Le petit câbleurParamètres de stratégies de groupe sans fil pour Windows Vista
Joseph Davies
Cet article contient des informations de version bêta liées à Windows Server « Longhorn » et susceptibles d'être modifiées.
En tant qu'administrateur, votre tâche serait probablement un peu plus facile si vous pouviez configurer et distribuer de façon centralisée les paramètres de réseau sans fil à tous les ordinateurs dans votre réseau Active Directory réseau. Fort heureusement, Windows prend en charge une extension spéciale de stratégie de groupe pour la configuration de l'ordinateur qui vous permet d'accomplit cette tâche. Il s'agit
de l'extension des Stratégies de réseau sans fil (IEEE 802.11), prise en charge par les ordinateurs exécutant Windows Vista™, Windows® XP, Windows Server® 2003, ainsi que la prochaine version de Windows Server, baptisée « Longhorn ».
Voici comment elle fonctionne. En rejoignant le domaine ou au démarrage (et sur une base continue après cela), ces systèmes d'exploitation téléchargent automatiquement les paramètres sans fil dans cette extension de stratégie de groupe et les appliquent. Vous pouvez configurer des stratégies sans fil pour un objet de stratégie de groupe basée sur un domaine à partir du nœud suivant dans le composant logiciel enfichable de l'éditeur d'objet de stratégie de groupe : Configuration de l'ordinateur | Paramètres Windows | Paramètres de Sécurité | Stratégies de réseau sans fil (IEEE 802.11).
La figure 1 indique l'emplacement du nœud des stratégies de réseau sans fil (IEEE 802.11) d'un domaine de nœud de Stratégies pour un domaine de Windows Server baptisé « Longhorn » ou pour un domaine de Windows Server 2003 dont le schéma a été étendu à l'aide des fichiers d'extension de schéma 802.11Schema.ldf et 802.3Schema.ldf (décrits dans microsoft.com/technet/network/wifi/vista_ad_ext.mspx).
Figure 1** Nœud de stratégies de réseau sans fil (IEEE 802.11) **(Cliquer sur l'image pour l'agrandir)
Par défaut, il n'existe pas de stratégie de réseau sans fil (IEEE 802.11). Pour créer une nouvelle stratégie, cliquez avec le bouton droit sur Stratégies de réseau sans fil (IEEE 802.11) dans l'arborescence de la console, puis cliquez sur Créer une nouvelle stratégie Windows XP ou sur Créer une nouvelle stratégie Windows Vista. Pour chaque type de stratégie, vous ne pouvez créer qu'une seule stratégie, mais chaque stratégie peut contenir des paramètres pour plusieurs réseaux sans fil.
Pour la stratégie Windows XP, les paramètres de stratégie sont très similaires à ceux décrits dans mon article de juillet 2003. Cependant, il existe de nouvelles options pour les réseaux sans fil de non-diffusion, des méthodes d'authentification pour Wi-Fi Protected Access 2 (WPA2) et des paramètres itinérants rapides pour l'authentification de WPA2. Pour prendre en charge ces nouveaux paramètres, les ordinateurs exécutant Windows XP Service Pack 2 (SP2) doivent installer la mise à jour client sans fil pour Windows XP SP2 disponible sur support.microsoft.com/kb/917021.
La stratégie sans fil Windows Vista contient des paramètres de stratégie spécifiques aux clients sans fil de Windows Vista et Windows Server « Longhorn ». Si les deux types de stratégies sans fil sont configurés, les clients de Windows XP sans fil utiliseront seulement leurs propres paramètres de stratégie et les clients sans fil de Windows Vista utiliseront seulement leurs propres paramètres de stratégie. S'il n'y a pas de paramètre de stratégie Windows Vista, les clients sans fil de Windows Vista utiliseront les paramètres de Windows XP. Cet article décrit les paramètres qui peuvent être configurés avec la stratégie sans fil Windows Vista.
Dans l'onglet Général d'une stratégie de réseau sans fil Windows Vista, vous pouvez configurer un nom et une description pour la stratégie, spécifier si le service de configuration automatique WLAN est activé et configurer la liste de profils du réseau sans fil et leurs paramètres dans l'ordre de préférence (voir la figure 2). Vous pouvez également exporter un profil sous un fichier XML en sélectionnant le profil et en cliquant sur Exporter. Pour importer un fichier XML en tant que profil sans fil, cliquez sur Importer et indiquez l'emplacement du fichier.
