Exporter (0) Imprimer
Développer tout

Administration basée sur les rôles dans ISA Server 2006

Microsoft® Internet Security and Acceleration (ISA) Server 2006 vous permet d'appliquer des rôles administratifs à des utilisateurs et des groupes. Après avoir déterminé les groupes autorisés à configurer ou à consulter les informations de stratégie et de surveillance ISA Server, vous pouvez attribuer des rôles de manière appropriée.

Scénario : Administration basée sur les rôles

Vous pouvez utiliser l'administration basée sur les rôles pour organiser les administrateurs ISA Server en rôles distincts et prédéfinis, chacun disposant de son ensemble de tâches. Lorsque vous attribuez un rôle à un utilisateur, vous lui accordez des autorisations pour effectuer des tâches spécifiques. L'administration basée sur les rôles implique les utilisateurs et les groupes Microsoft Windows Server® 2003 ou Windows® 2000 Server. Ces autorisations de sécurité, appartenances aux groupes et droits utilisateur permettent de distinguer quels rôles sont attribués à quels utilisateurs.

Étant donné qu'ISA Server contrôle l'accès à votre réseau, l'attribution d'autorisations à l'ordinateur ISA Server et aux composants associés doit faire l'objet d'une attention particulière. Déterminez attentivement qui doit être autorisé à se connecter à l'ordinateur ISA Server. Configurez ensuite les droits de connexion en conséquence.

Fonctionnalités de l'administration basée sur les rôles

Comme dans toute application de votre environnement, lorsque vous définissez les autorisations pour ISA Server, vous devez tenir compte des rôles des administrateurs ISA Server et ne leur attribuer que les autorisations nécessaires. Pour simplifier le processus, ISA Server utilise des rôles administratifs. Lorsque vous attribuez un rôle à un utilisateur, vous lui accordez essentiellement des autorisations pour effectuer des tâches spécifiques. Un utilisateur disposant d'un rôle, par exemple administrateur complet ISA Server, peut exécuter des tâches ISA Server spécifiques qu'un utilisateur disposant d'un autre rôle, par exemple la surveillance de base ISA Server, ne peut pas exécuter. L'administration basée sur les rôles implique des utilisateurs et des groupes Windows. Ces autorisations de sécurité, appartenances aux groupes et droits utilisateur permettent de distinguer quels rôles sont attribués à quels utilisateurs.

Tout utilisateur Windows peut être membre de ces groupes administratifs ISA Server. Aucune autorisation ni privilège Windows particulier n'est requis.

note Remarque :

La seule exception est que l'utilisateur qui souhaite afficher les compteurs de performances ISA Server, à l'aide de l'Analyseur de performances ou du tableau de bord ISA Server, doit être un membre du groupe d'utilisateurs de l'Analyseur de performances Windows Server 2003

Les utilisateurs disposant d'autorisations administrateur sur l'ordinateur ISA Server Enterprise Edition obtiennent automatiquement des autorisations de niveau entreprise ISA Server. Notez que les utilisateurs appartenant au groupe Administrateurs sur le serveur de stockage de configurations peuvent contrôler la configuration de l'entreprise. Cela tient au fait qu'ils peuvent directement modifier les données du serveur de stockage de configurations

Rôles administratifs (Standard Edition)

Le tableau suivant décrit les rôles ISA Server Standard Edition

Rôle Standard Edition

Description

Auditeur de surveillance ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent surveiller l'activité réseau et de l'ordinateur ISA Server de base, mais ne peuvent pas afficher la configuration ISA Server.

Auditeur ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent exécuter toutes les tâches de surveillance, y compris la configuration du journal et de la définition d’alerte, et peuvent afficher la configuration ISA Server.

Administrateur complet ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent exécuter toutes les tâches ISA Server, y compris la configuration de règles, l'application de modèles réseau et la surveillance.

note Remarque :

Les administrateurs disposant d'autorisations d'auditeur ISA Server peuvent exporter, importer et décrypter des informations telles que les mots de passe stockés dans la configuration.

Rôles et activités

Chaque rôle ISA Server détient une liste spécifique de tâches ISA Server qui lui sont associées. Le tableau suivant répertorie certaines tâches administratives ISA Server avec les rôles dans lesquels elles sont exécutées.

