Une connexion est un événement dans Windows qui montre qu’un compte d’utilisateur se voit accorder un accès à un poste de travail/serveur/ordinateur. Cet article explique les bases des types de connexion Windows, le rôle de l’authentification, puis décrit les différents types de connexion intégrés à Windows.
En tant que professionnels de l’informatique, nous nous sommes tous “connectés à des ordinateurs”, des serveurs, des périphériques réseau, etc. Mais que signifie exactement la connexion dans Windows ? Existe-t-il de nombreux types de connexions pris en charge dans Windows ? Il y en a certainement, probablement plus que vous ne le pensez.
Présentation des types de connexion Windows
Comme je l’ai mentionné plus tôt, il existe une pléthore de types de connexion dans Windows. Cependant, la connexion et l’authentification dans Windows sont des fonctions/événements distincts.
Connexion vs authentification
UN Ouverture de session Windows se produit sur le poste de travail auquel un utilisateur tente d’accéder. Cependant, Authentification Windows est effectuée par l’ordinateur sur lequel le compte utilisateur est stocké. Oui, c’est une différence subtile, en particulier lorsque vous entrez dans les connexions et l’authentification locales, interactives et réseau.
Sur les ordinateurs Windows, toutes les authentifications sont traitées comme l’un des types de connexion ci-dessous. Cela est vrai quel que soit le protocole d’authentification ou l’authentificateur utilisé.
Connexions interactives avec des comptes locaux ou de domaine
Un connexion interactive est une connexion par laquelle un utilisateur utilise un clavier et une souris locaux pour entrer des informations d’identification dans l’écran de connexion de Windows. Ils peuvent se connecter avec un compte local contre un SAM local (Gestionnaire de comptes de sécurité) base de données de compte en utilisant le nom de l’ordinateur dans le champ ‘domaine’.
Les utilisateurs peuvent se connecter avec un compte de domaine en choisissant le domaine Active Directory dans le champ domaine ou en tapant leur UPN dans le champ nom d’utilisateur. Les cartes à puce et les dispositifs biométriques peuvent également être utilisés comme méthodes d’authentification pour se connecter de manière interactive.
Connexions interactives à distance
Lorsque vous lancez une Protocole de bureau à distance (RDP) vers un autre poste de travail ou serveur, il s’agit d’une connexion interactive à distance. Vous vous connectez de manière interactive avec la machine distante, mais vous le faites à distance. Ce n’est PAS l’ordinateur que vous utilisez pour démarrer cette connexion.
Cette distinction est relativement simple sur le papier, mais il existe de nombreuses nuances dans la manière dont ils sont signalés, consignés dans divers journaux d’événements de sécurité et comment ils peuvent être exploités ou compromis à votre insu.
Connexions réseau
Une connexion réseau correspond à la connexion d’un utilisateur à une machine via le réseau. Ceci est généralement utilisé pour accéder aux ressources réseau partagées. Par exemple, accéder à un dossier partagé, se connecter à une machine via WinRM (Protocole de gestion à distance de Windows), ou une imprimante.
Activation des événements de connexion sous Windows
Par défaut, les contrôleurs de domaine génèrent un événement de connexion lorsqu’un ordinateur de domaine est connecté. Cependant, il existe des événements plus robustes qui peuvent être enregistrés : Auditer les événements de connexion au compte et Auditer les événements de connexion. Vous pouvez accomplir cela sur votre domaine via la stratégie de groupe ou sur un serveur ou poste de travail membre spécifique via leurs Stratégie de sécurité locale.
Voici quelques instructions de base pour activer la journalisation avec la stratégie de groupe dans un environnement de domaine Active Directory :
- Connectez-vous à votre contrôleur de domaine.
- Ouvrez la console de gestion des stratégies de groupe dans les outils d’administration.
- Développez votre domaine objet.
- Élargir le Objets de stratégie de groupe objet.
- Faites un clic droit sur le Stratégie de domaine par défaut objet et cliquez Éditer.
- Suivez le chemin vers : Paramètres Windows -> Paramètres de sécurité -> Configuration avancée de la stratégie d’audit -> Stratégies d’audit -> Connexion/Déconnexion -> Audit de connexion.
