Ce chapitre vous aide à préparer votre environnement informatique en vue du déploiement de l'infrastructure de sécurité nécessaire à votre réseau local sans fil (WLAN, Wireless Local Area Network). Cette préparation inclut les tâches suivantes :
préparation de votre domaine de service d'annuaire Microsoft® Active Directory® par la création des groupes de sécurité requis ;
préparation de vos serveurs en vue de l'installation du service d'authentification Internet (IAS, Internet Authentication Service) et des services de certificats ; cette tâche implique à son tour les trois sous–tâches suivantes :
application de paramètres de sécurité aux serveurs ;
installation des outils nécessaires sur les serveurs ;
mise à jour des serveurs afin de s'assurer qu'ils sont exempts de failles de sécurité connues.
Avant de passer à ce chapitre, vous devez avoir parfaitement assimilé les bases de l'architecture et de la conception de la présente solution, décrites dans le chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ». Vous devez également maîtriser l'installation et l'administration d'un serveur Microsoft Windows® 2000 Server ou Microsoft Windows Server™ 2003. De bonnes connaissances dans les domaines suivants vous seront également fort utiles :
concepts Active Directory, notamment structure et outils de gestion d'Active Directory ; gestion d'utilisateurs, de groupes et autres objets Active Directory ; utilisation d'une stratégie de groupe ;
questions liées à la sécurité du système Windows, notamment concepts de sécurité tels qu'utilisateurs et groupes, audit de listes de contrôle d'accès (ACL) et application de paramètres de sécurité à l'aide d'une stratégie de groupe ;
langage Windows Scripting Host et Microsoft Visual Basic® Scripting Edition (VBScript).
Hypothèses et configuration requise pour l'infrastructure informatique
Ce chapitre, ainsi que les chapitres suivants du présent guide, reposent sur un certain nombre d'hypothèses, énumérées ci-après, concernant votre infrastructure informatique ; certaines de ces recommandations peuvent toutefois être mises en œuvre dans le cadre de cette solution. La plupart d'entre elles ne sont pas des exigences fermes et définitives ; lorsque d'autres configurations sont possibles, elles vous sont indiquées.
Existence d'une forêt Active Directory utilisant des contrôleurs de domaine Windows 2000 Server ou Windows Server 2003, tous les utilisateurs du réseau local sans fil devant obligatoirement être membres d'un domaine appartenant à la même forêt.
Remarque : les contrôleurs de domaine sur lesquels les services IAS et les services de certificats sont installés doivent exécuter Windows Server 2003.
Deux ou plusieurs serveurs exécutant Windows Server 2003, Standard Edition (Windows Server 2003, Enterprise Edition est également pris en charge) et hébergeant les composants de la solution.
Ces serveurs doivent être capables d'exécuter les services IAS et les services de certificats en plus des services et des applications existants. Les services de certificats sont installés sur le premier serveur exclusivement.
Les services IAS seront installés sur les contrôleurs de domaine existants. Cette exigence n'a rien d'obligatoire : vous pouvez aussi installer les services IAS sur un serveur membre d'un domaine.
Les services de certificats seront installés sur un contrôleur de domaine. Vous avez aussi la possibilité de les installer sur un serveur membre d'un domaine.
Vous avez accès aux supports d'installation de Windows Server 2003.
Le domaine dans lequel les services IAS seront installés s'exécute en mode natif Windows 2000 (ne présente aucun caractère obligatoire).
Infrastructure de réseau local sans fil installée ou planifiée, comprenant plusieurs points d'accès sans fil (AP). La conception de l'infrastructure du réseau local sans fil et autres questions connexes, telles que mise en place des points d'accès sans fil et sélection des canaux, n'entrent pas dans le cadre de ce guide.
Il est supposé que 50 points d'accès au maximum existent sur l'ensemble de l'entreprise.
Existence d'une ou de plusieurs filiales, non équipées de contrôleurs de domaine locaux (ni de serveurs IAS), mais avec des clients exigeant des connexions au réseau local sans fil.
Bien que la solution ait été conçue à partir de ce profil spécifique, la structure de base peut facilement être adaptée à plusieurs autres configurations, telles que filiales disposant de contrôleurs de domaine ou installation dans des forêts à plusieurs domaines. L'impact des autres configurations possibles, le cas échéant, est précisé dans le guide.
Préparation en vue de la mise en œuvre de la solution
Autorisations requises
Pour mener à bien les procédures indiquées dans ce chapitre, vous devez utiliser un compte membre du groupe Administrateurs du domaine qui contient les serveurs. Par défaut, le compte Administrateur intégré du domaine est membre du groupe Administrateurs, mais vous pouvez cependant utiliser tout autre compte membre de ce groupe.
Remarque : dans ce guide, il est supposé que vous installez les services de certificats et les services IAS sur un contrôleur de domaine. Si vous les installez sur des serveurs autres que des contrôleurs de domaine, le compte que vous utilisez doit uniquement être membre du groupe Administrateurs local de chacun des serveurs.
Outils nécessaires
Vous devez recourir aux outils suivants pour effectuer les procédures indiquées dans ce chapitre :
Tableau 3.1 : Outils nécessaires
Outil
Description
Source
Scripts de la solution de réseau local sans fil
Ensemble de scripts et d'outils fournis avec cette solution.
Instructions d'installation données dans ce chapitre.
Console de gestion des stratégies de groupe
Outil de gestion avancée pour les objets de stratégie de groupe (GPOs, Group Policy Objects), qui vous permet d'importer et exporter des GPO.
Peut être téléchargée à partir du site Microsoft.com.
Instructions d'installation données dans ce chapitre.
CAPICOM
Bibliothèque système qui permet de créer des scripts pour les certificats et les opérations de sécurité.
Peut être téléchargée à partir du site Microsoft.com.
Instructions d'installation données dans ce chapitre.
DSACLs.exe
Outil de ligne de commande, qui permet de définir des autorisations sur les objets Active Directory.
CD d'installation de Windows Server 2003.
Instructions d'installation données dans ce chapitre.
Utilisateurs et ordinateurs Active Directory
Outil de la console MMC (Microsoft Management Console) qui permet de gérer des utilisateurs, groupes, ordinateurs et autres objets Active Directory.
Installé avec Windows Server 2003.
[](#mainsection)[Haut de page](#mainsection)
### Installation des outils de la solution
Un certain nombre de scripts et d'outils sont fournis avec ce guide afin de simplifier la configuration et l'utilisation de la présente solution. Vous devez installer ces scripts et ces outils sur chaque serveur IAS. Certains de ces scripts sont nécessaires à la poursuite des opérations en cours (comme indiqué dans le chapitre 8, « Gestion de la solution de réseau local sans fil sécurisée ») ; vous ne devez par conséquent pas les supprimer au terme de l'installation. Par défaut, les scripts sont installés dans le dossier C:\\Program Files\\Microsoft\\Microsoft WLAN-PEAP Tools.
