Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe

Chapitre 6 : Configuration des clients d'un réseau local sans fil

Dernière mise à jour le 02 avril 2004

Afficher toutes les rubriques d'aide consacrées à la sécurité 

Sur cette page

Présentation
Conditions requises pour suivre ce chapitre
Préparation de l'implémentation
Autoriser les utilisateurs et les ordinateurs à accéder au réseau local sans fil
Configuration des clients de réseau local sans fil Windows XP
Configuration des clients Pocket PC 2003
Résumé
Références

Présentation

Ce chapitre explique comment configurer et déployer les paramètres réseau des clients de réseau local sans fil et comment connecter les clients au réseau sans fil. Il inclut des procédures permettant de connecter les clients Microsoft® Windows® XP (Édition Professionnel et Tablet PC) et Pocket PC 2003 au réseau local sans fil.

Il fournit également des informations détaillées sur la vérification de l'appartenance aux groupes de sécurité des utilisateurs et des ordinateurs du réseau sans fil, la configuration des paramètres du réseau local sans fil pour les clients Windows XP à l'aide de la stratégie de groupe, ainsi que des procédures de configuration des clients Pocket PC.

Conditions requises pour suivre ce chapitre

Outre les prérequis énumérés au chapitre 3, « Préparation de votre environnement », vous devez être familiarisé avec les sujets suivants :

• Configuration de Windows XP et installation des pilotes.

• Configuration et utilisation de Pocket PC 2003.

Vous devez avoir lu et appliqué les conseils du chapitre 3, « Préparation de votre environnement », du chapitre 4, « Création de l'autorité de certification réseau » et du chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil » Vous devez également prendre connaissance des informations de conception et de planification fournies au chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil » et bien comprendre l'architecture et la conception de la solution.

Préparation de l'implémentation

Pour réaliser les procédures de configuration de Stratégie de groupe décrites dans ce chapitre, vous devez ouvrir une session avec un compte appartenant au groupe Admins du domaine dans le domaine dans lequel vous définissez les paramètres du réseau local sans fil. Par défaut, le compte Administrateur intégré du domaine appartient à ce groupe, mais vous pouvez utiliser n'importe quel compte présentant la même appartenance de groupe.

Pour réaliser les procédures de vérification de l'ordinateur client Windows XP, vous devez être un membre du groupe Administrateurs local de l'ordinateur.

Outils nécessaires

Le tableau suivant répertorie les outils nécessaires pour réaliser les procédures décrites dans ce chapitre.

Tableau 6.1 : Outils nécessaires

Outil	Description	Source
Console de gestion des stratégies de groupes (GPMC)	Outil de gestion avancée pour importer et exporter les objets de stratégie de groupe (GPO).	Instructions d'installation du chapitre 3, « Préparation de votre environnement ».
Utilisateurs et ordinateurs Active Directory	Outil MMC (Microsoft Management Console) servant à gérer les utilisateurs, les groupes, les ordinateurs qui utilisent les services d'annuaire Microsoft Active Directory®, ainsi que les autres objets Active Directory.	Installé avec Windows Server™ 2003.

Paramètres du client de réseau local sans fil

Le tableau suivant répertorie les principaux paramètres utilisés dans ce chapitre.

Tableau 6.2 : Paramètres du client de réseau local sans fil

Élément de configuration	Paramètre
Groupe accordant l'accès au réseau local sans fil	Accès au réseau local sans fil
Groupe accordant aux utilisateurs l'accès au réseau local sans fil	Utilisateurs du réseau local sans fil
Groupe accordant aux ordinateurs l'accès au réseau local sans fil	Ordinateurs du réseau local sans fil
Nom de l'objet de stratégie de groupe du réseau local sans fil	Paramètres du client de réseau local sans fil
Groupe de sécurité de filtrage de l'objet de stratégie de groupe	Paramètres de l'ordinateur du réseau local sans fil
Nom de la stratégie de réseau sans fil	Paramètres du client de réseau local sans fil Windows XP (Protocole PEAP (Protected Extensible Authentication Protocol)- cryptage WEP (Wired Equivalent Privacy))
Nom du réseau local sans fil (SSID)	LucerneWLAN (remplacez cette valeur par l'identifiant SSID (Service Set Identifier) de votre réseau local sans fil)
Type EAP (Extensible Authentication Protocol)	PEAP
Méthode d'authentification PEAP	Mot de passe sécurité (EAP-MSCHAP version 2)
Reconnexion rapide PEAP	Activée

Les valeurs en italiques doivent être remplacées par des paramètres adaptés à votre environnement.