Figure 2** Propriétés de la stratégie de réseau sans fil **(Cliquer sur l'image pour l'agrandir)
La figure 3 illustre l'onglet Autorisations réseau pour une stratégie de réseau sans fil Windows Vista, avec ses paramètres par défaut. Cet onglet est nouveau pour Windows Vista, et il vous permet d'indiquer des réseaux sans fil par leur nom, ainsi que de leur autoriser ou refuser l'accès. Par exemple, vous pouvez créer une liste de permissions contenant le nom de réseaux sans fil, également appelés SSID (Service Set Identifiers), auxquels un client sans fil Windows Vista est autorisé à se connecter. Ceci est utile pour les administrateurs réseau qui souhaitent connecter un ordinateur portable de l'entreprise à un ensemble de réseaux sans fil qui peut inclure le réseau sans fil de l'entreprise et les fournisseurs d'accès Internet.
Figure 3** Onglet Autorisations réseau **(Cliquer sur l'image pour l'agrandir)
La liste des noms refusés permet d'indiquer, par leur nom, l'ensemble des réseaux sans fil auxquels le client sans fil n'a pas le droit de se connecter. Il est ainsi possible d'empêcher des ordinateurs portables gérés de se connecter à d'autres réseaux sans fil accessibles (par exemple, lorsque une entreprise occupe un étage d'un bâtiment et qu'il existe des réseaux sans fil d'autres entreprises aux étages voisins). Vous pouvez également empêcher des ordinateurs portables gérés de se connecter aux réseaux sans fil non sécurisés connus à l'aide d'une liste de noms refusés. Pour créer l'une ou l'autre de ces listes ou indiquer les réseaux sans fil individuels auxquels vous voulez accorder ou refuser l'accès, cliquez sur Ajouter pour ajouter un réseau sans fil par son nom et spécifier s'il est autorisé ou refusé.
Sur l'onglet Autorisations réseau figurent également des paramètres pour empêcher des connexions aux réseaux sans fil de mode ad hoc ou d'infrastructure. Vous pouvez aussi permettre aux utilisateurs d'afficher les réseaux sans fil configurés comme refusés et permettre à chaque utilisateur de créer un profil entièrement utilisateur. Un tel profil peut être utilisé pour se connecter à un réseau sans fil spécifique par n'importe quel utilisateur possédant un compte sur l'ordinateur. Si ce paramètre est désactivé, seuls les utilisateurs des groupes Administrateurs réseau ou Opérateurs réseau pourront créer des profils sans fil utilisateur sur l'ordinateur.
Propriétés du profil réseau sans fil
Pour gérer un profil réseau sans fil à partir de l'onglet Général de la stratégie sans fil Windows Vista, sélectionnez un profil existant et cliquez sur Modifier ou cliquez sur Ajouter puis indiquez si le nouveau profil sans fil est pour un réseau sans fil de mode ad hoc ou d'infrastructure.
Pour créer un nouveau profil sans fil, commencez par ouvrir l'onglet Connexion, puis nommez le profil et créez une liste de noms de réseaux sans fil auxquels il s'applique (voir la figure 4). Vous pouvez ajouter de nouveaux noms en les entrant dans les SSID et en cliquant sur Ajouter. Vous pouvez également spécifier si le client sans fil utilisant ce profil tentera automatiquement de se connecter aux réseaux sans fil nommés dans le profil lorsque ces réseaux sont accessibles (selon l'ordre de préférence de la liste des profils sans fil dans l'onglet Général de la stratégie Windows Vista). De plus, vous pouvez indiquer si l'ordinateur doit se déconnecter automatiquement de ce réseau sans fil si un réseau sans fil supérieur dans l'ordre de préférence devient accessible, et spécifier que les réseaux sans fil dans ce profil sont des réseaux de non-diffusion (également appelés réseaux masqués).
Figure 4** Onglet Connexion **(Cliquer sur l'image pour l'agrandir)
A partir de l'onglet Sécurité, affiché dans la figure 5, vous pouvez configurer les méthodes d'authentification et de chiffrage pour les réseaux sans fil dans le profil. Le choix des méthodes de chiffrage dépend du choix de votre méthode d'authentification. Les choix pour chaque méthode sont listés dans la figure 6.