Activité

Auditeur de surveillance ISA Server

Auditeur ISA Server

Administrateur complet ISA Server

Afficher le tableau de bord, les alertes, la connectivité, les sessions, les services

Autorisé

Autorisé

Autorisé

Reconnaître les alertes

Autorisé

Autorisé

Autorisé

Afficher les informations des journaux

Non autorisé

Autorisé

Autorisé

Créer des définitions d’alerte

Non autorisé

Non autorisé

Autorisé

Créer des rapports

Non autorisé

Autorisé

Autorisé

Arrêter et démarrer des sessions et des services

Non autorisé

Autorisé

Autorisé

Afficher la stratégie de pare-feu

Non autorisé

Autorisé

Autorisé

Configurer la stratégie de pare-feu

Non autorisé

Non autorisé

Autorisé

Configurer le cache

Non autorisé

Non autorisé

Autorisé

Configurer un réseau privé virtuel (VPN)

Non autorisé

Non autorisé

Autorisé

Les administrateurs disposant d'autorisations de rôle d'auditeur ISA Server peuvent configurer toutes les propriétés du rapport avec les exceptions suivantes :

  • Il n'est pas possible de configurer un compte utilisateur différent lors de la publication de rapports.

  • Il n'est pas possible de personnaliser le contenu des rapports.

Rôles administratifs de niveau groupe (Enterprise Edition)

Vous pouvez organiser les administrateurs de niveau groupe en rôles distinct et prédéfinis, chacun disposant de son propre ensemble de tâches. Le tableau suivant décrit les rôles de niveau groupe ISA Server Enterprise Edition.

Rôle :

Description

Auditeur de surveillance de groupe ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent surveiller l'activité réseau et de l'ordinateur ISA Server de base, mais ne peuvent pas afficher la configuration ISA Server.

Auditeur de groupe ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent exécuter toutes les tâches de surveillance, y compris la configuration du journal et de la définition d’alerte, et peuvent afficher la configuration ISA Server.

Administrateur de groupe ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent exécuter toutes les tâches ISA Server sur le groupe spécifique, y compris la configuration de règles, l'application de modèles réseau et la surveillance.

note  Remarque :

Les administrateurs disposant d'autorisations d'auditeur de groupe ISA Server peuvent configurer toutes les propriétés du rapport avec les exceptions suivantes :

  • Il n'est pas possible de configurer un compte utilisateur différent lors de la publication de rapports.

  • Il n'est pas possible de personnaliser le contenu des rapports.

    Un utilisateur auquel est attribué le rôle d'administrateur de groupe ISA Server peut exécuter des processus nécessitant des privilèges élevés sur l'ordinateur ISA Server.

Rôles et activités

Chaque rôle ISA Server détient une liste spécifique de tâches ISA Server qui lui sont associées. Le tableau suivant répertorie certaines tâches administratives ISA Server avec les rôles dans lesquels elles sont exécutées.

Activité

Auditeur de surveillance de groupe ISA Server

Auditeur de groupe ISA Server

Administrateur de groupe ISA Server

Afficher le tableau de bord, les alertes, la connectivité, les sessions, les services

Autorisé

Autorisé

Autorisé

Reconnaître et réinitialiser les alertes

Autorisé

Autorisé

Autorisé

Afficher les informations des journaux

Non autorisé

Autorisé

Autorisé

Créer des définitions d’alerte

Non autorisé

Non autorisé

Autorisé

Créer des rapports

Non autorisé

Autorisé

Autorisé

Arrêter et démarrer des sessions et des services

Non autorisé

Autorisé

Autorisé

Afficher la stratégie de pare-feu

Non autorisé

Autorisé

Autorisé

Configurer la stratégie de pare-feu

Non autorisé

Non autorisé

Autorisé

Configurer le cache

Non autorisé

Non autorisé

Autorisé

Configurer un réseau privé virtuel (VPN)

Non autorisé

Non autorisé

Autorisé

Purger et arrêter le pare-feu d'équilibrage de la charge réseau (NLB, Network Load Balancing) ou le serveur d'équilibrage de la charge Proxy Web

Non autorisé

Autorisé

Autorisé

Afficher la configuration locale (dans le registre d'un membre de groupe)