Autoriser les utilisateurs et les ordinateurs à accéder au réseau local sans fil

Vous pouvez contrôler l'accès des utilisateurs et des ordinateurs à un serveur d'accès réseau (tel qu'un point d'accès sans fil (AP)) en définissant l'autorisation d'entrée du compte de domaine de l'utilisateur ou de l'ordinateur. C'est la méthode mise en œuvre par Windows NT® 4.0 pour contrôler l'accès des utilisateurs au service d'accès à distance (RAS). Il serait toutefois extrêmement lourd de recourir à cette méthode pour contrôler l'accès au réseau d'un grand nombre d'utilisateurs. De plus, ce paramètre est de type « tout ou rien », c'est-à-dire qu'il ne permet pas d'autoriser à un utilisateur donné l'accès au réseau privé virtuel (VPN) tout en lui interdisant l'accès au réseau local sans fil.

Grâce au service d'authentification Internet (IAS, Internet Authentication Service) de Windows 2000 et Windows Server 2003, vous avez la possibilité de contrôler l'accès aux services réseau à l'aide de groupes de sécurité Active Directory associés à une stratégie d'accès distant. Cette méthode est plus souple et beaucoup plus simple à gérer car elle permet d'utiliser les appartenances aux groupes pour régir l'accès à un service réseau.

Contrôle de l'accès au réseau local sans fil à l'aide de groupes de sécurité

L'accès au réseau local sans fil est régi par la stratégie d'accès distant (RAP, Remote Access Policy) d'IAS. La stratégie d'accès distant de cette solution a été configurée dans le chapitre 5, « Création de l'infrastructure de sécurité des réseaux locaux sans fil ». Cette stratégie inclut un filtre permettant d'accorder l'accès au réseau local sans fil aux seuls utilisateurs membres du groupe de sécurité Accès au réseau sans fil.

Le groupe Accès au réseau local sans fil n'est pas directement composé de comptes d'utilisateurs et d'ordinateurs. Il a pour membres les deux groupes de sécurité suivants : Utilisateurs du réseau local sans fil et Ordinateurs du réseau local sans fil. La solution définit respectivement les utilisateurs du domaine et les ordinateurs du domaine comme membres de ces groupes ; tous les utilisateurs et ordinateurs du domaine peuvent donc se connecter au réseau local sans fil par défaut. Ce sujet est expliqué en détail dans la section « Modèle d'administration d'un utilisateur et d'un ordinateur du réseau local sans fil » du chapitre 2, « Planification de l'implémentation de la sécurité des réseaux locaux sans fil ».

Utilisation de groupes de sécurité pour un contrôle plus granulaire

Autoriser tous les utilisateurs et tous les ordinateurs à accéder au réseau local sans fil est un modèle d'administration extrêmement simple, mais vous aurez peut-être besoin d'exercer un contrôle plus fin sur l'accès au réseau sans fil. Pour ce faire, vous devez enlever les utilisateurs du domaine du groupe Utilisateurs du réseau local sans fil et enlever les ordinateurs du domaine du groupe Ordinateurs du réseau local sans fil. Vous pourrez ensuite ajouter en tant que membres de ces groupes les utilisateurs et les ordinateurs auxquels vous souhaitez accorder l'accès au réseau sans fil.

Évitez d'ajouter directement les utilisateurs et les ordinateurs au groupe Accès au réseau local sans fil, car il s'agit d'un groupe universel dont l'appartenance est publiée dans le catalogue global valable pour l'ensemble de la forêt. La publication dans le catalogue global implique que toute modification ultérieure de l'appartenance sera répliquée sur tous les contrôleurs de domaine de l'organisation. Si vous ajoutez les utilisateurs et les ordinateurs aux groupes spécifiques au domaine (Utilisateurs du réseau local sans fil et Ordinateurs du réseau local sans fil), les modifications ne seront répliquées que sur les contrôleurs de domaine du domaine concerné.

Remarque : les clients Pocket PC ne possèdent pas de compte d'ordinateur Active Directory ; il est donc inutile de les ajouter au groupe Ordinateurs du réseau local sans fil. Ces clients utilisent uniquement le compte utilisateur pour s'authentifier sur le réseau local sans fil ; par conséquent, seul le compte de l'utilisateur du client Pocket PC importe.

Les utilisateurs ne reçoivent les informations de changement d'appartenance aux groupes qu'au moment de l'ouverture de session. Les utilisateurs devront donc se déconnecter et se reconnecter une fois que vous aurez créé les groupes d'accès au réseau local sans fil. De même, les ordinateurs client doivent être redémarrés après tout changement apporté à leur appartenance aux groupes.

Configuration des clients de réseau local sans fil Windows XP

Vous apprendrez, dans cette section, à configurer les paramètres des clients de réseau local sans fil pour Windows XP. Les procédures décrites ici vous permettront de configurer l'authentification de mot de passe PEAP en utilisant le cryptage WEP (Wired Equivalent Privacy) dynamique pour protéger les données. Ces paramètres peuvent s'appliquer à l'Édition Professionnel comme à l'Édition Tablet PC de Windows XP.

