Scénarios d’ouverture de session Windows
Cette rubrique de référence pour le professionnel de l’informatique récapitule les scénarios courants d’ouverture de session et de connexion Windows.
Les systèmes d’exploitation Windows exigent que tous les utilisateurs se connectent à l’ordinateur avec un compte valide pour accéder aux ressources locales et réseau. Les ordinateurs Windows sécurisent les ressources en implémentant le processus d’ouverture de session, dans lequel les utilisateurs sont authentifiés. Après avoir authentifié un utilisateur, les technologies d’autorisation et de contrôle d’accès mettent en œuvre la deuxième phase de protection des ressources, qui consiste à vérifier si cet utilisateur authentifié a les autorisations suffisantes pour accéder à une ressource.
Cette rubrique s’applique aux versions des systèmes d’exploitation Windows figurant dans la liste S’applique à présente au début de cette page.
En outre, les applications et les services peuvent exiger que les utilisateurs se connectent pour accéder aux ressources proposées par l’application ou le service. Le processus de connexion est similaire au processus d’ouverture de session, car un compte valide et des informations d’identification correctes sont nécessaires, mais les informations d’ouverture de session sont stockées dans la base de données du Gestionnaire de comptes de sécurité (SAM) sur l’ordinateur local et dans Active Directory, le cas échéant. Le compte de connexion et les informations d’identification sont gérés par l’application ou le service et peuvent éventuellement être stockés localement dans Credential Locker.
Pour comprendre le fonctionnement de l’authentification, consultez Concepts d’authentification Windows.
Cette rubrique explique les scénarios suivants :
Attention
Lorsque l’utilisateur effectue une connexion locale, ses informations d’identification sont vérifiées localement par rapport à une copie mise en cache avant d’être authentifiées avec un fournisseur d’identité via le réseau. Si la vérification du cache est réussie, l’utilisateur accède au bureau même si l’appareil est hors ligne. Cependant, si l’utilisateur modifie son mot de passe dans le cloud, le vérificateur mis en cache n’est pas mis à jour, ce qui signifie qu’il peut toujours accéder à sa machine locale en utilisant son ancien mot de passe.
Ouverture de session interactive
Le processus d’ouverture de session commence soit lorsqu’un utilisateur entre des informations d’identification dans la boîte de dialogue d’entrée d’informations d’identification, soit quand l’utilisateur insère une carte à puce dans le lecteur de carte à puce, soit quand l’utilisateur interagit avec un appareil biométrique. Les utilisateurs peuvent effectuer une ouverture de session interactive à l’aide d’un compte utilisateur local ou d’un compte de domaine pour se connecter à un ordinateur.
Le diagramme suivant montre les éléments d’ouverture de session interactifs et le processus d’ouverture de session.
Architecture d’authentification du client Windows
Ouverture de session locale et au domaine
Les informations d’identification que l’utilisateur présente pour une ouverture de session de domaine contiennent tous les éléments nécessaires pour une ouverture de session locale, tels que le nom de compte et le mot de passe ou le certificat, et les informations de domaine Active Directory. Le processus confirme l’identification de l’utilisateur à la base de données de sécurité sur l’ordinateur local de l’utilisateur ou dans un domaine Active Directory. Ce processus d’ouverture de session obligatoire ne peut pas être désactivé pour les utilisateurs d’un domaine.
Les utilisateurs peuvent effectuer une ouverture de session interactive à un ordinateur de deux manières :
Localement, lorsque l’utilisateur dispose d’un accès physique direct à l’ordinateur, ou lorsque l’ordinateur fait partie d’un réseau d’ordinateurs.
Une ouverture de session locale accorde à un utilisateur l’autorisation d’accéder aux ressources Windows sur l’ordinateur local. Une ouverture de session locale nécessite que l’utilisateur dispose d’un compte d’utilisateur dans le Gestionnaire des comptes de sécurité (SAM) sur l’ordinateur local. SAM protège et gère les informations d’utilisateur et de groupe sous la forme de comptes de sécurité stockés dans le registre des ordinateurs locaux. L’ordinateur peut disposer d’un accès réseau, mais ce n’est pas obligatoire. Les informations de compte d’utilisateur local et d’appartenance au groupe sont utilisées pour gérer l’accès aux ressources locales.
Une ouverture de session réseau accorde à un utilisateur l’autorisation d’accéder aux ressources Windows sur l’ordinateur local en plus de toutes les ressources sur les ordinateurs en réseau, telles que définies par le jeton d’accès des informations d’identification. Une ouverture de session locale et en réseau nécessite que l’utilisateur dispose d’un compte d’utilisateur dans le Gestionnaire des comptes de sécurité (SAM) sur l’ordinateur local. Les informations de compte d’utilisateur local et d’appartenance au groupe sont utilisées pour gérer l’accès aux ressources locales, et le jeton d’accès de l’utilisateur définit les ressources accessibles sur les ordinateurs en réseau.
Une ouverture de session locale et une ouverture de session réseau ne sont pas suffisantes pour accorder à l’utilisateur et à l’ordinateur l’autorisation d’accéder et d’utiliser des ressources de domaine.
À distance, par le biais des services Terminal Server ou des services Bureau à distance (RDS), auquel cas l’ouverture de session est qualifiée d’interactive à distance.
Après une ouverture de session interactive, Windows exécute des applications pour le compte de l’utilisateur et l’utilisateur peut interagir avec ces applications.
Une ouverture de session locale accorde à un utilisateur l’autorisation d’accéder aux ressources sur l’ordinateur local ou aux ressources sur les ordinateurs en réseau. Si l’ordinateur est joint à un domaine, la fonctionnalité Winlogon tente de se connecter à ce domaine.