- Sélectionnez “Configurer les événements d’audit suivants :” Succès et Échec cases à cocher.
Je vais maintenant détailler les types de connexion Windows les plus courants. Pour chacun d’eux, j’inclurai les types d’authentificateurs capables d’initier une connexion de ce type, ainsi que des exemples pratiques.
Type de connexion 2 : connexion interactive
Ce type de connexion est généré lorsqu’un utilisateur se connecte à la console d’une machine. Encore une fois, un utilisateur peut également utiliser une carte à puce ou des méthodes biométriques en plus du clavier et de la souris traditionnels.
Authentificateurs acceptés
Vous pouvez utiliser le clavier et la souris, les cartes à puce et les appareils biométriques. De nouveaux types d’appareils ont été introduits ces dernières années, notamment les appareils de sécurité compatibles FIDO2 (Yubikey, etc.).
Exemples
Une connexion locale donne à un utilisateur l’autorisation d’accéder aux ressources sur l’ordinateur local. Une connexion locale nécessite un compte d’utilisateur dans le SAM local sur l’ordinateur.
Type de connexion 3 : connexion au réseau
Ce type de connexion décrit un ordinateur auquel on accède via le réseau (LAN/WAN). Ceci est généralement utilisé pour accéder aux serveurs de fichiers, aux imprimantes et à d’autres périphériques réseau.
Authentificateurs acceptés
Vous pouvez utiliser un clavier et une souris (mot de passe), un ticket Kerberos et les hachages NT sont tous des authentificateurs acceptés pour ce type de connexion.
Exemples
Une connexion réseau donne à l’utilisateur l’autorisation (via un jeton) d’accéder auxdites ressources. L’authentification locale doit d’abord être effectuée.
Type de connexion 4 : connexion par lots
Ce type de connexion concerne généralement tâches planifiées. Les événements de connexion de type 4 sont généralement plutôt bénins, cependant, un utilisateur malveillant pourrait essayer de deviner le mot de passe d’un compte ici.
Authentificateurs acceptés
Un mot de passe est le seul authentificateur accepté car il est local.
Exemples
Lorsque Windows exécute une tâche planifiée, le service crée une nouvelle session de connexion pour la tâche afin qu’il dispose des autorisations nécessaires pour la terminer.
Si vous remontez un bon nombre d’années dans le temps, vous vous souviendrez peut-être de la commande « at ». Oui, par nostalgie, lisez ce lien documentaire de Microsoft à l’époque de Windows 2000 !
Type de connexion 5 : connexion au service
Le type suivant est appelé la connexion au service. Lorsque Windows démarre un service configuré pour se connecter en tant qu’utilisateur, Windows crée une nouvelle session de connexion. Chaque service est configuré pour s’exécuter en tant que compte d’utilisateur spécifié.
Authentificateurs acceptés
Comme les ouvertures de session par lots, le type d’ouverture de session de service accepte uniquement un mot de passe qui est généralement stocké en tant que secret LSA.
Exemples
Lors de la création d’un local Apache Tomcat serveur pour héberger un site Web, vous pouvez configurer le service Tomcat pour vous connecter en tant qu’administrateur (pas une bonne idée), ou de préférence un compte de service de domaine avec un mot de passe très fort.
Type de connexion 7 : Déverrouiller
Lorsqu’un utilisateur quitte un poste de travail pendant un certain temps, Windows verrouille l’ordinateur. Il s’agit de protéger le poste de travail, ses données et d’autres données potentielles du réseau distant contre les attaquants ou les pirates locaux. Lorsqu’un utilisateur déverrouille l’ordinateur, ce type de connexion est consigné dans le journal des événements de sécurité local.
Authentificateurs acceptés
Encore une fois, seul un mot de passe est accepté pour ce type de connexion.
Exemples
Comme indiqué ci-dessus, après être revenu sur un ordinateur qui a été verrouillé par une stratégie, le déverrouillage de l’ordinateur, en ressaisissant le mot de passe, décrit cet événement.