Pour obtenir des instructions sur la configuration de la protection des données et la gestion des clés WPA (Wi-Fi Protected Access), consultez l'annexe B, « Utilisation de WPA dans la solution ».

Installation de toutes les mises à jour et de tous les correctifs requis

Vous devez vous assurer que toutes les mises à jour et tous les correctifs requis ont été appliqués aux ordinateurs clients, notamment :

• correctifs de sécurité stratégiques ;

• service packs de Windows XP (Service Pack 1 ou ultérieur) ;

• client WPA Windows XP (si nécessaire) ;

• correctifs Windows relatifs aux réseaux locaux sans fil (par exemple, le correctif de mise à jour sans fil pour Windows XP ; reportez-vous à l'article 826942 de la Base de connaissances. Ce package est hautement recommandé à moins que Windows XP SP2 soit installé) ;

• pilotes de réseau local sans fil mis à jour, fournis par le fabricant de la carte réseau ou de l'ordinateur.

Création de l'objet Stratégie de groupe des paramètres du réseau local sans fil

Pour automatiser la configuration des paramètres du client de réseau local sans fil, vous pouvez utiliser la stratégie de groupe Active Directory. L'Éditeur de stratégies de groupe de Windows Server 2003 fournit un ensemble de paramètres appelé Stratégie de réseau sans fil, qui vous permet de définir des paramètres client spécifiques à votre réseau local sans fil.

Important : les ordinateurs client sont supposés avoir rejoint le domaine et être en mesure de se connecter à un réseau local filaire afin de pouvoir recevoir les paramètres du client de réseau local sans fil.

Vous pouvez créer des objets à l'aide de la console de gestion des stratégies de groupe ou en utilisant Utilisateurs et ordinateurs Active Directory.

Important : les paramètres de l'objet de stratégie de groupe Stratégie de réseau sans fil n'apparaîtront pas dans l'Éditeur d'objets de stratégie de groupe si vous modifiez l'objet de stratégie de groupe à partir d'un ordinateur Windows 2000 ou Windows XP. Vous devez modifier ces paramètres à partir d'un ordinateur Windows Server 2003 ou d'un système doté des outils d'administration de Windows Server 2003. Ces paramètres fonctionnent toutefois aussi bien avec les contrôleurs de domaine Windows 2000 que les contrôleurs de domaine Windows Server 2003. Ils ne figurent dans l'objet de stratégie locale d'aucune version de Windows.

Pour créer un objet de stratégie de groupe de client de réseau local sans fil à l'aide de la console de gestion des stratégies de groupe

1. Ouvrez la console de gestion des stratégies de groupe et sélectionnez l'objet du domaine que vous êtes en train de configurer.

2. Cliquez avec le bouton droit de la souris sur le domaine, puis sélectionnez Create and Link a GPO Here.

   Remarque : l'objet de stratégie de groupe est lié au niveau du domaine ; les paramètres seront donc disponibles pour tous les ordinateurs du domaine. Si vous le souhaitez, vous pouvez restreindre la portée de l'objet de stratégie de groupe en le liant à une unité d'organisation de niveau inférieur.

3. Lorsque vous êtes invité à entrer un nom, tapez Paramètres du client de réseau local sans fil.

4. Dans le volet de droite, double-cliquez sur l'objet de stratégie de groupe Paramètres du client de réseau local sans fil que vous venez de créer. Le volet de droite affiche maintenant les propriétés de l'objet de stratégie de groupe.

5. Cliquez sur l'onglet Scope. Dans la liste Security Filtering, sélectionnez Authenticated Users et supprimez-le en cliquant sur le bouton Remove.

6. Cliquez sur Add... pour ajouter un autre groupe.

7. Entrez (ou recherchez) Paramètres des ordinateurs du réseau local sans fil.

   Remarque : le groupe Paramètres de l'ordinateur du réseau sans fil a en fait pour membre le groupe Ordinateurs du domaine ; le groupe Ordinateurs du domaine appartient à Ordinateurs du réseau local sans fil qui appartient lui-même au groupe Paramètres de l'ordinateur du réseau local sans fil. L'objet de stratégie de groupe au niveau du domaine (reportez-vous à l'étape 1) permet à tous les ordinateurs du domaine de recevoir les paramètres du client de réseau local sans fil. Si vous souhaitez restreindre ces paramètres à un plus petit ensemble d'ordinateurs, enlevez le groupe Ordinateurs du domaine du groupe Ordinateurs du réseau local sans fil.