**Pour installer les scripts et les outils sur chaque serveur**
1. Copiez le fichier **PEAPWLAN.msi** fourni avec la solution sur le serveur.
2. Dans l'**Explorateur Windows**, double-cliquez sur le fichier **PEAPWLAN.msi**, puis cliquez sur **Suivant** pour lancer l'installation.
3. Pour installer les scripts dans un dossier autre que le dossier C:\\Program Files\\Microsoft\\Microsoft WLAN-PEAP par défaut, indiquez l'emplacement voulu.
Vous devrez préciser si vous souhaitez installer les scripts pour votre compte seulement ou pour tous les utilisateurs. Cliquez sur **Tous les utilisateurs** et sur **Suivant** pour continuer, puis cliquez à nouveau sur **Suivant** pour confirmer.
4. Au terme de l'installation, le programme affiche le fichier **Tools Readme**. Ce fichier contient un avertissement important ainsi qu'une brève description des scripts installés. Lisez-le avant de continuer. Cliquez sur **Suivant** pour poursuivre, puis sur **Terminer** pour terminer l'installation.
Pour faciliter l'accès à ces scripts, vous pouvez créer un raccourci permettant d'ouvrir une invite de commande dans le dossier qui contient les scripts.
**Pour créer un raccourci vers le dossier MSS WLAN Tools**
1. À partir de l'**Explorateur Windows**, sélectionnez le dossier **MSS WLAN Tools**, qui se trouve par défaut dans le dossier C:\\Program Files\\Microsoft\\Microsoft WLAN-PEAP.
2. Double-cliquez sur le fichier **CreateShortcut.cmd** de script de commande. Un raccourci nommé MSS WLAN Tools est alors créé sur votre Bureau.
3. Vous pouvez déplacer ou copier ce raccourci vers votre menu **Démarrer**.
#### Utilisation des scripts
Les scripts sont au format Windows Scripting Host et sont écrits en langage VBScript. Ils fonctionnent tous sur le même principe. Ils doivent être exécutés à partir des deux fichiers de commande (MSSSetup.cmd et MSSTools.cmd) plutôt que directement. Les fichiers de commande simplifient la syntaxe des scripts.
La plupart des scripts prennent un seul paramètre, qui spécifie la fonction à exécuter. Certains scripts prennent des paramètres supplémentaires (explicités dans le guide, le cas échéant). Les scripts sont exécutés à partir du dossier dans lequel ils sont installés ; autrement dit, à partir d'une invite de commande du répertoire de travail en cours correspondant au dossier d'installation des outils.
Les scripts génèrent différents types de résultats :
- des boîtes de dialogue qui affichent des informations ou des avertissements, ou encore des invites à confirmer ou à saisir des informations ;
- des informations de progression détaillées, qui défilent dans une fenêtre au fur et à mesure de l'exécution du script ; en cas d'erreur, les informations correspondantes s'affichent dans la fenêtre ; au terme de l'exécution du script, vous êtes invité à fermer la fenêtre ou à la laisser ou ouverte en vue d'une vérification ultérieure (pour examiner les erreurs de plus près, par exemple) ;
- pour bon nombre de tâches, les informations de progression détaillées sont également consignées dans un fichier journal (%systemroot%\\debug\\ MSSWLAN-Setup.log), qui peut s'avérer fort utile dans le cadre du dépannage et de l'audit de l'installation ; toutes les tâches d'installation et de configuration, ainsi que d'exportation et d'importation des paramètres IAS, sont consignées dans ce journal ; pour des raisons de sécurité, les tâches qui génèrent les secrets RADIUS (mots de passe) applicables aux points d'accès sans fil ne sont pas consignées.
[](#mainsection)[Haut de page](#mainsection)
### Configuration du réseau et de l'infrastructure Active Directory
#### Configuration du réseau
Vous devez connecter les composants au réseau comme indiqué sur la figure ci–après ou conformément aux exigences requises pour votre réseau.
[.gif)](https://technet.microsoft.com/fr-fr/dd491891.peap_301_big(fr-fr,technet.10).gif)
**Figure 3.1 Configurations de réseaux locaux sans fil simples**
Cette figure illustre la configuration la plus simple, dans laquelle les serveurs IAS, les points d'accès et les autres composants du réseau interne sont connectés au même réseau local. Dans les installations plus complexes, le réseau est généralement segmenté en plusieurs réseaux locaux virtuels (VLAN) connectés par le biais de routeurs ou de commutateurs de niveau 3. La configuration exacte varie considérablement en fonction des exigences propres à votre organisation ; cette question n'est pas abordée dans ce guide.
Pour plus d'informations sur la configuration réseau d'une infrastructure locale sans fil, reportez-vous au chapitre « Deploying Wireless LANs » du *Kit de déploiement de Windows Server 2003*.
##### Configuration du réseau IP
La solution est très largement indépendante de la configuration des réseaux locaux virtuels et des sous–réseaux. Comme nous l'avons vu dans le chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil », vous pouvez choisir d'installer vos clients sans fil sur un réseau local virtuel n'appartenant pas au réseau. Cette solution n'a toutefois été testée que dans le cas de figure le plus simple : autrement dit, lorsque, pour un site donné, les clients sans fil sont placés sur le même réseau local que les autres composants du réseau et partagent le même sous–réseau IP.
Si vous choisissez d'installer vos clients sans fil sur un RÉSEAU LOCAL VIRTUEL séparé, vous devez allouer un sous–réseau IP spécifique aux clients sans fil et relier le RÉSEAU LOCAL VIRTUEL sans fil au reste du réseau à l'aide d'un routeur ou d'un commutateur de niveau 3. Dans les environnements plus complexes, la configuration de sous–réseaux distincts pour les clients du réseau local sans fil sur chaque site physique présente un certain nombre d'avantages :
- vous pouvez établir des étendues DHCP (Dynamic Host Configuration Protocol) distinctes pour les clients filaires et les clients sans fil, ce qui vous permet de définir une durée de bail beaucoup plus courte pour les clients du réseau local sans fil ;
- dans le cas d'un environnement routé avec plusieurs sous–réseaux sur le même site, l'allocation d'un sous–réseau unique à tous les clients du réseau local sans fil du site permet à ces clients de se déplacer entre les différents points d'accès tout en conservant la même adresse IP ;
- vous pouvez utiliser le sous–réseau du réseau local sans fil pour définir un site Active Directory et lui associer des paramètres de stratégie de groupe spécifiques ; ce mécanisme ne vous permet cependant pas d'appliquer aux clients du réseau local sans fil les paramètres d'objet de stratégie de groupe décrits dans le chapitre 6, « Configuration des clients d'un réseau local sans fil », parce que ces paramètres doivent être préalablement appliqués aux clients pour que ceux-ci soient en mesure de se connecter au réseau local sans fil.
