Ces paramètres vous permettent de spécifier la manière par laquelle l’ordinateur homologue est authentifié. La méthode de première authentification intervient pendant la phase de mode principal des négociations IPsec (Internet Protocol security).

Vous pouvez spécifier plusieurs méthodes à utiliser pour la première authentification. Les méthodes sont testées dans l’ordre que vous spécifiez. La première méthode opérationnelle est utilisée.

Pour plus d’informations sur les méthodes d’authentification disponibles dans cette boîte de dialogue, voir Méthodes et algorithmes IPsec pris en charge dans Windows (éventuellement en anglais) (https://go.microsoft.com/fwlink/?linkid=129230).

Pour accéder à cette boîte de dialogue
  • Lors de la modification des paramètres par défaut à l’échelle du système :

    1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, dans Vue d’ensemble, cliquez sur Propriétés du Pare-feu Windows.

    2. Cliquez sur l’onglet Paramètres IPsec puis, sous Valeurs par défaut IPsec, cliquez sur Personnaliser.

    3. Sous Méthode d’authentification, sélectionnez Avancé, puis cliquez sur Personnaliser.

    4. Sous Première authentification , sélectionnez une méthode, puis cliquez sur Modifier ou Ajouter.

  • Lors de la création d’une règle de sécurité de connexion :

    1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, cliquez avec le bouton droit sur Règles de sécurité de connexion, puis cliquez sur Nouvelle règle.

    2. Dans la page Type de règle, sélectionnez un type autre que Exemption d’authentification.

    3. Dans la page Méthode d’authentification, sélectionnez Avancé, puis cliquez sur Personnaliser.

    4. Sous Première authentification , sélectionnez une méthode, puis cliquez sur Modifier ou Ajouter.

  • Lors de la modification d’une règle de sécurité de connexion existante :

    1. Dans le composant logiciel enfichable MMC Pare-feu Windows avec sécurité avancée, cliquez sur Règles de sécurité de connexion.

    2. Double-cliquez sur la règle de sécurité de connexion à modifier.

    3. Cliquez sur l’onglet Authentification.

    4. Sous Méthode, cliquez sur Avancé, puis sur Personnaliser.

    5. Sous Première authentification , sélectionnez une méthode, puis cliquez sur Modifier ou Ajouter.

Ordinateur (Kerberos V5)

Cette méthode vous permet d’authentifier les ordinateurs homologues qui possèdent des comptes d’ordinateurs appartenant au même domaine ou à des domaines distincts liés par une relation d’approbation.

Ordinateur (NTLMv2)

NTLMv2 constitue un autre moyen d’authentifier les ordinateurs homologues qui possèdent des comptes d’ordinateurs appartenant au même domaine ou à des domaines distincts liés par une relation d’approbation.

Certificat d’ordinateur de cette autorité de certification (CA)

Utilisez un certificat à clé publique dans les scénarios impliquant des ordinateurs ou des communications professionnelles externes qui n’exécutent pas le protocole d’authentification Kerberos version 5. Pour cela, il faut qu’au moins une autorité de certification racine approuvée soit configurée ou accessible par le biais de votre réseau et que les ordinateurs clients possèdent un certificat d’ordinateur associé.

Algorithme de signature

Spécifiez l’algorithme de signature utilisé pour sécuriser le certificat à l’aide du chiffrement.

RSA (par défaut)

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme de chiffrement à clé publique RSA.

ECDSA-P256

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme ECDSA (Elliptic Curve Digital Signature Algorithm) avec clé de 256 bits.

ECDSA-P384

Sélectionnez cette option si le certificat est signé à l’aide de l’algorithme ECDSA avec clé de 384 bits.

Type du magasin de certificats

Spécifiez le type de certificat en identifiant le magasin dans lequel il se trouve.

Autorité de certification racine (par défaut)

Sélectionnez cette option si le certificat a été émis par une autorité de certification racine et qu’il est stocké dans le magasin de certificats Autorités de certification racines de confiance de l’ordinateur local.

Autorité de certification intermédiaire

Sélectionnez cette option si le certificat a été émis par une autorité de certification intermédiaire et qu’il est stocké dans le magasin de certificats Autorités intermédiaires de l’ordinateur local.

