèmes informatiques et de ressources de réseau qui partagent une frontière de sécurité et un espace de nom communs. Chaque domaine a sa propre stratégie de sécurité et ses propres types d'échanges avec les autres domaines.
Un arbre de domaine est créé lorsque des domaines multiples partagent un schéma commun, des relations d'approbation de sécurité et un catalogue global. Un arbre de domaine est défini par un espace de nom commun et contigu. Les arbres sont formés en reliant des domaines à un domaine racine déjà existant. Ceci établit une approbation transitive et des liens hiérarchiques. Le domaine hiérarchique ecp.fr peut avoir une quantité de domaines enfant tels que sio.ecp.fr ou gin.sio.fr.
Une forêt de domaine est créée quand des relations d'approbation sont formées entre des arbres de domaines avec des espaces de nom différents. Par exemple, les forêts permettent la formation d'une entreprise comportant différents noms de domaines.
Les domaines ou domaines enfant peuvent être divisés en multiples OU et une responsabilité administrative peut être déléguée à ces unités. Les unités d'organisation peuvent être emboîtées à l'intérieur d'autres OU. Une unité organisationnelle est un sous-ensemble logique qui est défini par des paramètres de sécurité ou administratifs.
Un contrôleur de domaine est un serveur qui contient une copie d’Active Directory ou d’une partition correspondant à son domaine. Tous les domaines possèdent au moins un contrôleur de domaine. A la différence de Windows NT qui reposait sur un contrôleur de domaine principal et des contrôleurs de domaine de sauvegarde, tout contrôleur de domaine de Windows 2000 entretient des relations de pairs avec l'autorité de lecture et d'écriture. Lorsque des changements sont effectués au niveau de l’Active Directory, ces modifications sont reproduites dans tous les contrôleurs de domaines de l'arbre.
Windows 2000 intègre l’authentification Kerberos dans les domaines Windows 2000 pour une connexion unique et la prise en charge du modèle de sécurité distribué de Windows 2000. Le protocole Kerberos fournit une authentification mutuelle plus rapide et une approbation transitive pour l’authentification en n’importe quel point d’une arborescence de domaines Windows 2000. L’authentification Kerberos est utilisée par Windows 2000 pour l’ouverture d’une session utilisateur interactive sur un compte d’un domaine Windows 2000. Des extensions à clé publique de l’authentification Kerberos initiale assurent la prise en charge du protocole permettant l’ouverture d’une session Windows 2000 à l’aide d’une carte à puce.
Le protocole Kerberos est mis en œuvre en tant que fournisseur de sécurité avec l’interface SSPI (Security Support Provider Interface).
Le fournisseur de sécurité Kerberos est utilisé par le client et le serveur SMB, et il est disponible pour DCOM, RPC authentifié et tout protocole applicatif conçu pour utiliser SSPI pour la sécurité réseau. SSPI est une interface de sécurité Win32 disponible dans Windows NT depuis la version 3.5, et également prise en charge par Windows 95. SSPI utilise les mêmes concepts d’architecture que l’API GSS-API (Generic Security Services API) [RFC 1964] et isole les applications des détails des protocoles de sécurité réseau.
Windows 2000 met en œuvre un centre de distribution de clé (KDC, Key Distribution Center) Kerberos et Active Directory en tant que services sur le contrôleur de domaine. Toutes les répliques du contrôleur de domaine Windows 2000 possèdent un service KDC. Ce centre de distribution de clé s’exécute en tant que processus privilégié avec Active Directory. Ces deux services gèrent les informations sensibles, notamment les mots de passe des comptes d’utilisateur. Active Directory met en œuvre la mise à jour et la réplication sur plusieurs maîtres, grâce auxquelles la création d’un nouveau compte d’utilisateur, la modification de l’appartenance à des groupes pour un utilisateur ou la réinitialisation d’un mot de passe peuvent être effectuées sur n’importe quel contrôleur de domaine disponible. La mise à jour sur plusieurs maîtres signifie que les mises à jour ne sont plus limitées au contrôleur principal de domaine, avec les contrôleurs secondaires de domaine ne fournissant que des copies en lecture seule. Chaque réplique d’Active Directory est une copie du contrôleur de domaine pouvant faire l’objet d’une mise à jour.