#### DHCP
Des adresses IP et des informations de réseau IP doivent être attribuées aux clients du réseau local sans fil. Cette solution fait appel au service Windows DHCP pour ce faire ; un service DHCP doit par conséquent être accessible aux clients du réseau local sans fil.
Vous devez allouer une étendue DHCP distincte à chaque sous–réseau sur lequel vous comptez déployer des clients. En présence de deux sites distincts reliés par une connexion WAN routée, par exemple, vous devez créer une étendue DHCP pour chaque sous–réseau. Si vous allouez des sous–réseaux distincts à vos clients de réseau local filaire et à vos clients du réseau local sans fil, vous devez configurer une étendue différente pour chaque sous–réseau du réseau local sans fil. Par ailleurs, s'il existe des connexions routées entre vos points d'accès et vos serveurs DHCP, vous devez configurer des agents relais DHCP sur les routeurs ou installer l'Agent relais Windows DHCP sur un serveur appartenant au même sous–réseau que les points d'accès.
Pour optimiser la disponibilité, il peut être intéressant d'envisager une configuration DHCP résiliente reposant sur des étendues partagées, des clusters DHCP ou des configurations DHCP de secours. Pour plus d'informations à ce sujet, reportez-vous au chapitre « Deploying DHCP » du *Kit de déploiement de Windows Server 2003*.
#### DNS
Les services Active Directory dépendent du bon fonctionnement du service DNS (Domain Name System). Cette solution part du principe que ce service est installé et opérationnel. Nous considérerons donc que vous avez installé le service DNS dans le cadre de l'installation d'Active Directory ou que vous l'avez configuré séparément.
#### Active Directory
Cette solution a été conçue et testée à partir de la configuration Active Directory suivante :
- forêt Active Directory à un seul domaine ;
- contrôleurs de domaine Windows Server 2003 (nouvelles installations, et pas mises à niveau de contrôleurs de domaine Windows 2000) ;
- niveau fonctionnel Windows 2000 en mode natif pour les domaines.
Il est bien souvent possible d'utiliser d'autres configurations d'Active Directory (plusieurs domaines ou plusieurs contrôleurs de domaine Windows 2000, par exemple). Lorsque ces configurations sont prises en charge par Microsoft, des conseils d'utilisation supplémentaires vous sont fournis dans ce guide. Ces configurations alternatives ne font cependant pas partie de la solution principale testée.
##### Conditions requises pour toutes les versions d'Active Directory
Un domaine en mode natif vous permet de créer des groupes de sécurité Active Directory universels. L'utilisation de groupes universels facilite considérablement la gestion des stratégies d'accès à un réseau à plusieurs domaines. Dans le cas de déploiements à un seul domaine, ce paramètre est toutefois purement théorique. Les scripts d'installation vérifient si le domaine s'exécute en mode natif. Si tel est le cas, le script utilisera des groupes universels, mais dans le cas contraire, il fera appel à des groupes globaux uniquement.
Un schéma Windows Server 2003 doit être associé aux services Active Directory. Ce schéma est nécessaire à la prise en charge des paramètres des objets Stratégie de groupe applicables aux réseaux sans fil. Un niveau de fonctionnalité spécifique n'est pas exigé pour la forêt Active Directory. Dans cette solution, on considérera que ce niveau de fonctionnalité correspond à celui de la forêt Windows 2000 par défaut.
Pour plus d'informations sur les concepts de mode de domaine et de forêt, consultez les références citées en fin de chapitre
##### Utilisation de contrôleurs de domaine Windows 2000
Dans cette solution, les services IAS et les services de certificats sont installés sur des systèmes Windows Server 2003. Aucune instruction n'est fournie pour l'utilisation des versions Windows 2000 de ces composants. Si vous utilisez des contrôleurs de domaine Windows 2000 et n'envisagez pas leur migration vers Windows Server 2003, vous devez procéder à la mise à niveau du schéma vers Windows 2003. Pour plus d'informations sur la mise à niveau de votre schéma, consultez les références citées en fin de chapitre.
Si cette solution doit être utilisée dans un domaine ou dans une forêt comprenant des contrôleurs de domaine Windows 2000, vous devez vous assurer que le Service Pack 3 (SP3) ou ultérieur de Windows 2000 a été appliqué à ces contrôleurs de domaine. Le service pack garantit que les contrôleurs de domaine gèrent les signatures LDAP (Lightweight Directory Access Protocol). Ce renforcement de la sécurité est exigé par les autorités de certification de Windows Server 2003 et par les clients Windows XP qui font appel à une inscription automatique des certificats.
##### Vérification de la sécurité des stratégies de compte des domaines
Cette solution fait appel à des mots de passe d'utilisateurs et d'ordinateurs pour l'authentification des utilisateurs et des ordinateurs sur le réseau local sans fil. L'utilisation de mots de passe trop simples ou vierges est par conséquent à proscrire. Si les mots de passe sont trop faciles à deviner, des pirates risquent en effet de pénétrer en toute impunité sur votre réseau local sans fil. Les mêmes mots de passe étant utilisés pour authentifier l'utilisateur ou l'ordinateur sur le domaine, les pirates auront également accès à toutes les ressources de votre réseau.
Le meilleur moyen d'éviter les mots de passe trop simples consiste à définir des stratégies de mots de passe fiables dans l'objet Stratégie de groupe du domaine par défaut. Vous devez également imposer une expiration régulière, une durée de vie minimale et un contrôle de l'historique pour les mots de passe (afin de vous assurer que les utilisateurs ne réutilisent pas le même mot de passe).
**Avertissement :** prévenez les utilisateurs et les administrateurs avant de modifier la stratégie de mots de passe du domaine. Pour éviter tout risque de mécontentement ou de confusion de la part des utilisateurs, mieux vaut les informer suffisamment à l'avance de la nouvelle stratégie de mots de passe que vous prévoyez d'adopter, et leur fournir toutes les instructions nécessaires à la sélection de mots de passe appropriés.
Pour plus de précisions sur les pratiques recommandées en matière de stratégie de mots de passe de domaine, consultez le *Guide sur la sécurité de Windows Server 2003*. Reportez-vous aux références citées en fin de chapitre pour savoir comment accéder à ce guide.
##### Création de groupes de sécurité
Appuyez-vous sur la procédure indiquée plus loin dans cette section pour créer dans Active Directory les groupes de sécurité à utiliser dans cette solution. Les groupes créés sont répertoriés dans le tableau qui suit et, dans certains cas, leurs membres sont également précisés. Par défaut, ces groupes sont créés dans le conteneur Utilisateurs.