8. Cliquez sur l'onglet Détails et sélectionnez User configuration settings disabled dans la liste déroulante GPO Status. Cliquez sur OK pour confirmer.

9. Cliquez avec le bouton droit de la souris sur l'objet de stratégie de groupe dans le volet de droite et sélectionnez Edit... pour modifier les paramètres de l'objet de stratégie de groupe.

10. Lorsque l'Éditeur d'objets de stratégie de groupe s'ouvre, allez dans \Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de réseau sans fil (IEEE 802.11).

11. Sélectionnez l'objet Stratégies de réseau sans fil (IEEE 802.11) dans le panneau de navigation, puis sélectionnez Créer une stratégie de réseau sans fil dans le menu Action.

12. Utilisez l'Assistant pour nommer la stratégie Paramètres Windows XP du client de réseau local sans fil (PEAP-WEP). Laissez la case à cocher Modifier les propriétés activée et cliquez sur Terminer pour fermer l'Assistant.

13. Cliquez sur l'onglet Réseaux favoris et cliquez sur Ajouter... pour ajouter un nouveau réseau favori.

14. Dans le champ Nom réseau (SSID), entrez le nom de votre réseau sans fil.

15. Dans le champ Description, entrez une description du réseau.

    Remarque : si vous disposez déjà d'un réseau local sans fil et souhaitez l'exécuter conjointement avec le réseau local sans fil 802.1X de cette solution, vous devez utiliser un autre SSID pour ce dernier.

16. Cliquez sur l'onglet IEEE 802.1x et sélectionnez PEAP (Protected EAP) dans la liste déroulante Type EAP.

17. Cliquez sur le bouton Paramètres... pour modifier les paramètres PEAP. Dans la liste Autorités de certification racines de confiance, sélectionnez le certificat CA racine de l'autorité de certification que vous avez installée en suivant le chapitre 4, « Création de l'autorité de certification réseau ».

    Important : si vous devez réinstaller entièrement votre autorité de certification (et pas seulement la restaurer), modifiez l'objet de stratégie de groupe et sélectionnez le certificat CA racine de la nouvelle autorité de certification.

18. Sélectionnez Mot de passe sécurité (EAP-MSCHAP version 2) dans le champ Sélectionner la méthode d'authentification et sélectionnez l'option Activer la reconnexion rapide.

19. Fermez chaque fenêtre de propriétés en cliquant sur OK.

20. Fermez l'Éditeur d'objets de stratégie de groupe et la console de gestion des stratégies de groupe.

Pour créer un objet Stratégie de groupe à l'aide de Utilisateurs et ordinateurs Active Directory (si vous n'avez pas installé la console de gestion des stratégies de groupe), remplacez les étapes 1 à 10 de la procédure ci-dessus par les étapes suivantes.

Pour créer un objet de stratégie de groupe à l'aide des utilisateurs et ordinateurs Active Directory

1. Ouvrez Utilisateurs et ordinateurs Active Directory et sélectionnez l'objet de domaine.

2. Cliquez avec le bouton droit de la souris sur l'objet de domaine et sélectionnez Propriétés.

3. Cliquez sur l'onglet Stratégie de groupe et cliquez sur le bouton Nouvelle....

4. Appelez l'objet de stratégie de groupe Paramètres du client du réseau local sans fil.

5. Cliquez sur le bouton Propriétés, puis sur l'onglet Sécurité.

6. Sélectionnez Utilisateurs authentifiés dans la liste Noms d'utilisateur ou de groupe et cliquez sur le bouton Supprimer.

7. Cliquez sur Ajouter... et entrez (ou recherchez) Paramètres de l'ordinateur du réseau local sans fil. Cliquez sur OK.

8. Sélectionnez le nom de groupe Paramètres de l'ordinateur du réseau local sans fil dans la liste Noms d'utilisateur ou de groupe, puis cliquez sur les autorisations Lire et Appliquer la stratégie de groupe dans la colonne Autoriser de la liste Autorisations.

9. Cliquez sur l'onglet Général et cliquez sur Désactiver les paramètres de configuration de l'utilisateur. Répondez par Oui à tous les messages d'avertissement.

10. Cliquez sur OK pour appliquer les modifications et fermer la fenêtre des propriétés de l'objet de stratégie de groupe.

11. Cliquez sur le bouton Modifier pour modifier la stratégie et naviguez jusqu'à \Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies de réseau sans fil (IEEE 802.11).