Non autorisé

Autorisé

Autorisé

Modifier la configuration locale (dans le registre d'un membre de groupe)

Non autorisé

Non autorisé

Non autorisé

Rôles administratifs de niveau entreprise (Enterprise Edition)

Vous pouvez utiliser l'administration basée sur les rôles pour organiser les administrateurs d'entreprise ISA Server 2006 en rôles distincts et prédéfinis, chacun disposant de son propre ensemble de tâches. Lorsque vous attribuez un rôle à un utilisateur, vous lui accordez des autorisations pour effectuer des tâches spécifiques. L'administration basée sur les rôles implique des utilisateurs et des groupes Windows. Ces autorisations de sécurité, appartenances aux groupes et droits utilisateur permettent de distinguer quels rôles sont attribués à quels utilisateurs.

ISA Server fait la distinction entre les rôles de niveau entreprise et les rôles de niveau groupe. Le tableau suivant décrit les rôles ISA Server pour l'administration d'entreprise.

Rôle :

Description

Auditeur d'entreprise ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué peuvent afficher la configuration d'entreprise et toutes les configurations de groupe. Ils peuvent également afficher la configuration locale (dans le registre d'un membre du groupe)

Administrateur d'entreprise ISA Server

Les utilisateurs et les groupes auxquels ce rôle est attribué disposent du contrôle total sur les configurations d'entreprise et de tous les groupes. L'administrateur d'entreprise peut également attribuer des rôles à d'autres utilisateurs et d'autres groupes. Ils peuvent également afficher et modifier la configuration locale (dans le registre d'un membre du groupe)

note  Remarque :

Un utilisateur auquel est attribué le rôle d'administrateur de groupe ISA Server Enterprise peut exécuter des processus hautement privilégiés sur les ordinateurs ISA Server dans l'entreprise.

ISA Server fournit également le rôle d'administrateur de stratégie. Un utilisateur avec ce rôle peut afficher et modifier des stratégies spécifiques.

Rôles et activités

Chaque rôle ISA Server détient une liste spécifique de tâches ISA Server qui lui sont associées. Le tableau suivant répertorie certaines tâches administratives ISA Server avec les rôles dans lesquels elles sont exécutées.

Activité

Administrateur d'entreprise ISA Server

Auditeur d'entreprise ISA Server

Afficher les stratégies d'entreprise

Autorisé

Autorisé

Créer des stratégies d'entreprise

Autorisé

Non autorisé

Appliquer les stratégies d'entreprise à un groupe

Autorisé

Non autorisé

Afficher la stratégie de pare-feu de niveau groupe

Autorisé

Autorisé

Afficher la configuration de groupe

Autorisé

Autorisé

Modifier la configuration de groupe

Autorisé

Non autorisé

Créer un groupe

Autorisé

Non autorisé

Afficher la configuration locale (dans le registre d'un membre de groupe)

Autorisé

Autorisé

Modifier la configuration locale (dans le registre d'un membre de groupe)

Autorisé

Non autorisé

Rôles pour le domaine et le groupe de travail (Enterprise Edition)

Selon la topologie spécifique de votre réseau, plusieurs autorisations doivent être configurées pour les rôles accédant au serveur de stockage de configurations.

L'ordinateur qui exécute les services ISA Server appartient à un groupe de travail

Si l'ordinateur exécutant les services ISA Server appartient à un groupe de travail, mais que le serveur de stockage de configurations appartient à un domaine, les comptes utilisateur configurés sur le domaine doivent être utilisés pour accéder au serveur de stockage de configurations.

Créez des comptes en miroir sur chaque membre du groupe, pour la communication et l'administration intra-groupe. Les comptes doivent être créés avec les mêmes paramètres spécifiés par le compte utilisateur sur le membre du groupe initial.

Par exemple, supposons que le serveur de stockage de configurations appartient au domaine Microsoft.com. Deux ordinateurs exécutent les services ISA Server et appartiennent chacun à un groupe de travail. L'administrateur d'entreprise, dont le nom d'utilisateur est Adina, va administrer cette entreprise. Adina doit appartenir au groupe d'administrateurs de l'entreprise. Pour cet exemple, les opérations suivantes sont requises :

  • Créez des comptes en miroir pour Adina sur les deux ordinateurs exécutant les services ISA Server. (Les comptes doivent posséder les mêmes informations d'identification.)