**Tableau 3.2 : Groupes de sécurité et membres d'appartenance**
Groupe de sécurité
Rôle
Type de groupe
Membres
Utilisateurs du réseau local sans fil
Spécifie les utilisateurs habilités à s'authentifier sur le réseau local sans fil.
Global
Utilisateurs du domaine
Ordinateurs du réseau local sans fil
Spécifie les ordinateurs susceptibles d'être authentifiés sur le réseau local sans fil.
Global
Ordinateurs du domaine
Accès au réseau local sans fil
Ce groupe s'utilise dans le cadre de la stratégie d'accès RADIUS pour contrôler les accès au réseau local sans fil.
Universel
Utilisateurs du réseau local sans fil
Ordinateurs du réseau local sans fil
Paramètres des ordinateurs du réseau local sans fil
Spécifie les ordinateurs qui reçoivent les paramètres de réseau local sans fil de la stratégie de groupe.
Local de domaine
Ordinateurs du réseau local sans fil
**Pour créer des groupes de sécurité et leur rattacher des membres**
1. Ouvrez une invite de commandes en cliquant sur le raccourci **MSS WLAN Tools**.
2. À l'invite, tapez *MSSSetup CreateWLANGroups,* puis appuyez sur **Entrée**.
**Important :** si vous avez retiré les groupes Utilisateurs du domaine et Ordinateurs du domaine de leur conteneur Utilisateurs par défaut, ils ne sont pas ajoutés aux groupes Utilisateurs du réseau local sans fil et Ordinateurs du réseau local sans fil, respectivement. Vous devez dans ce cas les ajouter manuellement à ces groupes.
**Remarque :** si vous installez cette solution dans un domaine en mode mixte, le groupe Accès au réseau local sans fil est créé en tant que groupe global de domaine et non pas en tant que groupe de type universel. En d'autres termes, vous devez créer l'un de ces groupes dans chaque domaine, si vous voulez installer cette solution dans une forêt à plusieurs domaines (cette tâche est décrite dans le chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil »).
Si vous installez cette solution dans plusieurs domaines, vous devez créer les groupes globaux Utilisateurs du réseau local sans fil et Ordinateurs du réseau local sans fil dans chaque domaine, puis les ajouter au groupe Accès au réseau local sans fil. Vous devez également créer un groupe local de domaine Paramètres des ordinateurs du réseau local sans fil dans chaque domaine contenant des clients de réseau local sans fil et ajouter le groupe universel Ordinateurs du réseau local sans fil en tant que membre.
[](#mainsection)[Haut de page](#mainsection)
### Préparation de vos serveurs
Cette section traite de la configuration propre aux serveurs. Vous devez exécuter la plupart des procédures suivantes pour chaque serveur que vous comptez configurer en tant que serveur IAS. La seule exception concerne la procédure indiquée dans la section « Configuration de la sécurité du serveur », car, bien que les paramètres de sécurité soient appliqués à chaque serveur, cette procédure doit être exécutée une seule fois pour chaque domaine. Les paramètres sont ensuite automatiquement appliqués aux autres serveurs du domaine.
#### Systèmes d'exploitation pris en charge
Cette solution a été conçue et testée avec Windows Server 2003, Standard Edition, pour tous les composants serveur. Cependant, ce guide et les scripts d'installation s'appliquent également à Windows Server 2003, Enterprise Edition.
Lisez la section « Using Windows Server Standard or Enterprise Edition », dans le chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » pour déterminer si l'utilisation de l'Enterprise Edition de Windows Server 2003 s'impose. L'utilisation de la version Standard Edition de Windows Server 2003, limite les fonctionnalités des services de certificats et le nombre de points d'accès sans fil susceptibles d'être pris en charge par le service IAS, ce qui peut être inacceptable pour les grandes entreprises.
Cette solution n'a pas été conçue pour assurer la prise en charge des versions antérieures de Windows Server et n'a été testée avec aucune de ces versions. Il se peut que les versions Windows 2000 des services IAS et des services de certificats fonctionnent avec certains ou l'ensemble des rôles serveur de cette solution, mais les procédures correspondantes ne sont pas abordées dans le présent guide.
#### Configuration matérielle recommandée
Le premier serveur installé exécutera à la fois des services de certificats et des services IAS. Les services de certificats exigent des ressources minimales dans le cadre de cette solution. Vous devez toutefois vous assurer que la charge exercée sur le serveur par les services IAS n'entraîne aucune conséquence négative sur les performances des fonctions de contrôleur de domaine du serveur. C'est rarement le cas, sauf dans les implémentations IAS les plus complexes. Si nécessaire, ajoutez un contrôleur de domaine supplémentaire à ce site Active Directory pour compenser cette charge.
Si vous comptez activer la journalisation RADIUS, allouez un disque physique séparé aux journaux.
**Tableau 3.3 : Configuration matérielle minimale recommandée pour le serveur IAS**
Élément
Configuration requise
Processeur
Processeur unique cadencé à 733 MHz au minimum
Mémoire
256 Mo
Interfaces réseau
Carte réseau unique
Espace de stockage
Contrôleur IDE ou SCSI RAID
2 x 18 Go (SCSI) ou 2 x 20 GB (IDE) configuré en tant que volume RAID 1
Unité de stockage locale amovible (CD-RW ou bande de sauvegarde) en l'absence de dispositif de sauvegarde réseau
Lecteur de disquette 1,44 Mo pour les transferts de données
Lisez la section « IAS Software and Hardware Requirements » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » pour plus de précisions sur la configuration matérielle requise pour optimiser les performances.
Obtention et installation de logiciels de prise en charge
Cette section dresse la liste de tous les autres logiciels indispensables sur vos serveurs. Elle vous indique également comment vous procurer et installer ces logiciels.
Console de gestion des stratégies de groupe
La console de gestion des stratégies de groupe (GPMC, Group Policy Management Console) permet d'installer et de configurer les objets Stratégie de groupe (GPOs, Group Policy Objects) utilisés par la solution. Vous pouvez vous contenter d'installer la console GPMC sur le premier serveur sur lequel vous activez les services IAS ; son installation sur les autres serveurs IAS est facultative.
Remarque : l'installation de la console GPMC modifie légèrement l'interface utilisateur du composant Utilisateurs et Ordinateurs Active Directory sur le serveur hébergeant la console GPMC. Pour plus d'informations sur l'utilisation de la console GPMC et sur son téléchargement, reportez-vous aux références données en fin de chapitre.
Pour installer la console de gestion des stratégies de groupe
Téléchargez le fichier d'installation Gpmc.msi à partir du Centre de téléchargement Microsoft.
Assurez-vous que vous êtes connecté en tant que membre du groupe Administrateurs du domaine (ou du groupe Administrateurs local de l'ordinateur sur lequel vous installez la console GPMC, si vous ne l'installez pas sur un contrôleur de domaine).