12. Répétez les étapes 11 à 20 de la procédure précédente.

Déploiement des paramètres du réseau local sans fil

Si vous effectuez une migration à partir d'un réseau local sans fil existant (non sécurisé, WEP statique ou autre), vous devez déployer les paramètres de la stratégie de groupe de réseau local sans fil du nouveau réseau 802.1X plusieurs jours, voire plusieurs semaines, avant de configurer les paramètres 802.1X des points d'accès sans fil et d'activer le nouveau réseau local sans fil. Les ordinateurs client auront ainsi largement le temps de télécharger et d'appliquer la stratégie de groupe Paramètres du client de réseau local sans fil, même s'ils ne se connectent qu'occasionnellement au réseau local filaire.

Vous pouvez également appliquer les paramètres de stratégie de groupe à vos ordinateurs client avant qu'une carte réseau local sans fil ne soit installée et configurée par Windows. Les paramètres du réseau local sans fil seront ignorés jusqu'à l'installation d'une carte réseau sans fil valide. Une fois la carte réseau installée, les paramètres de la stratégie de groupe de réseau local sans fil lui sont automatiquement appliqués.

Vérification de l'application d'une stratégie de groupe de réseau local sans fil

Pour vérifier que les paramètres de l'objet de stratégie de groupe de réseau local sans fil ont été correctement appliqués, vous devez ouvrir une session sur un ordinateur client. Le groupe Ordinateurs du domaine appartient au groupe de sécurité Paramètres de l'ordinateur du réseau local sans fil, lequel sert à filtrer les ordinateurs devant recevoir les paramètres du réseau sans fil dans l'objet de stratégie de groupe des paramètres du client de réseau local sans fil. Tous les ordinateurs du domaine doivent donc avoir reçu les paramètres de l'objet de stratégie de groupe. Vous devrez peut-être redémarrer l'ordinateur s'il n'a pas déjà été redémarré depuis la création du groupe Paramètres de l'ordinateur du réseau local sans fil.

Remarque : l'ordinateur doit être équipé d'une carte réseau sans fil pour que vous puissiez voir les paramètres du réseau local sans fil.

Pour vérifier que les paramètres du réseau local sans fil ont été correctement déployés

1. Connectez-vous à un ordinateur client en tant que membre du groupe Administrateurs locaux.

2. Double-cliquez sur le dossier Connexions réseau du Panneau de configuration.

3. Affichez les propriétés de l'icône Connexion réseau sans fil qui correspond à votre carte sans fil. Dans l'onglet Réseaux sans fil, vous devriez voir le SSID (le nom) de votre nouveau réseau sans fil sous Réseaux favoris.

4. Sélectionnez le nouvel SSID sans fil et cliquez sur Propriétés pour explorer les paramètres et vérifier qu'ils correspondent à ceux qui ont été choisis dans la stratégie de groupe de réseau local sans fil.

5. Si le SSID n'apparaît pas dans Réseaux favoris, ou si les paramètres du réseau ne correspondent pas à ceux qui ont été configurés dans la stratégie de groupe de réseau local sans fil, fermez toutes les boîtes de dialogue de réseaux sans fil et exécutez la commande suivante à partir d'une invite de commande.

   Gpupdate /force

   Vérifiez à nouveau les paramètres après une minute ou deux. Si les paramètres n'apparaissent toujours pas, consultez la section « Dépannage » du chapitre 8, « Gestion de la solution de réseau local sans fil sécurisée ».

Vérification du certificat CA racine sur le client

Pour s'authentifier auprès du serveur IAS utilisant le protocole PEAP, les clients doivent posséder le certificat de l'autorité de certification réseau (installée en suivant les instructions du chapitre 4, « Création de l'autorité de certification réseau ») dans leur magasin d'autorités de certification racines de confiance. Ce certificat a été publié dans Active Directory au cours de l'installation de l'autorité de certification. Tous les membres de la forêt Active Directory le téléchargeront et l'installeront automatiquement dans leur magasin d'autorités de certification racines de confiance.

Pour vérifier que le certificat CA racine a bien été installé

1. Connectez-vous à l'ordinateur client en tant qu'administrateur.

2. Lancez MMC.exe (à partir de l'option de menu Démarrer, Exécuter... ou d'une invite de commande).

3. Dans le menu Fichier de la console MMC, sélectionnez Ajouter/Supprimer un composant logiciel enfichable...

4. Dans la boîte de dialogue Ajouter/Supprimer un composant logiciel enfichable, cliquez sur le bouton Ajouter.... Sélectionnez l'élément Certificats dans la liste des composants logiciels enfichables disponibles.

5. Sélectionnez Computer Account, puis cliquez sur Suivant.

6. Cliquez sur Terminer.

7. Fermez les boîtes de dialogue Ajout d'un composant logiciel enfichable autonome et Ajouter/Supprimer un composant logiciel enfichable.

8. Dans le volet de gauche, naviguez jusqu'à Certificats (Ordinateur local)\Autorités de certification racines de confiance\Certificats.

9. Localisez le certificat de votre autorité de certification (il porte le nom que vous lui avez donné au cours de l'installation de l'autorité de certification).

