Bibliothèque d'authentification et d'identification graphique

La bibliothèque d'authentification et d'identification graphique (en anglais graphical identification and authentication, GINA) est un composant des plusieurs systèmes d'exploitation Microsoft Windows (win 2000, xp, 2003) fournissant des services d'identification et d'authentification sécurisés.

Gina a été abandonné par Microsoft depuis Vista et Windows Server 2008. À partir de ces versions, une nouvelle architecture winlogon est proposée, avec un système d'authentification à plusieurs facteurs. Pour modifier le système d'authentification, il faut maintenant créer un fournisseur d'informations d'identification (credential provider)

Vue d'ensemble

GINA est une boîte de dialogue "Sécurité Windows" sous Windows XP : GINA est chargée d’afficher cette boîte de dialogue lorsque vous appuyez sur la combinaison de touches Ctrl + Alt + Suppr

Une bibliothèque GINA par défaut, MSGINA.DLL, est fournie par Microsoft avec le système d’exploitation et offre les fonctionnalités suivantes :

• Authentification sur les serveurs de domaine Windows avec une combinaison nom d'utilisateur / mot de passe fournie.
• Affichage d’une notice légale à l’utilisateur avant la présentation de l’invite de connexion.
• Ouverture de session automatique, permettant de stocker un nom d'utilisateur et un mot de passe et de les utiliser à la place d'une invite de connexion interactive. La connexion automatique peut également être configurée pour ne s'exécuter qu'un certain nombre de fois avant de revenir à la connexion interactive. Dans les anciennes versions de Windows NT, le mot de passe ne pouvait être stocké qu'en texte brut dans le registre; la prise en charge de l'utilisation des capacités de stockage privé de l'autorité de sécurité locale a été introduite dans Windows NT 4.0 Workstation Service Pack 3 et Windows NT Server 3.51.
• Boîte de dialogue "Options de sécurité" lorsque l'utilisateur est connecté, qui propose des options pour fermer, fermer la session, changer le mot de passe, démarrer le gestionnaire de tâches et verrouiller le poste de travail.

Winlogon peut être configuré pour utiliser un autre GINA, fournissant des méthodes d'authentification non standard telles que des lecteurs de carte à puce ou une identification basée sur la biométrie, ou pour fournir une interface visuelle alternative au GINA par défaut. Les développeurs qui implémentent une GINA de remplacement sont tenus de fournir les implémentations d'un ensemble d'appels d'API couvrant des fonctionnalités telles que l'affichage d'une boîte de dialogue "station verrouillée", le traitement de la séquence d'attention sécurisée dans différents états utilisateur, la réponse aux demandes de verrouillage ou non workstation est une action autorisée, prenant en charge la collecte des informations d'identification de l'utilisateur sur les connexions basées sur les services Terminal Server et interagissant avec un économiseur d'écran.

Une GINA personnalisée peut être entièrement réalisée à partir de rien, ou tout simplement être la GINA originale avec des modifications. Une GINA personnalisée peut être spécifiée en plaçant une chaîne nommée GinaDLL à l'emplacement du registre HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon. Le composant Winlogon est seul responsable de l'appel de ces API dans la bibliothèque GINA.

Lorsque le processus Winlogon démarre, il compare son numéro de version à celui pris en charge par la bibliothèque GINA chargée. Si la bibliothèque GINA est d'une version supérieure à Winlogon, Windows ne démarrera pas. Ceci est effectué car une bibliothèque GINA écrite pour une version donnée de Winlogon s'attend à ce qu'un certain ensemble d'appels d'API soit fourni par Winlogon.

La prise en charge des DLL GINA remplaçables a été introduite avec Windows NT Server 3.51 et Windows NT Workstation 4.0 SP3. Les versions successives de Windows ont introduit des fonctionnalités supplémentaires dans Winlogon, offrant ainsi des fonctionnalités supplémentaires pouvant être implémentées par un remplacement de GINA. Windows 2000, par exemple, a introduit la prise en charge de l'affichage des messages d'état (y compris les messages détaillés pouvant être activés via la stratégie de groupe) sur l'état actuel de l'utilisateur (par exemple, "Application des paramètres de l'ordinateur") et le démarrage d'applications dans le contexte de l'utilisateur; cela facilite le redémarrage automatique de l'Explorateur Windows en cas de panne, ainsi que le démarrage du gestionnaire de tâches. Windows XP a introduit la prise en charge du changement rapide d'utilisateur, du bureau à distance et d'une connexion en plein écran plus interactive, simplifiée et conviviale.

Voir aussi

Articles connexes

• Winlogon
• Processus de démarrage de Windows NT

Liens externes

• (en) Winlogon and GINA, développer information on how the login components interact
• (en) Customizing Gina Part 1, tutoriel pour les développeurs souhaitant écrire une GINA personnalisée (1^re partie).
• (en) Customizing Gina Part 2, tutoriel pour les développeurs souhaitant écrire une GINA personnalisée (2^e partie).
• (en) pGINA.org- Home of a free GPL'ed GINA with Plug-ins
• (en) TCGINA, a TrueCrypt plug-in for encrypting a Windows user profile
• (fr) regina Credential Provider LDAP pour Windows.

•   Portail de Microsoft
•   Portail de la sécurité informatique