Dans l'Explorateur Windows, double-cliquez sur le fichier d'installation Gpmc.msi.
Conformez-vous aux différentes instructions de l'Assistant pour installer la console GPMC ; acceptez tous les paramètres par défaut.
Important : vous devez installer la console GPMC dans le dossier Program Files (quel que soit le lecteur sur lequel il se trouve). Vous devez également utiliser le dossier d'installation par défaut –GPMC– dans le dossier Program Files (si vous modifiez le nom du dossier, mettez à jour le nom du dossier utilisé pour installer la console GPMC dans le fichier Constants.txt). Certains des outils installés par la console GPMC sont utilisés dans les procédures ultérieures et ils risquent d'être introuvables si vous les installez à un autre endroit.
Outils de support de Windows Server 2003
Certains des outils de support de Windows sont utilisés par les procédures et les scripts de configuration de cette solution. Vous devez les installer à partir des supports d'installation de Windows Server 2003. Ces outils sont indispensables aux scripts d'installation et de configuration des autorités de certification et vous devez par conséquent les installer sur le serveur sur lequel vous comptez activer les services de certificats. Ces outils ne sont pas exigés sur les autres serveurs, mais vous pouvez malgré tout les installer.
Pour installer les outils de support de Windows Server 2003
Assurez-vous que vous êtes connecté en tant que membre du groupe Administrateurs du domaine (ou du groupe Administrateurs local de l'ordinateur sur lequel vous installez les outils de support, si vous ne les installez pas sur un contrôleur de domaine).
Insérez leCD d'installation deWindows Server 2003 (ou connectez-vous à la source d'installation si vous effectuez l'installation à partir du réseau ou d'un autre support).
Dans l'Explorateur Windows, sélectionnez le lecteur du support d'installation (lecteur de CD–ROM ou lecteur de disquette), puis le fichier \support\tools\supptools.msi. Double–cliquez sur le fichier pour commencer l'installation.
Conformez-vous aux instructions de l'Assistant pour installer les outils de support, puis acceptez le contrat de licence et le dossier d'installation par défaut.
CAPICOM
CAPICOM est une interface de scripts vers un ensemble de fonctions de sécurité Windows constituant l'interface CryptoAPI (CAPI). L'interface CAPICOM est indispensable aux scripts de surveillance de l'intégrité des services de certificats et à la génération des secrets RADIUS utilisés pour authentifier les points d'accès sans fil. Vous devez installer CAPICOM version 2.0 ou ultérieure sur tous les serveurs IAS de votre organisation.
La version CAPICOM 2.0 la plus récente est disponible sur le Centre de téléchargement Microsoft (reportez-vous à la section « Références » à la fin de ce chapitre, pour plus d'informations).
Le fichier de distribution de CAPICOM ne contient pas de programme d'installation automatique ; vous devez par conséquent faire appel au script de commandes, InstCAPICOM.cmd (fourni avec cette solution). Si vous préférez procéder manuellement, vous pouvez copier les commandes à partir du script.
Pour installer CAPICOM
Téléchargez le fichier de distribution de CAPICOM, CCR2INST.exe, à partir du Centre de téléchargement Microsoft et copiez-le dans un dossier temporaire du serveur.
Assurez-vous que vous êtes connecté en tant que membre du groupe Administrateurs du domaine (ou du groupe Administrateurs local de l'ordinateur sur lequel vous installez la bibliothèque CAPICOM, si vous ne l'installez pas sur un contrôleur de domaine).
Ouvrez une invite de commandes en cliquant sur le raccourci MSS WLAN Tools.
À l'invite de commandes, tapez :
InstCAPICOM [d:]PathtoCCDistFile\CCR2INST.EXE, puis appuyez sur Entrée.
Remarque : remplacez [d:]PathtoCCDistFile par le chemin d'accès complet (lettre d'unité incluse, dans le cas d'un lecteur différent) au dossier dans lequel vous avez copié le fichier de distribution de CAPICOM.
Microsoft Baseline Security Analyzer (MBSA)
Cet outil permet de vérifier que les mises à jour de sécurité du système d'exploitation sont actualisées et de détecter d'éventuels problèmes dans la configuration de la sécurité des serveurs. Vous devez faire appel à la version 1.1.1 ou ultérieure de MBSA pour examiner vos systèmes Windows Server 2003. La toute dernière version de MBSA est disponible dans le Centre de téléchargement Microsoft.
Pour installer MBSA
Téléchargez le fichier d'installation mbsasetup.msi à partir du Centre de téléchargement Microsoft.
Assurez-vous que vous êtes connecté en tant que membre du groupe Administrateurs du domaine (ou du groupe Administrateurs local de l'ordinateur sur lequel vous installez l'outil MBSA, si vous ne l'installez pas sur un contrôleur de domaine).
Dans l'Explorateur Windows, sélectionnez le fichier mbsasetup.msi, puis double-cliquez dessus.
Conformez-vous aux différentes instructions de l'Assistant pour installer l'outil MBSA ; acceptez tous les paramètres par défaut.
Configuration de la sécurité du serveur
Cette section explique comment appliquer des stratégies de sécurité et d'autres mesures de sécurité à Windows Server 2003 avant d'installer les services IAS et les services de certificats.
Cette solution est destinée à être installée sur des serveurs existants (des contrôleurs de domaine, en règle générale). Les paramètres de sécurité utilisés dans cette section n'ont intentionnellement pas été modifiés afin d'éviter tout risque de conflit avec les paramètres de sécurité des applications installées et des services en cours d'exécution sur le serveur.
Recours au Guide sur la sécurité de Windows Server 2003
Windows Server 2003 bénéficie par défaut de paramètres de sécurité renforcés. Pour la plupart des organisations, ces paramètres assurent une bonne protection des systèmes lorsqu'ils sont associés à des procédures de maintenance des mises à jour appropriées (pour plus de précisions sur la maintenance des mises à jour, reportez-vous à la section « Mises à jour de sécurité du serveur », plus loin dans ce chapitre). Il peut toutefois s'avérer utile de prendre également en considération les recommandations données dans le Guide sur la sécurité de Windows Server 2003. Ce guide définit les paramètres de sécurité applicables à différents rôles serveur.
Les serveurs utilisés dans cette solution remplissent différents rôles, définis dans le Guide sur la sécurité : les rôles de « Contrôleur de domaine » et de « Serveur RADIUS » pour la plupart des serveurs, et dans le cas du premier serveur, le rôle d'« Autorité de certification » également. Pour chaque rôle, le guide définit un modèle de sécurité contenant tous les paramètres de sécurité appropriés. Lorsqu'un serveur remplit plusieurs rôles, vous devez par conséquent appliquer une combinaison des modèles de sécurité correspondant à chacun des rôles du serveur. Il se peut que d'autres services d'infrastructure tels que DNS, DHCP et WINS (Windows Internet Naming Service) soient également installés sur vos serveurs, auquel cas vous devez inclure aussi les modèles de sécurité associés à ces rôles. Pour connaître la marche à suivre à cet effet, consultez le Guide sur la sécurité de Windows Server 2003.