10. Si le certificat n'apparaît pas dans la liste, ouvrez une invite de commande et entrez la commande suivante :

    Gpupdate /force

11. Revenez à la console de gestion Certificats. Cliquez avec le bouton droit de la souris sur le nœud Certificats (Ordinateur local), sélectionnez Actualiser, puis recherchez à nouveau le certificat CA.

    S'il n'apparaît toujours pas, consultez la section « Dépannage » du chapitre 8, « Gestion de la solution de réseau local sans fil sécurisée ».

Vérification de la connexion au réseau local sans fil

Après avoir vérifié les paramètres d'objet de stratégie de groupe du réseau local sans fil et le certificat CA racine, vous pouvez tester la connexion au réseau sans fil à partir d'un ordinateur client.

Pour tester la connexion au réseau local sans fil

1. Connectez-vous, avec un compte d'utilisateur du domaine ayant l'autorisation d'accéder au réseau local sans fil, à un ordinateur client doté d'une carte réseau local sans fil et non connecté au réseau filaire. Par défaut, tous les utilisateurs du domaine ont accès au réseau local sans fil.

   Remarque : si le réseau local sans fil n'est pas encore opérationnel et que les informations d'identification de l'utilisateur ne sont pas présentes dans le cache de l'ordinateur, la connexion échouera.

2. À partir d'une invite de commande, utilisez la commande ping pour vérifier la connectivité réseau vers un autre ordinateur du réseau.

   Si la commande ping (ou logon) échoue, consultez la sous-section « Surveillance de la connexion du client au réseau local sans fil » de la section « Dépannage » du chapitre 8, « Gestion de la solution de réseau sans fil sécurisée ».

Pour plus d'informations sur les procédures de test des clients du réseau local sans fil, consultez le chapitre 7, « Test de la solution de réseau local sans fil sécurisée ».

Configuration des clients Pocket PC 2003

Pocket PC 2003 prend totalement en charge les réseaux locaux sans fil 802.1X qui utilisent soit PEAP (avec mots de passe), soit EAP-TLS (Extensible Authentication Protocol-Transport Layer Security) (avec certificats). Cependant, Pocket PC 2003 est un système d'exploitation modulaire, ce qui signifie que le constructeur de l'appareil portatif peut choisir d'inclure ou non cette fonctionnalité. Vous ne devez donc pas en conclure que tous les appareils Pocket PC 2003 sont compatibles avec les réseaux locaux sans fil. Les principaux constructeurs de ces appareils fournissent des systèmes compatibles avec les réseaux locaux sans fil 802.1X sous forme de matériel sans fil intégré ou de carte réseau sans fil optionnelle. Cette section décrit la configuration de l'interface réseau local sans fil générique de Pocket PC, en se référant à l'appareil HP IPAQ 5550 Pocket PC. Certains constructeurs, néanmoins, implémentent leurs propres pilotes et interfaces de réseau local sans fil. Dans ce cas, les instructions qui suivent peuvent ne pas être adaptées ; reportez-vous plutôt aux instructions fournies par le constructeur de l'appareil.

Certains constructeurs d'appareils Pocket PC proposent également la prise en charge des réseaux locaux sans fil 802.1X sur Pocket PC 2002. Pocket PC 2002 n'a pas été testé avec cette solution. Consultez le site Web du constructeur pour obtenir plus d'informations sur la prise en charge des réseaux locaux sans fil par leurs appareils Pocket PC 2002.

Préparation de l'appareil Pocket PC

Avant de configurer l'appareil, installez toutes les mises à jour appropriées, qui vous sont fournies par le constructeur, notamment :

• mises à jour de la ROM (Read-only memory) (pouvant consister en diverses mises à jour, parmi lesquelles des pilotes) ;

• mises à jour du pilote réseau ;

• autres mises à jour réseau ou réseau local sans fil, adaptées aux réseaux 802.1X.

  Important : avant d'installer les mises à jour, lisez attentivement la documentation qui accompagne chacune d'elle. Certaines mises à jour peuvent ne pas être compatibles avec d'autres ou ne pas correspondre au but que vous recherchez. HP, par exemple, a publié une mise à jour destinée à implémenter la prise en charge de Cisco LEAP dans le IPAQ 555x series. Or, cette mise à jour n'est pas compatible avec la mise à jour du pilote réseau local sans fil 802.1X et empêche PEAP de fonctionner.

Mise à disposition du certificat de l'autorité de certification

Vous devez installer le certificat CA de votre autorité de certification réseau dans le magasin d'autorités de certification racines de confiance de tous les appareils Pocket PC qui se connecteront au réseau local sans fil. Pour ce faire, exportez le certificat à partir de l'autorité de certification et mettez-le à la disposition des utilisateurs Pocket PC ou au personnel du service informatique.

