Ces paramètres vous permettent de spécifier la manière par laquelle le compte d’utilisateur sur l’ordinateur homologue est authentifié. Vous pouvez également spécifier que l’ordinateur doit posséder un certificat d’état d’ordinateur. La méthode de seconde authentification est effectuée par Authenticated IP (AuthIP) dans un mode étendu de la phase de mode principal des négociations IPsec (Internet Protocol security).

Vous pouvez spécifier plusieurs méthodes à utiliser pour cette authentification. Les méthodes sont testées dans l’ordre que vous spécifiez. La première méthode opérationnelle est utilisée.

Pour plus d’informations sur les méthodes d’authentification disponibles dans cette boîte de dialogue, voir Méthodes et algorithmes IPsec pris en charge dans Windows (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=129230).

Pour accéder à cette boîte de dialogue
  • Lors de la modification des paramètres par défaut à l’échelle du système :

    1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans le volet de navigation, sélectionnez Pare-feu Windows avec sécurité avancée puis, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.

    2. Cliquez sur l’onglet Paramètres IPsec puis, sous Valeurs par défaut IPsec, cliquez sur Personnaliser.

    3. Sous Méthode d’authentification, sélectionnez Avancé, puis cliquez sur Personnaliser.

    4. Sous Seconde authentification , sélectionnez une méthode, puis cliquez sur Modifier ou Ajouter.

  • Lors de la création d’une règle de sécurité de connexion :

    1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans le volet de navigation, cliquez avec le bouton droit sur Règles de sécurité de connexion, puis cliquez sur Nouvelle règle.

    2. Dans la page Type de règle, sélectionnez un type autre que Exemption d’authentification.

    3. Dans la page Méthode d’authentification, sélectionnez Avancé, puis cliquez sur Personnaliser.

    4. Sous Seconde authentification , sélectionnez une méthode, puis cliquez sur Modifier ou Ajouter.

  • Lors de la modification d’une règle de sécurité existante :

    1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans le volet de navigation, cliquez sur Règles de sécurité de connexion.

    2. Double-cliquez sur la règle de sécurité de connexion à modifier.

    3. Cliquez sur l’onglet Authentification.

    4. Sous Méthode, cliquez sur Avancé, puis sur Personnaliser.

    5. Sous Seconde authentification , sélectionnez une méthode, puis cliquez sur Modifier ou Ajouter.

Utilisateur (Kerberos V5)

Cette méthode vous permet d’authentifier un utilisateur connecté à un ordinateur distant appartenant au même domaine ou à des domaines distincts liés par une relation d’approbation. L’utilisateur connecté doit posséder un compte de domaine et l’ordinateur doit être membre d’un domaine dans la même forêt.

Utilisateur (NTLMv2)

NTLMv2 offre un autre moyen d’authentifier un utilisateur connecté à un ordinateur distant appartenant au même domaine ou à un domaine entretenant une relation d’approbation avec le domaine de l’ordinateur local. Le compte d’utilisateur et l’ordinateur doivent être joints à des domaines qui font partie de la même forêt.

Certificat utilisateur

Utilisez un certificat à clé publique dans les scénarios impliquant des ordinateurs ou des communications professionnelles externes qui n’exécutent pas le protocole d’authentification Kerberos version 5. Pour cela, il faut qu’au moins une autorité de certification racine approuvée soit configurée ou accessible par le biais de votre réseau et que les ordinateurs clients possèdent un certificat d’ordinateur associé. Cette méthode est utile lorsque les utilisateurs n’appartiennent pas au même domaine ou se trouvent dans des domaines distincts n’entretenant pas de relation d’approbation bidirectionnelle, auxquels cas le protocole Kerberos version 5 ne peut être utilisé.

Algorithme de signature

Spécifiez l’algorithme de signature utilisé pour sécuriser le certificat à l’aide du chiffrement.

RSA (par défaut)

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme de chiffrement à clé publique RSA.

ECDSA-P256

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) avec clé de 256 bits.

ECDSA-P384

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme ECDSA avec clé de 256 bits.

Type du magasin de certificats

Spécifiez le type de certificat en identifiant le magasin dans lequel il se trouve.

Autorité de certification racine (par défaut)

Sélectionnez cette option si le certificat a été émis par une autorité de certification racine et qu’il est stocké dans le magasin de certificats Autorités de certification racines de confiance de l’ordinateur local.

Autorité de certification intermédiaire

Sélectionnez cette option si le certificat a été émis par une autorité de certification intermédiaire et qu’il est stocké dans le magasin de certificats Autorités intermédiaires de l’ordinateur local.

Activer le certificat vers le mappage compte

Lorsque vous activez le mappage certificat-compte IPsec, les protocoles IKE (Internet Key Exchange) et AuthIP associent (mappent) un certificat utilisateur à un compte d’utilisateur dans un domaine ou une forêt Active Directory, puis ils récupèrent un jeton d’accès qui inclut la liste des groupes de sécurité utilisateur. Ce processus garantit que le certificat proposé par l’homologue IPsec correspond à un compte d’utilisateur actif dans le domaine et que le certificat est l’un de ceux que doit utiliser l’utilisateur.