Une ouverture de session de domaine accorde à un utilisateur l’autorisation d’accéder aux ressources locales et de domaine. Une ouverture de session au domaine nécessite que l’utilisateur dispose d’un compte d’utilisateur dans Active Directory. L’ordinateur doit avoir un compte dans le domaine Active Directory et être physiquement connecté au réseau. Les utilisateurs doivent également disposer des droits d’utilisateur nécessaires pour se connecter à un ordinateur local ou à un domaine. Les informations de compte d’utilisateur de domaine et les informations d’appartenance aux groupes sont utilisées pour gérer l’accès aux ressources de domaine et locales.
Ouverture de session à distance
Dans Windows, l’accès à un autre ordinateur par le biais d’une ouverture de session à distance s’appuie sur le protocole RDP (Remote Desktop Protocol). Étant donné que l’utilisateur doit déjà s’être connecté à l’ordinateur client avant d’essayer une connexion à distance, les processus d’ouverture de session interactifs se sont terminés avec succès.
RDP gère les informations d’identification que l’utilisateur entre à l’aide du client Bureau à distance. Ces informations d’identification sont destinées à l’ordinateur cible et l’utilisateur doit disposer d’un compte sur cet ordinateur cible. En outre, l’ordinateur cible doit être configuré pour accepter une connexion à distance. Les informations d’identification de l’ordinateur cible sont envoyées pour tenter d’effectuer le processus d’authentification. Si l’authentification réussit, l’utilisateur est connecté aux ressources locales et réseau accessibles à l’aide des informations d’identification fournies.
Ouverture de session réseau
Une ouverture de session réseau ne peut être utilisée qu’après l’authentification de l’utilisateur, du service ou de l’ordinateur. Pendant l’ouverture de session réseau, le processus n’utilise pas les boîtes de dialogue d’entrée d’informations d’identification pour collecter des données. Au lieu de cela, des informations d’identification précédemment établies ou une autre méthode de collecte d’informations d’identification sont utilisées. Ce processus confirme l’identité de l’utilisateur auprès de n’importe quel service réseau auquel l’utilisateur tente d’accéder. Ce processus est généralement invisible pour l’utilisateur, sauf si d’autres informations d’identification doivent être fournies.
Pour fournir ce type d’authentification, le système de sécurité inclut les mécanismes d’authentification suivants :
Protocole Kerberos version 5
Certificats à clé publique
Secure Sockets Layer/Transport Layer Security (SSL/TLS)
Digest
NTLM, pour la compatibilité avec les systèmes Basés sur Microsoft Windows NT 4.0
Pour plus d’informations sur les éléments et les processus, consultez le diagramme d’ouverture de session interactif ci-dessus.
Ouverture de session par carte à puce
Les cartes à puce permettent de se connecter aux comptes de domaine uniquement et non aux comptes locaux. L’authentification par carte à puce nécessite l’utilisation du protocole d’authentification Kerberos. Introduite dans Windows 2000 Server, dans les systèmes d’exploitation Windows, une extension de clé publique à la demande d’authentification initiale du protocole Kerberos est implémentée. Contrairement au chiffrement à clé secrète partagée, le chiffrement à clé publique est asymétrique, c’est-à-dire que deux clés différentes sont nécessaires : l’une pour chiffrer, l’autre pour déchiffrer. Ensemble, les clés requises pour effectuer les deux opérations constituent une paire de clés privée/publique.
Pour lancer une session d’ouverture de session classique, un utilisateur doit prouver son identité en fournissant des informations connues uniquement de l’utilisateur et de l’infrastructure de protocole Kerberos sous-jacente. Les informations secrètes sont une clé de chiffrement partagée dérivée du mot de passe de l’utilisateur. Une clé secrète partagée est symétrique, ce qui signifie que la même clé est utilisée à la fois pour le chiffrement et le déchiffrement.
Le diagramme suivant montre les éléments et les processus requis pour l’ouverture de session par carte à puce.
Architecture du fournisseur d’informations d’identification par carte à puce
Lorsqu’une carte à puce est utilisée au lieu d’un mot de passe, une paire de clés privée/publique stockée sur la carte à puce de l’utilisateur est remplacée pour la clé secrète partagée qui est dérivée du mot de passe de l’utilisateur. La clé privée est stockée uniquement sur la carte à puce. La clé publique peut être mise à la disposition de toute personne avec laquelle le propriétaire souhaite échanger des informations confidentielles.
Pour plus d’informations sur le processus d’ouverture de session par carte à puce dans Windows, consultez Fonctionnement de la connexion par carte à puce dans Windows.
Ouverture de session biométrique
Un appareil est utilisé pour capturer et créer une caractéristique numérique d’un artefact, comme une empreinte digitale. Cette représentation numérique est ensuite comparée à un exemple du même artefact et, lorsque les deux sont correctement comparés, l’authentification peut se produire. Les ordinateurs exécutant l’un des systèmes d’exploitation désignés dans la liste S’applique à au début de cette rubrique peuvent être configurés pour accepter cette forme d’ouverture de session. Toutefois, si l’ouverture de session biométrique est configurée uniquement pour l’ouverture de session locale, l’utilisateur doit présenter des informations d’identification de domaine lors de l’accès à un domaine Active Directory.
Ressources supplémentaires
Pour plus d’informations sur la façon dont Windows gère les informations d’identification envoyées pendant le processus d’ouverture de session, consultez Gestion des informations d’identification dans l’authentification Windows.