Figure 6 Méthodes de sécurité
| Méthodes d'authentification |
| Ouvrir |
| Partagé |
| WPA (Wi-Fi Protected Access)-Personal |
| WPA-Enterprise |
| WPA2-Personal |
| WPA2-Enterprise |
| Ouvrir avec 802,1X |
| Méthodes de chiffrage |
| Wired Equivalent Privacy (WEP) |
| Temporal Key Integrity Protocol (TKIP) |
| Advanced Encryption Standard (AES) |
Figure 5** Onglet Sécurité **(Cliquer sur l'image pour l'agrandir)
Si vous décidez de sélectionner WPA-Enterprise, WPA2-Enterprise, ou Ouvrir avec 802.1X comme méthode d'authentification, vous pouvez également configurer la méthode d'authentification du réseau (le type d'EAP [Extensible Authentication Protocol]), le mode d'authentification (la ré-authentification de l'utilisateur, l'authentification de l'ordinateur, l'authentification de l'utilisateur ou l'authentification d'invité), ainsi que le nombre d'échecs de tentatives d'authentification avant que l'authentification ne soit abandonnée et si les données utilisateur doivent être mises en cache pour les connexions ultérieures. Ce dernier paramètre indique que lorsque l'utilisateur ferme la session, les informations d'identification de l'utilisateur sont supprimées du registre. Donc, lors de la prochaine ouverture de session, l'utilisateur sera invité à saisir ses informations d'authentification (telles que son nom d'utilisateur et son mot de passe).
Pour configurer les paramètres de sécurité avancée des méthodes d'authentification WPA-ENTREPRISE, WPA2-Enterprise ou Ouvrir avec 802.1X, cliquez sur Avancé. La figure 7 affiche la boîte de dialogue des paramètres de sécurité avancée par défaut.
Figure 7** Boîte de dialogue des paramètres de sécurité avancée **(Cliquer sur l'image pour l'agrandir)
Dans la section IEEE 802.1X, vous pouvez spécifier le nombre de messages d'EAP sur LAN (EAPOL)-Start successifs envoyés sans réponse aux messages EAPOL-Start reçus, ainsi que l'intervalle temporel entre les retransmissions de messages EAPOL-Start lorsqu'aucune réponse n'a été reçue pour le dernier message EAPOL-Start reçu. Vous pouvez aussi déterminer la période pour laquelle le client qui s'authentifie n'exécutera pas d'authentification 802.1X après avoir reçu une indication d'échec d'authentification de l'authentificateur, et l'intervalle d'attente du client pour retransmettre des requêtes 802.1X après l'initialisation de l'authentification 802.1X de bout en bout.
L'authentification unique (SSO) vous permet de configurer l'authentification 802.1X par rapport à l'ouverture de session utilisateur et d'intégrer des informations d'ouverture de session utilisateur et d'authentification 802.1X sur le serveur d'ouverture de session de Windows. Dans la section SSO, il existe des paramètres permettant d'exécuter l'authentification sans fil immédiatement avant ou après le processus d'ouverture de session utilisateur, et pour spécifier le délai de la connectivité en secondes qui précède le démarrage du processus. Vous pouvez également indiquer s'il faut ou non inviter l'utilisateur à remplir des champs d'entrée supplémentaires, si la méthode d'authentification le nécessite, la durée de l'affichage de ces champs et si les réseaux sans fil pour ce profil utilisent un LAN virtuel (VLAN) différent pour l'authentification de l'ordinateur et de l'utilisateur.
Dans la section Itinérance rapide, vous pouvez configurer la mise en cache de la clé PMK (Pariwise Master Key) et les options de pré-authentification. La section Itinérance rapide apparaît seulement lorsque vous sélectionnez WPA2-Enterprise comme méthode d'authentification. Avec la mise en cache de la clé PMK, les clients sans fil et les points d'accès sans fil (AP) mettent en cache les résultats des authentifications 802.1X. L'accès est donc beaucoup plus rapide lorsqu'un client sans fil fait un retour itinérant à un AP sans fil auquel il s'est déjà authentifié. Vous pouvez configurer un temps maximal de conservation des entrées dans le cache de PMK et le nombre maximal d'entrées. Avec la pré-authentification, un client sans fil peut exécuter une authentification 802.1X avec d'autres AP sans fil accessibles pendant qu'il est toujours connecté à son AP sans fil actuel. Si le client sans fil passe à un AP sans fil avec lequel il a été pré-authentifié, le temps d'accès est substantiellement réduit. Vous pouvez configurer le nombre maximal de tentatives de pré-authentification avec un AP sans fil.
Pour plus d'informations sur la prise en charge sans fil dans Windows, voir microsoft.com/wifi. Pour plus d'informations sur la stratégie de groupe Windows, voir les ressources sur microsoft.com/gp.
© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.