Le mappage certificat-compte peut être utilisé uniquement pour les comptes d’utilisateurs qui appartiennent à la même forêt que celle de l’ordinateur qui effectue le mappage. Cela procure une authentification renforcée, comparé à la simple acceptation de toute chaîne de certificat valide. Vous pouvez par exemple utiliser cette fonctionnalité afin de limiter l’accès aux utilisateurs qui appartiennent à la même forêt. Le mappage certificat-compte ne garantit toutefois pas qu’un utilisateur approuvé spécifique est autorisé à bénéficier d’un accès IPsec.

Le mappage certificat-compte est particulièrement utile si les certificats proviennent d’une infrastructure à clé publique qui n’est pas intégrée à votre déploiement des services de domaine Active Directory (AD DS, Active Directory Domain Services), par exemple dans le cas où des partenaires commerciaux obtiennent leurs certificats auprès de fournisseurs non-Microsoft. Vous pouvez configurer la méthode d’authentification de stratégie IPsec de façon à mapper les certificats à un compte d’utilisateur de domaine pour une autorité de certification racine spécifique. Vous pouvez également mapper tous les certificats provenant d’une autorité de certification émettrice à un seul compte d’utilisateur. Cela permet d’utiliser l’authentification de certificat afin de limiter les forêts disposant d’un accès IPsec dans un environnement où il existe de nombreuses forêts et où chacune d’elles effectue une inscription automatique sous une même autorité de certification racine interne. Si le processus de mappage certificat-compte n’est pas effectué correctement, l’authentification échoue et les connexions protégées IPsec sont bloquées.

Certificat d’état d’ordinateur

Utilisez cette option pour spécifier que seul un ordinateur qui présente un certificat provenant de l’autorité de certification spécifiée et marqué comme certificat d’intégrité de Protection d’accès réseau (NAP, Network Access Protection) peut s’authentifier à l’aide de cette règle de sécurité de connexion. La Protection d’accès réseau vous permet de définir et d’appliquer des stratégies d’intégrité de sorte que les ordinateurs qui ne répondent pas aux critères des stratégies réseau (tels que ceux qui ne sont pas dotés de logiciel antivirus ou des mises à jour logicielles les plus récentes) soient moins susceptibles d’accéder à votre réseau. Pour implémenter NAP, vous devez configurer les paramètres NAP sur les ordinateurs serveurs et clients. Pour plus d’informations, voir l’aide du composant logiciel enfichable NAP. Pour utiliser cette méthode, il est nécessaire qu’un serveur NAP soit configuré dans le domaine.

Algorithme de signature

Spécifiez l’algorithme de signature utilisé pour sécuriser le certificat à l’aide du chiffrement.

RSA (par défaut)

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme de chiffrement à clé publique RSA.

ECDSA-P256

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) avec clé de 256 bits.

ECDSA-P384

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme ECDSA avec clé de 384 bits.

Type du magasin de certificats

Spécifiez le type de certificat en identifiant le magasin dans lequel il se trouve.

Autorité de certification racine (par défaut)

Sélectionnez cette option si le certificat a été émis par une autorité de certification racine et qu’il est stocké dans le magasin de certificats Autorités de certification racines de confiance de l’ordinateur local.

Autorité de certification intermédiaire

Sélectionnez cette option si le certificat a été émis par une autorité de certification intermédiaire et qu’il est stocké dans le magasin de certificats Autorités intermédiaires de l’ordinateur local.

Activer le certificat vers le mappage compte

Lorsque vous activez le mappage certificat-compte IPsec, les protocoles IKE et AuthIP associent (mappent) un certificat à un compte d’utilisateur ou d’ordinateur dans un domaine ou une forêt Active Directory, puis ils récupèrent un jeton d’accès qui inclut la liste des groupes de sécurité utilisateur. Ce processus garantit que le certificat proposé par l’homologue IPsec correspond à un compte d’utilisateur ou d’ordinateur actif dans le domaine et que le certificat est l’un de ceux que doit utiliser ce compte.

Le mappage certificat-compte peut être utilisé uniquement pour les comptes qui appartiennent à la même forêt que celle de l’ordinateur qui effectue le mappage. Cela procure une authentification renforcée, comparé à la simple acceptation de toute chaîne de certificat valide. Vous pouvez par exemple utiliser cette fonctionnalité afin de limiter l’accès aux comptes qui appartiennent à la même forêt. Le mappage certificat-compte ne garantit toutefois pas qu’un compte approuvé spécifique est autorisé à bénéficier d’un accès IPsec.

Le mappage certificat-compte est particulièrement utile si les certificats proviennent d’une infrastructure à clé publique qui n’est pas intégrée à votre déploiement des services AD DS, par exemple dans le cas où des partenaires commerciaux obtiennent leurs certificats auprès de fournisseurs de certificats non-Microsoft. Vous pouvez configurer la méthode d’authentification de stratégie IPsec de façon à mapper les certificats à un compte de domaine pour une autorité de certification racine spécifique. Vous pouvez également mapper tous les certificats provenant d’une autorité de certification émettrice à un seul compte d’utilisateur ou d’ordinateur. Cela permet d’utiliser l’authentification de certificat IKE afin de limiter les forêts disposant d’un accès IPsec dans un environnement où il existe de nombreuses forêts et où chacune d’elles effectue une inscription automatique sous une même autorité de certification racine interne. Si le processus de mappage certificat-compte n’est pas effectué correctement, l’authentification échoue et les connexions protégées IPsec sont bloquées.

Références supplémentaires


Table des matières