Les clients et serveurs utilisent des messages Kerberos pour l’authentification mutuelle. La requête Kerberos intègre le ticket de session et l’authentificateur Kerberos émis par le KDC pour empêcher les « réutilisations » du ticket de session. Le fournisseur de sécurité Kerberos sur le client s’intègre avec l’autorité de sécurité locale, qui fournit une mémoire cache pour les tickets Kerberos. Lorsque le client initialise un contexte de sécurité, le fournisseur de sécurité Kerberos récupère un ticket de session pour le service cible auprès de la mémoire cache de tickets de l’autorité de sécurité locale ou demande un nouveau ticket de session au KDC. Le message de requête Kerberos créé par le fournisseur de sécurité Kerberos est conforme à la RFC 1964, qui définit les formats de jeton du mécanisme GSS (Generic Security Services) Kerb5. Les clients peuvent s’authentifier auprès de n’importe quel service du domaine ou de la zone approuvée qui prend en charge le mécanisme GSS Kerb5. Le fournisseur de sécurité Kerberos peut accepter une requête Kerberos générée par n’importe quel système client prenant en charge les formats de jetons du mécanisme GSS Kerb5 (RFC 1964).
Ce niveau d’interopérabilité assure la prise en charge de l’authentification Kerberos traditionnelle basée sur des noms dans un environnement réseau multi-plateforme. Pour les services Windows 2000, les données d’autorisation Windows 2000 dans les tickets de session sont essentielles pour la prise en charge de l’emprunt d’identité et du contrôle d’accès dans le modèle de sécurité distribué de Windows 2000.
L’emprunt d’identité Windows 2000 nécessite que l’autorité de sécurité locale sur le serveur ait la possibilité d’obtenir d’une manière sécurisée le SID de l’utilisateur et la liste des SID d’appartenance à des groupes pour un client. Ces SID sont émis par une autorité de domaine approuvée et sont utilisés par l’autorité de sécurité locale pour créer un jeton d’accès d’emprunt d’identité. Après l’établissement de la connexion, une thread de serveur emprunte l’identité du client, et le jeton d’accès de sécurité de ce dernier est comparé aux ACL des objets par le noyau de Windows 2000. A l’aide de l’authentification NTLM, le SID de l’utilisateur et les SID du groupe sont reçus directement du contrôleur de domaine du serveur et des éventuels domaines approuvés, par l’intermédiaire du canal sécurisé Netlogon. A l’aide du protocole Kerberos, les SID d’utilisateurs et de groupes sont transmis dans les données d’autorisation du ticket de session Kerberos.
Windows 2000 utilise des données d’autorisation fournies par le KDC dans des tickets pour présenter la liste des SID identifiant l’utilisateur et l’appartenance aux groupes. L’autorité de sécurité locale utilise les données d’autorisation afin de prendre en charge l’emprunt d’identité pour le fournisseur de sécurité Kerberos.
Le protocole Kerberos permet d’utiliser des données d’autorisation définies par une application dans des tickets Kerberos. L’utilisation des données d’autorisation par Windows 2000 est conforme aux révisions de la RFC 1510.
Lors de l’ouverture de session initiale dans le domaine, le KDC Windows 2000 ajoute au ticket d’octroi de ticket (TGT, Ticket Granting Ticket) des données d’autorisation comprenant le SID de l’utilisateur et ses groupes, issus du domaine du compte. L’appartenance aux groupes est développée lors de l’ouverture de session initiale. Le KDC Windows 2000 copie les données d’autorisation à partir du ticket d’octroi de ticket dans les tickets de session utilisés pour l’authentification auprès des serveurs d’applications cible. Dans un réseau à plusieurs domaines, le KDC gérant la demande de ticket de session pour un serveur cible peut ajouter des groupes supplémentaires aux données d’autorisation afin d’inclure tout groupe du domaine cible auquel l’utilisateur peut appartenir.
L’authentification Kerberos est utilisée par de nombreux services de domaine Windows 2000. L’interface SSPI est utilisée pour l’authentification réseau dans la plupart des services système, et elle est assez simple pour mettre à jour ces services de NTLM vers Kerberos avec un effort minimal. La modification la plus complexe a été celle du serveur SMB, qui n’utilisait pas SSPI avant Windows 2000.
Un grand nombre de nouveaux services distribués dans Windows 2000 utilisent l’authentification Kerberos dont notamment :
- les mécanismes d’authentification auprès d’Active Directory utilisant LDAP pour les requêtes ou la gestion d’annuaire ;
- le protocole d’accès à des fichiers distants CIFS/SMB ;
- la gestion et les références de système de fichiers distribués ;
- les mises à jour d’adresses DNS sécurisées ;
- les services de spouleur d’impression ;
- les mécanismes d’authentification IPsec facultative d’hôte à hôte dans ISAKMP/Oakley ;
- les demandes de réservation pour la qualité de service (QoS) réseau ;
- les mécanismes d’authentification Intranet auprès d’Internet Information Server ;
- les mécanismes d’authentification des demandes de certificats de clés publiques auprès de Microsoft Certificate Server pour des utilisateurs et des ordinateurs du domaine ;
- les processus de gestion de serveur ou de poste de travail distant utilisant une connexion RPC authentifiée et DCOM.