  • Ajoutez le nom d'utilisateur du domaine d'Adina aux utilisateurs autorisés à accéder au serveur de stockage de configurations.

  • Ajoutez le nom d'utilisateur (spécifié dans le compte en miroir) à la liste des comptes en miroir utilisés pour la surveillance de ce groupe.

Lorsque l'administrateur d'entreprise se connecte à l'entreprise, les actions suivantes sont exécutées :

  1. Les informations d'identification de l'utilisateur connecté sont spécifiées lors de l'indication du mode de connexion au serveur de stockage de configurations.

  2. Les différentes informations d'identification sont spécifiées lors de l'indication du mode de connexion à chaque membre du groupe.

  3. Adina est spécifiée comme nom d'utilisateur pour les informations d'identification du membre du groupe.

L'ordinateur qui exécute les services ISA Server appartient à un domaine

Si l'ordinateur exécutant les services ISA Server appartient à un domaine, mais que le serveur de stockage de configurations appartient à un groupe de travail, créez un compte administratif sur le serveur de stockage de configurations.

Notez que dans ce scénario, seul un serveur de stockage de configurations peut être utilisé pour l'entreprise. Créez des comptes de domaine pour la communication et l'administration intra-groupe.

L'ordinateur qui exécute les services ISA Server et le serveur de stockage de configurations appartiennent à un groupe de travail

S'ils appartiennent au même groupe de travail, créez un seul compte administratif.

Notez que dans ce scénario, seul un serveur de stockage de configurations peut être utilisé pour l'entreprise. Vous n'avez pas besoin de créer des comptes de domaine pour la communication et l'administration intra-groupe.

Créez des comptes en miroir sur chaque membre du groupe, pour la communication et l'administration intra-groupe. Vous pouvez créer des comptes en miroir pour chaque administrateur. Vous pouvez également créer des comptes en miroir pour chaque rôle.

Informations d'identification

Lorsqu'on vous demande de présenter des informations d'identification, utilisez des mots de passe renforcés. Un mot de passe est considéré comme renforcé s'il offre une protection efficace contre l'accès non-autorisé. Un mot de passe renforcé ne doit pas contenir une partie ou la totalité du nom du compte utilisateur et doit être composé d'au mois trois des quatre catégories suivantes de caractères : majuscules, minuscules, chiffres et symboles se trouvant sur le clavier (tels que !, @, #).

Méthodes recommandées

Examinez les méthodes recommandées suivantes.

Autorisations

Appliquez le principe de moindre privilège lors de la configuration des autorisations pour les administrateurs ISA Server, comme décrit dans la section suivante. Déterminez attentivement qui est autorisé à se connecter à l'ordinateur ISA Server, en supprimant l'accès à ceux qui ne sont pas essentiels pour les fonctions du serveur.

Moindres privilèges

Appliquez le principe de moindre privilège lorsqu'un utilisateur dispose du minimum de privilèges nécessaires pour exécuter une tâche spécifique. Si un compte utilisateur est compromis, cela permet de garantir un impact minimisé par les privilèges limités détenus par cet utilisateur.

Maintenez le groupe d'administrateurs et les autres groupes d'utilisateurs aussi réduits que possible. Par exemple, un utilisateur appartenant au groupe d'administrateurs sur l'ordinateur ISA Server peut exécuter n'importe quelle tâche sur l'ordinateur ISA Server.

Dans la version Standard Edition, le rôle d'administrateur complet ISA Server est attribué de manière implicite aux utilisateurs du groupe d'administrateurs. Ils disposent des droits complets pour la configuration et la surveillance d'ISA Server.

Dans Enterprise Edition, les utilisateurs appartenant au groupe Administrateurs sur le serveur de stockage de configurations peuvent contrôler la configuration de l'entreprise. Ils peuvent directement modifier les données du serveur de stockage de configurations.

Connexion et configuration

Lorsque vous vous connectez à l'ordinateur ISA Server, utilisez le compte avec moindres privilèges nécessaires. Par exemple, pour configurer une règle, vous devez vous connecter en tant qu'administrateur ISA Server. Cependant, si vous souhaitez uniquement afficher un rapport, connectez-vous avec des privilèges plus restreints.