Pour exporter le certificat de l'autorité de certification

1. Connectez-vous au serveur de l'autorité de certification et lancez une invite de commande.

2. Exécutez la commande suivante pour exporter le certificat de l'autorité de certification vers un fichier :

   certutil -ca.cert rootca.cer

   Vous pouvez indiquer le chemin du fichier Rootca.cer si vous voulez l'enregistrer dans un autre dossier (placez le chemin et le nom de fichier entre guillemets s'ils contiennent des espaces).

3. Copiez le fichier du certificat sur un partage de fichiers ou un répertoire de serveur Web pour que les utilisateurs puissent facilement le télécharger au moment de l'installation de Pocket PC.

Configuration de Pocket PC

Pour que les Pocket PC puissent se connecter au réseau local sans fil, vous devez installer le certificat de l'autorité de certification et appliquer les paramètres du réseau local sans fil sur chacun d'eux. Vous avez besoin d'un moyen de copier le fichier du certificat sur le Pocket PC. Cette procédure suppose que vous utilisez une connexion ActiveSync® établie par le biais d'une station d'accueil, d'une liaison infrarouge ou Bluetooth. Vous pouvez également utiliser un support amovible (tel qu'une carte Compact Flash, Secure Digital ou multimédia) pour transférer le fichier du certificat, ou utiliser une connexion de réseau local sans fil non authentifiée pour permettre au Pocket PC de télécharger le certificat sur un site Web. Enfin, vous pouvez envoyer le certificat aux utilisateurs par le biais d'un message électronique, les autoriser à effectuer une synchronisation (transférer le message électronique à Pocket Outlook®), puis leur demander d'exécuter le fichier du certificat joint au message.

Pour importer le certificat de l'autorité de certification dans le Pocket PC

1. Connectez le Pocket PC à un ordinateur hôte en utilisant ActiveSync (vous devrez peut-être établir un partenariat ActiveSync pour ce faire) et votre méthode de connexion habituelle.

2. Depuis l'ordinateur hôte, utilisez l'option Explorer d'ActiveSync pour ouvrir une fenêtre de dossiers sur l'appareil, pointant sur le dossier Mes documents ouvert.

3. Allez à l'emplacement de publication du fichier du certificat de l'autorité de certification et copiez le fichier dans le dossier Mes documents. Vous pouvez ignorer les avertissements relatifs à la conversion de ficher. Vous pouvez maintenant déconnecter l'appareil de sa liaison ActiveSync.

4. Sur le Pocket PC, localisez le fichier du certificat de l'autorité de certification à l'aide de l'Explorateur de fichiers et appuyez deux fois dessus.

5. Un message s'affiche pour vous demander si vous souhaitez installer le certificat. Vérifiez que le nom de l'autorité de certification correspond à celui de votre autorité de certification réseau et appuyez sur Oui pour l'installer.

   Vous pouvez vérifier que l'installation du certificat a réussi en sélectionnant Paramètres, Système, Certificats et en cliquant sur l'onglet Racine.

Pour configurer les paramètres du réseau local sans fil 802.1X sur le Pocket PC

1. Si la carte réseau local sans fil n'est pas encore activée sur l'appareil, activez-la à l'aide d'un commutateur matériel ou d'un outil logiciel.

2. Si un message contextuel s'affiche pour vous indiquer qu'un nouveau réseau a été trouvé, sélectionnez l'emplacement de connexion Bureau. Appuyez ensuite sur Paramètres.

   Si le message contextuel ne s'affiche pas (parce que le réseau local sans fil avait déjà été détecté), procédez comme suit :

   • Appuyez sur l'icône Connectivité (deux flèches pointant dans des directions opposées) dans la barre de titre du Pocket PC et appuyez sur Paramètres.

   • Appuyez sur l'onglet Avancés et appuyez sur le bouton Carte réseau.

     Dans l'onglet Sans fil, le SSID du réseau sans fil doit figurer dans la liste des réseaux locaux sans fil disponibles (s'il y a d'autres réseaux locaux sans fil à portée de l'appareil, leurs noms peuvent également apparaître ici).

   • Appuyez sur le nom du réseau local sans fil dans la liste.

3. Dans l'onglet Général, sélectionnez Bureau dans la liste Se connecte à : .

4. Dans l'onglet Authentification, sélectionnez les options suivantes :

   • Cryptage des données (WEP activé)

   • La clé m'est fournie automatiquement

   • Activer l'accès réseau à l'aide d'IEEE 802.1X

   Désactivez l'option Authentification réseau (mode partagé).