Avertissement : les modèles de paramètres de sécurité donnés dans le Guide sur la sécurité de Windows Server 2003 désactivent intentionnellement un certain nombre de services qui ne sont pas indispensables aux rôles serveur définis. Si d'autres applications ou services sont exécutés sur les serveurs, vous devez les tester pour vous assurer que les modèles de sécurité ne désactivent pas des services ou ne modifient pas les paramètres de sécurité associés à ces applications ou services. Des instructions sur la combinaison de rôles et sur la modification de paramètres pour gérer d'autres applications figurent également dans le Guide sur la sécurité de Windows Server 2003.
Application de paramètres de sécurité
Contrairement à la plupart des autres procédures indiquées dans la section « Préparation de vos serveurs » de ce chapitre, cette procédure n'a pas besoin d'être exécutée sur chaque serveur. Les paramètres sont en effet importés dans un objet Stratégie de groupe d'Active Directory, puis globalement appliqués à l'ensemble des serveurs.
Deux types de paramètres de sécurité seulement sont appliqués dans le cadre de cette solution. Le premier sert à configurer le démarrage automatique de tous les services nécessaires (au cas où ces services seraient interrompus ou désactivés par une autre stratégie de sécurité appliquée à l'ordinateur). Le deuxième type permet de modifier la stratégie d'audit, de façon à ce que les échecs d'audit des événements courants (connexions, par exemple) puissent également être consignés dans le journal de sécurité.
Le tableau ci-après dresse la liste des services configurés pour un démarrage automatique.
Tableau 3.4 : Services Windows activés par une stratégie
Service
Paramètre de stratégie
Services de certificats
Automatique
Service d'authentification Internet
Automatique
Fournisseur de clichés instantanés des logiciels Microsoft
Automatique
Stockage amovible
Automatique
Planificateur de tâches
Automatique
Cliché instantané de volume
Automatique
Le tableau ci-après dresse la liste des catégories d'audit pour lesquelles l'audit des échecs est activé en plus de l'audit par défaut des succès.
**Tableau 3.5 : Paramètres de stratégie d'audit**
Stratégie d'audit
Paramètre
Auditer les événements de connexion aux comptes
Succès/Échec (seuls les succès sont audités par défaut)
Auditer les événements de gestion des comptes
Succès/Échec (seuls les succès sont audités par défaut)
Auditer les événements de connexion
Succès/Échec (seuls les succès sont audités par défaut)
Auditer les événements de modification de stratégie
Succès/Échec (seuls les succès sont audités par défaut)
L'activation des paramètres d'audit indiqués dans le tableau augmente les exigences de stockage requises pour le journal de sécurité. Assurez-vous que la taille spécifiée pour les journaux d'événements est adéquate sur vos contrôleurs de domaine. La taille par défaut des journaux d'événements de Windows Server 2003 est très largement suffisante, mais Windows 2000 utilisait des tailles par défaut totalement inadaptées à une utilisation pratique (ces paramètres sont peut–être toujours en vigueur si vous avez procédé à une mise à niveau de Windows 2000). Le chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil » présente plus précisément la procédure de configuration des serveurs IAS en vue d'une consignation dans le journal système Windows de toutes les connexions réussies ou échouées au réseau local sans fil. Assurez-vous que la taille spécifiée pour les journaux de sécurité et les journaux système est adéquate sur tous les contrôleurs de domaine. Windows Server 2003 utilise 16 Mo pour les journaux du système et des applications et 128 Mo pour le journal de sécurité : ces valeurs conviennent parfaitement pour cette solution.
###### Importation du GPO Paramètres de sécurité
La procédure ci-dessous importe les paramètres décrits dans la section précédente dans le domaine, mais ne les applique à aucun serveur.
**Pour installer le GPO de paramètres de sécurité dans votre domaine**
1. Ouvrez une invite de commandes en cliquant sur le raccourci **MSS WLAN Tools**.
2. À l'invite, tapez la commande suivante pour importer le GPO nommé Stratégies de sécurité du serveur IAS dans le domaine :
*MSSSetup ImportSecurityGPO,* puis appuyez sur **Entrée**.
###### Application de paramètres de sécurité à tous les contrôleurs de domaine
Cette procédure permet d'appliquer les paramètres de sécurité à tous les contrôleurs de domaine (que les services IAS aient été installés ou pas). Elle n'a généralement aucune incidence négative sur les fonctions des contrôleurs de domaine ni sur les autres applications ou services exécutés car aucun des paramètres du GPO ne désactive de fonctionnalité. Si vous ne voulez pas appliquer ces paramètres à l'ensemble de vos contrôleurs de domaine, reportez-vous à la procédure indiquée immédiatement à la suite de celle-ci.
Pour appliquer les paramètres à tous les contrôleurs de domaine, vous devez lier le GPO importé à l'unité d'organisation Contrôleurs de domaine. Le GPO est lié manuellement pour éviter tout risque d'écrasement des paramètres de GPO déjà configurés dans votre domaine.
**Pour appliquer les paramètres de sécurité à tous les contrôleurs de domaine**
1. Cliquez sur **Démarrer,Tous les programmes**, **Outils d'administration**, puis sur **Gestion de stratégie de groupe** pour démarrer la console **GPMC**.
2. Placez-vous au niveau de l'unité d'organisation **Contrôleurs de domaine** dans le volet gauche et cliquez dessus pour la sélectionner.
L'unité d'organisation doit s'afficher immédiatement au–dessous de l'objet de domaine.
3. Cliquez sur le nom de l'unité d'organisation avec le bouton droit de la souris, puis cliquez sur **Lier un objet de stratégie de groupe existant...**
4. Dans la liste des GPO, cliquez sur **Stratégies de sécurité du serveur IAS**, puis sur **OK** pour revenir à la fenêtre principale de la console GPMC.
5. Dans le volet droit, assurez-vous que l'onglet **Objets de stratégie de groupe liés** est activé, puis cliquez sur le GPO **Stratégies de sécurité du serveur IAS**.
6. Cliquez sur la double flèche orientée vers le haut et placée à gauche de cette liste pour attribuer le niveau de priorité le plus élevé à ce GPO.
Vous avez ainsi la garantie que les services nécessaires resteront activés indépendamment des autres stratégies de sécurité appliquées aux contrôleurs de domaine.