De manière général, utilisez un compte avec des autorisations limitées pour exécuter des tâches de routine non associées à l'administration, et utilisez un compte avec des autorisations plus étendues uniquement lors de l'exécution de tâches administratives spécifiques.

Comptes d'invité

Nous vous recommandons de ne pas activer le compte d'invité sur l'ordinateur ISA Server.

Lorsqu'un utilisateur se connecte à l'ordinateur ISA Server, le système d'exploitation vérifie si les informations d'identification correspondent à un utilisateur connu. Si ce n'est pas le cas, l'utilisateur est connecté comme invité, avec les mêmes privilèges autorisés au compte d'invité.

ISA Server reconnaît le compte d'invité comme l'ensemble d'utilisateurs Tous les utilisateurs authentifiés par défaut.

Listes de contrôle d'accès discrétionnaire

Lors d'une nouvelle installation, les listes de contrôle d'accès discrétionnaire (DACL) sont configurées correctement. De plus, ISA Server reconfigure les DACL lorsque vous modifiez les rôles administratifs et lorsque le service de contrôle de Microsoft ISA Server (isactrl) est redémarré. Pour plus d'informations, reportez-vous à la section Fonctionnalités de l'administration basée sur les rôles abordée précédemment dans cet article.

caution  Attention :

Étant donné que ISA Server reconfigure périodiquement les DACL, vous ne devez pas utiliser l'outil d'analyse de configuration et de sécurité pour configurer les DACL par fichier sur les objets ISA Server. Sinon, un conflit peut apparaître entre les DACL définis par la stratégie de groupe et les DACL que ISA Server tente de configurer.

Ne modifiez pas les DACL définis par ISA Server. Notez que ISA Server ne définit pas de DACL pour les objets de la liste suivante. Vous devez définir attentivement des DACL pour les objets de la liste suivante, en accordant des autorisations uniquement aux utilisateurs spécifiques et de confiance :

Dossier pour les rapports (lorsque vous choisissez de publier les rapports).

Fichiers de configuration créés lors de l'exportation ou de la sauvegarde de la configuration.

Fichiers journaux sauvegardés à un emplacement différent.

Veillez à définir attentivement les DACL, en accordant des autorisations uniquement aux utilisateurs et aux groupes de confiance. Prenez soin également de créer des DACL stricts sur les objets utilisés indirectement par ISA Server. Par exemple, lors de la création d'une connexion de base de données ODBC (Open Database Connectivity) utilisée par ISA Server, veillez à conserver le nom de la source de données (DSN) sécurisé.

Configurez des DACL stricts pour toutes les applications en exécution sur l'ordinateur ISA Server. Prenez soin de configurer des DACL stricts pour les données associées dans le système de fichiers et dans le registre.

Si vous personnalisez les modèles SecurID HTML ou de message d'erreur, veillez à configurer des DACL corrects. Le DACL recommandé est une autorisation d'héritage d'un parent.

tip  Conseil :

Nous vous recommandons de ne pas enregistrer de données importantes (des fichiers exécutables et des fichiers journaux, par exemple) sur des partitions FAT32. Cela tient au fait que les DACL ne peuvent pas être configurés pour FAT32 partitionsTip

Révocation d'autorisations utilisateur

Lorsque vous révoquez des autorisations administratives pour un administrateur ISA server, nous vous recommandons de supprimer le compte utilisateur du service d'annuaire Active Directory® pour vous assurer que l'utilisateur ne possède plus d'accès.

Suppression des autorisations administrateur

Pour supprimer les autorisations administrateur, supprimez l'utilisateur du groupe d'administrateurs spécifique.

Pour supprimer les administrateurs ISA Server connectés d'un groupe de sécurité et les ajouter dans un nouveau groupe, procédez comme suit :
  1. Ajoutez le compte administrateur dans le nouveau groupe.

  2. Déconnectez-vous, puis reconnectez-vous avec le compte administrateur, pour que les nouveaux paramètres prennent effet

Supprimez le compte administrateur du groupe d'origine


Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.
Afficher:
© 2014 Microsoft