Type de connexion 8 : connexion au réseau en texte clair
Ce type est similaire à une connexion réseau (type 3), mais ici le mot de passe a été envoyé sur le réseau en texte clair. Le mot de passe a été transmis au système d’authentification sur le système distant sous sa forme non hachée. Windows hache toujours les mots de passe saisis avant de les transmettre sur le réseau local.
Authentificateurs acceptés
Vous l’avez deviné… mots de passe.
Exemples
Le seul exemple traditionnel de ceci était IIS (les services de l’information de l’Internet) des connexions anonymes, mais même celles-ci sont devenues rares en raison du paysage de sécurité sans cesse croissant dans lequel nous vivons aujourd’hui.
Un autre exemple est dans un ASP (Fournisseur de services applicatifs) script utilisant le processus de connexion ADVAPI.
Type de connexion 9 : nouvelle connexion basée sur les informations d’identification
Ce type de connexion décrit l’utilisation Parlant pour démarrer un programme sous un compte différent du compte connecté. Vous utilisez le commutateur /netonly dans Windows pour y parvenir.
Authentificateurs acceptés
Seuls les mots de passe sont acceptés comme authentificateurs pour ce type de connexion.
Exemples
Quand tu veux ouvrir Gestion d’ordinateur en tant qu’administrateur de domaine différent, vous pouvez maintenir la touche Maj enfoncée pendant que vous cliquez avec le bouton droit sur l’outil dans Outils d’administration, puis cliquez sur Exécuter en tant qu’autre utilisateur. Ici, vous accédez à ce type de connexion pour ouvrir le programme sous un autre compte que celui que vous avez utilisé pour vous connecter au poste de travail.
Type de connexion 10 : connexion interactive à distance
Ce type de connexion parfois appelé “RemoteInteractive”, détaille l’utilisation du protocole de bureau à distance (ou des services de terminal) pour accéder à un poste de travail ou à un serveur distant. Ce type est similaire au #2 (Interactif), mais encore une fois, nous venons d’un endroit éloigné.
Authentificateurs acceptés
Parce que nous utilisons RDP, nous avons des authentificateurs similaires possibles. Nous pouvons utiliser des cartes à puce et des dispositifs biométriques, à condition qu’ils soient transmis avec les paramètres appropriés dans le logiciel client RDP.
Exemples
Le seul exemple principal consiste à nouveau à utiliser RDP pour se connecter à un ordinateur distant via le réseau.
Type de connexion 11 : Connexion interactive en cache
Notre dernier type décrit le moment où un utilisateur se connecte à la machine via des informations d’identification mises en cache. Ceci est très similaire, encore une fois, à # 2 (interactif), mais au lieu d’une authentification “en direct” sur un contrôleur de domaine, Windows utilise localement les informations d’identification précédemment saisies (mises en cache) pour accorder à l’utilisateur des autorisations d’accès au poste de travail.
Authentificateurs acceptés
Dans ce cas, seuls les mots de passe sont possibles. Il n’existe aucun moyen d’utiliser un jeton de carte à puce mis en cache, pour des raisons évidentes.
Exemples
L’exemple le plus courant ici est lorsque votre ordinateur ou votre poste de travail ne dispose pas d’une connexion réseau (LAN/WAN). Parce que Windows ne peut pas faire une demande d’authentification en temps réel à un contrôleur de domaine, tant que ‘x’ nombre de jours ne se sont pas écoulés depuis votre poste de travail a parlé à un contrôleur de domaine, les informations d’identification mises en cache locales sont utilisées pour accorder l’authentification locale.
Encore une fois, la stratégie de groupe peut spécifier le nombre de jours pendant lesquels votre ordinateur peut rester dans une “période de grâce”. En règle générale, il s’agit de 30 ou 90 jours. Mais, avec un esprit de sécurité, plus le prix est bas, mieux c’est.
Conclusion
Avoir une bonne connaissance des différents types de connexion dans Windows aide les professionnels de l’informatique à comprendre et à résoudre les problèmes liés à divers événements de connexion dans l’Observateur d’événements. Et du point de vue de la sécurité, vous analyserez très probablement les journaux des événements de sécurité de votre contrôleur de domaine lorsque vous tenterez de traquer les activités malveillantes dans votre domaine Windows.
Merci pour la lecture. S’il vous plaît laissez un commentaire ci-dessous!