7. Fermez la console **GPMC**.
Les paramètres de sécurité seront appliqués aux serveurs lors de la prochaine actualisation du GPO (l'intervalle d'actualisation par défaut est de 5 minutes pour les contrôleurs de domaine).
###### Application de paramètres de sécurité aux serveurs IAS uniquement
Si vous ne souhaitez pas que les paramètres de sécurité soient appliqués à tous les contrôleurs de domaine (ou si vous avez choisi de ne pas installer les services IAS sur les contrôleurs de domaine), vous pouvez créer une unité d'organisation distincte pour les serveurs IAS puis appliquer le GPO à cette unité d'organisation. Si vous n'installez pas les services IAS sur les contrôleurs de domaine, créez l'unité d'organisation des serveurs IAS dans une autre zone du domaine.
**Pour appliquer les paramètres de sécurité aux serveurs IAS uniquement**
1. Cliquez sur **Démarrer,Tous lesprogrammes**, **Outils d'administration**, puis sur **Gestion de stratégie de groupe** pour démarrer la console **GPMC**.
2. Placez-vous au niveau de l'unité d'organisation **Contrôleurs de domaine** dans le volet gauche et cliquez dessus pour la sélectionner.
Cette unité d'organisation se situe immédiatement au–dessous de la racine du domaine.
3. Créez une nouvelle UO enfant au–dessous de cette UO en cliquant sur le nom de l'UO **Contrôleurs de domaine** avec le bouton droit de la souris, et en sélectionnant ensuite **Nouvelle unité d'organisation** dans le menu contextuel.
4. Lorsque vous y êtes invité, tapez le nom à attribuer à cette UO (*Serveurs IAS*, par exemple).
5. Cliquez sur cette UO avec le bouton droit de la souris, puis cliquez sur **Lier un objet de stratégie de groupe existant...**
6. Dans la liste des GPO, sélectionnez **Stratégies de sécurité du serveur IAS**, puis cliquez sur **OK** pour revenir à la fenêtre principale de la console GPMC.
7. Fermez la console **GPMC**.
8. Déplacez l'objet ordinateur de chaque association contrôleur de domaine/serveur IAS de l'UO **Contrôleurs de domaine** vers la nouvelle UO enfant.
Les paramètres de sécurité seront appliqués aux serveurs lors de la prochaine actualisation du GPO (l'intervalle d'actualisation par défaut est de 5 minutes pour les contrôleurs de domaine et de 90 minutes pour les autres ordinateurs).
**Remarque :** si vous installez les serveurs IAS dans plusieurs domaines, vous devez répéter l'installation et la liaison des GPO pour chaque domaine de la forêt.
###### Vérification des paramètres de sécurité
**Pour vérifier que les paramètres de sécurité ont bien été appliqués**
1. À l'invite de commandes, tapez :
*gpupdate /force*, puis appuyez sur **Entrée**.
2. Dans le **Journal d'événements d'applications**, vérifiez les événements en provenance de la source **SceCli** (leur affichage peut demander quelques secondes). Un événement portant l'identification ID 1704 doit avoir été consigné. Le texte accompagnant cet événement doit être le suivant :
La Stratégie de sécurité dans les objets Stratégie de groupe a été appliquée de façon satisfaisante.
#### Mises à jour de sécurité du serveur
À la différence des paramètres de sécurité des GPO, les mises à jour de sécurité doivent être vérifiées et appliquées sur chaque serveur. Si vous administrez un nombre de serveurs relativement faible, vous pouvez faire appel à des procédures manuelles. En présence de plusieurs serveurs et en l'absence de système de maintenance des mises à jour automatisé, la vérification et l'application manuelles de mises à jour sur tous les serveurs peuvent s'avérer extrêmement fastidieuses. Mieux vaut dans ce cas automatiser l'application des mises à jour de sécurité à l'aide du service Microsoft SUS (Microsoft Software Update Service) ou Microsoft SMS (Microsoft Systems Management Server) 2003. Pour plus d'informations sur l'utilisation de ces services dans la gestion des mises à jour de sécurité, consultez le *Guide Microsoft sur la gestion des correctifs de sécurité*.
##### Vérification des mises à jour de sécurité installées
Pour vérifier si les mises à jour de sécurité installées sur votre serveur sont récentes, vous disposez de deux principaux outils : Windows Update et MBSA. Des éditeurs autres que Microsoft proposent également des outils qui remplissent des fonctions équivalentes.
###### Windows Update
Windows Update est un service en ligne qui s'adresse avant tout aux petites entreprises et aux télétravailleurs (son utilisation est toutefois ouverte à tous les publics). Windows Update exigeant une connexion permanente à Internet, vous ne devez utiliser ce service qu'après avoir protégé votre serveur avec un pare–feu.
Pour plus d'informations sur Windows Update, reportez-vous aux références citées en fin de chapitre.
###### Microsoft Baseline Security Analyzer
MBSA est un outil d'évaluation de la sécurité, qui vérifie les systèmes afin de détecter d'éventuels problèmes de sécurité et notamment les mises à jour manquantes. Pour plus d'informations sur MBSA, reportez-vous aux références citées en fin de chapitre.
**Pour vérifier les mises à jour de sécurité installées à l'aide de MBSA**
1. Si votre serveur ne bénéficie pas d'une connexion permanente à Internet, vous devez vous procurer la version la plus récente de la base de données de sécurité MBSA chaque fois que vous procédez à la vérification. Vous pouvez télécharger ce fichier XML, **msecure.xml**, en cliquant sur l'URL indiquée en fin de chapitre. Copiez ce fichier dans le dossier d'installation de MBSA (le dossier par défaut est C:\\Program Files\\Microsoft Baseline Security Analyzer).
2. Pour vérifier le niveau de mise à jour du serveur, tapez la commande suivante à l'invite :
*Mbsacli /hf -v*, puis appuyez sur **Entrée**.
3. Notez toutes les mises à jour de sécurité manquantes. Elles s'affichent sous la forme :
\* WINDOWS SERVER 2003, STANDARD EDITION GOLD
Note MS03-030 819696
Reportez-vous à la mise à jour Q306460 pour plus de précisions.
4. Pour chaque mise à jour de sécurité manquante, vous pouvez obtenir le correctif correspondant en affichant dans votre navigateur Web l'article de la Base de connaissances Microsoft associé. Tapez l'URL suivante dans votre navigateur :
*http://support.microsoft.com/default.aspx?kbid=XXXXXX*
**Remarque :** remplacez XXXXXX par le numéro de l'article de la Base de connaissances indiqué dans le message affiché par MBSA (819696 dans l'exemple ci-dessus, par exemple).