N’accepter que les certificats de santé

Cette option restreint l’utilisation des certificats d’ordinateurs à ceux marqués en tant que certificats d’intégrité. Les certificats d’intégrité sont publiés par une autorité de certification pour la prise en charge d’un déploiement à Protection d’accès réseau (NAP, Network Access Protection). La Protection d’accès réseau vous permet de définir et d’appliquer des stratégies d’intégrité de sorte que les ordinateurs qui ne répondent pas aux critères des stratégies réseau (tels que ceux qui ne sont pas dotés de logiciel antivirus ou des mises à jour logicielles les plus récentes) soient moins susceptibles d’accéder à votre réseau. Pour implémenter NAP, vous devez configurer les paramètres NAP sur les ordinateurs serveurs et clients. La Gestion des clients NAP, composant logiciel enfichable MMC (Microsoft Management Console), facilite la configuration des paramètres NAP sur les ordinateurs clients. Pour plus d’informations, voir l’aide du composant logiciel enfichable NAP. Pour utiliser cette méthode, il est nécessaire qu’un serveur soit configuré dans le domaine.

Activer le certificat vers le mappage compte

Lorsque vous activez le mappage certificat-compte IPsec, les protocoles IKE (Internet Key Exchange) et AuthIP (Authenticated IP) associent (mappent) un certificat d’ordinateur à un compte d’ordinateur dans un domaine ou une forêt Active Directory, puis ils récupèrent un jeton d’accès qui inclut la liste des groupes de sécurité d’ordinateurs. Ce processus garantit que le certificat proposé par l’homologue IPsec correspond à un compte d’ordinateur actif dans le domaine et que le certificat est l’un de ceux que doit utiliser l’ordinateur.

Le mappage certificat-compte peut être utilisé uniquement pour les comptes d’ordinateurs qui appartiennent à la même forêt que celle de l’ordinateur qui effectue le mappage. Cela procure une authentification renforcée, comparé à la simple acceptation de toute chaîne de certificat valide. Vous pouvez par exemple utiliser cette fonctionnalité afin de limiter l’accès aux ordinateurs qui appartiennent à la même forêt. Le mappage certificat-compte ne garantit toutefois pas qu’un ordinateur approuvé spécifique est autorisé à bénéficier d’un accès IPsec.

Le mappage certificat-compte est particulièrement utile si les certificats proviennent d’une infrastructure à clé publique qui n’est pas intégrée à votre déploiement des services de domaine Active Directory (AD DS, Active Directory Domain Services), par exemple dans le cas où des partenaires commerciaux obtiennent leurs certificats auprès de fournisseurs non-Microsoft. Vous pouvez configurer la méthode d’authentification de stratégie IPsec de façon à mapper les certificats à un compte d’ordinateur de domaine pour une autorité de certification racine spécifique. Vous pouvez également mapper tous les certificats provenant d’une autorité de certification émettrice à un seul compte d’ordinateur. Cela permet d’utiliser l’authentification de certificat IKE afin de limiter les forêts disposant d’un accès IPsec dans un environnement où il existe de nombreuses forêts et où chacune d’elles effectue une inscription automatique sous une même autorité de certification racine interne. Si le processus de mappage certificat-compte n’est pas effectué correctement, l’authentification échoue et les connexions protégées IPsec sont bloquées.

Clé prépartagée (non recommandée)

Vous pouvez utiliser des clés prépartagées pour l’authentification. Il s’agit d’une clé secrète, partagée, définie de concert par deux utilisateurs. Les deux parties doivent configurer manuellement IPsec de manière à utiliser cette clé pré-partagée. Durant la négociation de la sécurité, les informations sont chiffrées à l’aide de cette clé partagée avant leur transmission, puis déchiffrées au moyen de cette même clé par le destinataire. Si ce dernier parvient à déchiffrer les informations, les identités sont considérées comme étant authentifiées.

Attention
  • Cette méthode d’authentification est proposée aux fins d’interopérabilité et dans le but d’adhérer aux normes IPsec. Vous ne devez utiliser la clé prépartagée qu’à des fins de test. L’utilisation régulière de l’authentification par clé prépartagée n’est pas recommandée dans la mesure où la clé d’authentification est stockée sous une forme non protégée dans la stratégie IPsec.
  • Si vous utilisez une clé prépartagée pour l’authentification en mode principal, vous ne pouvez pas recourir à la seconde authentification.

Voir aussi


Table des matières