5. Installez chaque mise à jour conformément aux instructions données dans l'article de la Base de connaissances.
##### Vérification d'autres problèmes de sécurité à l'aide de MBSA
Outre le niveau des mises à jour de sécurité installées, l'outil MBSA vous permet de déceler d'autres problèmes de sécurité potentiels sur votre serveur. Pour procéder à cette vérification, exécutez la version graphique (à partir du menu **Démarrer**), lancez une analyse du serveur et prenez les mesures qui s'imposent en cas d'avertissements.
Veillez plus particulièrement aux comptes utilisateurs présentant des mots de passe vierges, peu sûrs ou sans date d'expiration. Ne modifiez cependant pas les paramètres de comptes intégrés tels que krbtgt.
À moins que vous n'ayez modifié les paramètres par défaut de zone de sécurité d'Internet Explorer sur vos serveurs, vous pouvez ignorer les avertissements MBSA faisant état de paramètres non standard. Les paramètres par défaut de Windows Server 2003 sont beaucoup plus fiables que les paramètres de zone de sécurité d'Internet Explorer à partir desquels l'outil MBSA effectue la vérification.
La procédure indiquée dans ce chapitre porte uniquement sur l'exécution de MBSA en vue d'une analyse de la machine locale ; la procédure d'analyse de tous les ordinateurs du réseau n'est pas abordée dans ce guide. Pour plus de précisions sur l'utilisation de l'outil MBSA, consultez les références données en fin de chapitre.
##### Gestion et installation des mises à jour sur vos serveurs
Ce guide n'a pas pour objet de passer en revue de façon exhaustive les différentes techniques de gestion de mises à jour régulières et automatisées. Une présentation rapide des trois principales méthodes de gestion continue des mises à jour système par le biais de technologies Microsoft pourra toutefois vous être fort utile.
###### AutoUpdate
Le service de mise à jour automatique AutoUpdate est un service intégré aux serveurs et aux clients Windows qui permet à chaque ordinateur de rechercher et de télécharger des correctifs de sécurité essentiels dès leur mise à disposition par Microsoft. Vous pouvez opter pour une installation automatique des mises à jour. Chaque ordinateur doit dans ce cas bénéficier d'un accès Web (HTTP). Là encore, vous devez vous assurer qu'un pare-feu a bien été installé pour protéger chaque périphérique (reportez–vous à la section « Windows Update » ci–dessus pour plus de précisions).
Pour plus d'informations sur le service AutoUpdate, reportez-vous aux références citées en fin de chapitre.
###### Service Microsoft SUS (Software Update Service)
Le service SUS repose sur le service de mise à jour automatique. Il n'exige cependant pas que chaque ordinateur soit connecté à Internet, en centralisant la fonction de recherche et de téléchargement des mises à jour sur un ou plusieurs ordinateurs centraux. L'administrateur peut ensuite approuver ou rejeter les mises à jour téléchargées sur le serveur SUS. Toutes les mises à jour approuvées sont récupérées par tous les autres ordinateurs de l'organisation. Ces ordinateurs font ensuite appel au service AutoUpdate pour rechercher et télécharger des mises à jour à partir du serveur, et non pas du site Windows Update.
Pour plus d'informations sur le déploiement des services SUS, consultez l'article *Patch Management Using Microsoft Software Update Services*. L'URL permettant d'obtenir ce document est indiquée en fin de chapitre.
###### Gestion des mises à jour à l'aide de Microsoft SMS (Systems Management Server)
En recourant à Microsoft SMS 2003, vous pouvez entièrement automatiser la distribution des services packs, mises à jour de sécurité et mises à jour de logiciels. L'utilisation conjointe de SMS 2000 et du Software Update Services Feature Pack permet d'associer les fonctions du service SUS aux puissantes fonctionnalités du service SMS. SMS 2000 comme SMS 2003 vous permettent de programmer des analyses MBSA des ordinateurs de votre organisation. Pour plus d'informations sur l'utilisation de SMS, consultez les documents suivants :
- *Patch Management Using Microsoft Systems Management Server 2003*
- *Patch Management Using Microsoft Systems Management Server 2.0*
Les URL permettant d'accéder à ces documents sont indiquées en fin de chapitre.
[](#mainsection)[Haut de page](#mainsection)
### Résumé
Ce chapitre vous a fourni des conseils sur la préparation de votre réseau, du service Active Directory, des contrôleurs de domaine et autres éléments de votre environnement en vue de l'installation d'une infrastructure de réseau local sans fil sécurisée. Les scripts utilisés pour configurer cette solution ont été installés parallèlement à un certain nombre d'outils de support. Les groupes de sécurité utilisés par la solution ont été créés dans le domaine, et les paramètres de sécurité ont été importés et appliqués à vos serveurs. Enfin, le niveau des mises à jour de sécurité installées sur les serveurs a été examiné et, le cas échéant, corrigé.
Le chapitre suivant porte sur l'installation des services de certificats sur le premier serveur installé pour créer l'autorité de certification du réseau.
[](#mainsection)[Haut de page](#mainsection)
### Références
Cette section fournit des références vers des informations complémentaires importantes et autres documentations de soutien en rapport avec le contenu de ce chapitre.
- Le chapitre « Deploying Wireless LAN » du Kit de déploiement de Windows Server 2003, est disponible à l'adresse suivante :
[http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/deployguide/DNSBM\_WIR\_OVERVIEW.mspx](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/deployguide/dnsbm_wir_overview.mspx) .gif)
- Pour plus d'informations sur les niveaux fonctionnels des domaines Active Directory et pour savoir comment passer de l'un à l'autre, consultez les sections suivantes des documentations consacrées à Windows Server 2003 et disponibles aux adresses ci–après.
- Cette section décrit les différents niveaux de domaine et de forêt :
[http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/standard/sag\_levels.mspx](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_levels.mspx) .gif)
- Cette section explique comment changer de niveau de domaine et de forêt :
[http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/standard/sag\_changedomlevel.mspx](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/sag_changedomlevel.mspx) .gif)
- Pour plus de précisions sur la mise à niveau d'un schéma Active Directory Windows 2000 vers un niveau Windows Server 2003, consultez la page de documentation ADPrep à l'adresse suivante :
[http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
proddocs/standard/adprep.mspx](http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/standard/adprep.mspx) .gif)
- Pour plus de précisions sur le téléchargement et l'utilisation de la console de gestion des stratégies de groupe, cliquez sur l'URL suivante :
[http://go.microsoft.com/fwlink/?LinkID=8630](http://go.microsoft.com/fwlink/?linkid=8630)
- Pour télécharger la version 2.0.0.3 de CAPICOM, cliquez sur l'URL suivante :
[http://www.microsoft.com/downloads/details.aspx?
displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6](http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=860ee43a-a843-462f-abb5-ff88ea5896f6) .gif)
Cliquez toutefois auparavant sur l'URL suivante et recherchez le mot–clé CAPICOM pour vous assurer de bien télécharger la dernière version :
.gif)