5. Dans la liste Type EAP (Extensible Authentication Protocol) :, sélectionnez PEAP.

6. Appuyez sur OK pour fermer l'écran des paramètres de réseau local sans fil.

7. Lorsque vous êtes invité à entrer les informations d'identification de domaine, entrez le nom, le mot de passe et le domaine d'un utilisateur autorisé à se connecter au réseau local sans fil.

   Avertissement : ne sélectionnez l'option Enregistrer le mot de passe qu'à la condition où un mécanisme de sécurité fiable, comme la protection par analyse des empreintes digitales ou par mot de passe sûr, est implémenté pour empêcher toute utilisation non autorisée de l'appareil. N'oubliez pas que les informations d'identification utilisateur servent à l'authentification en vue d'accéder au réseau local sans fil mais aussi aux ressources du domaine. Si ces informations sont détournées, l'intrus pourra accéder aux ressources internes du réseau local sans fil sans être détecté.

8. Si vous ouvrez les paramètres du réseau local sans fil par l'intermédiaire de la fenêtre contextuelle Nouveau réseau à l'étape 2, appuyez sur l'icône Connectivité sur la barre de titre du Pocket PC et appuyez sur Paramètres pour afficher l'écran Paramètres de connexion.

9. Appuyez sur l'onglet Avancés et appuyez sur le bouton Carte réseau. (Vous vous trouverez déjà sur cet écran si vous n'êtes pas passé par la fenêtre contextuelle Nouveau réseau à l'étape 2.)

10. Le nom du réseau local sans fil que vous venez de configurer doit apparaître dans la liste Réseaux sans fil. La connexion doit avoir l'état Connecté ; si ce n'est pas le cas, maintenez le stylet appuyé sur le nom de la connexion et appuyez sur Connecter. (Les informations d'identification de l'utilisateur peuvent vous être demandées à nouveau.)

11. Si le réseau local sans fil n'apparaît toujours pas comme étant Connecté, appuyez sur OK pour fermer les écrans Configuration réseaux sans fil et Paramètres de connexion.

    Remarque : si vous envisagez de transmettre ces instructions aux utilisateurs de Pocket PC pour qu'ils configurent leur propre appareil, vous pouvez leur indiquer d'entrer leurs propres informations d'identification de domaine lorsqu'ils y sont invités. Cependant, si les techniciens du service informatique préconfigurent les Pocket PC pour les utilisateurs, vous devez leur fournir des comptes de domaine valides (avec accès au réseau local sans fil) ; il est particulièrement important qu'ils n'activent pas l'option Enregistrer le mot de passe lorsqu'ils utilisent ces comptes. Vous devez demander ensuite aux utilisateurs d'entrer leurs propres informations d'identification lors de leur première connexion à partir du Pocket PC.

Vérification de la connexion du Pocket PC au réseau local sans fil

Vous pouvez vérifier que le Pocket PC s'est correctement connecté au réseau local sans fil de plusieurs façons. Le plus simple consiste à se connecter à une application du réseau, comme un site Web (vous devrez peut-être configurer un serveur proxy sur l'appareil si le serveur Web ne se trouve pas sur le réseau local).

Si la connexion échoue, consultez la section « Dépannage » du chapitre 8, « Gestion de la solution de réseau local sans fil sécurisée ».

Résumé

Ce chapitre a traité de la configuration des paramètres de réseau sans fil des clients Windows XP et Pocket PC. Il vous a fourni des conseils sur l'utilisation de groupes de sécurité pour contrôler l'accès au réseau local sans fil, la configuration de la stratégie de groupe pour déployer les paramètres du réseau local sans fil sur les clients Windows XP et les étapes de configuration des clients Pocket PC 2003.

Références

Cette section fournit les références d'importants compléments d'informations et d'autres informations générales pertinentes pour ce chapitre.

• Pour plus d'informations sur la gestion de l'accès au réseau local sans fil par utilisateur et par groupe de sécurité, reportez-vous à la section « Introduction to remote access policies » de la documentation de Windows Server 2003 disponible à l'adresse :

  https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
  proddocs/standard/sag_rap_intro.mspx 

• Pour plus d'informations sur le correctif de mise à jour sans fil pour Windows XP, consultez la page suivante :

  https://support.microsoft.com/default.aspx?scid=826942

• Pour plus d'informations sur la configuration des paramètres du réseau local sans fil, reportez-vous à la section « Define Active Directory-based wireless network policies » de la documentation de Windows Server 2003 disponible à l'adresse :

  https://www.microsoft.com/technet/prodtechnol/windowsserver2003/
  proddocs/standard/wireless_definepolicy_inGP_topnode.mspx 

• Pour obtenir plus d'informations sur la compatibilité avec les réseaux locaux sans fil de votre Pocket PC, consultez le constructeur de l'appareil. Pour obtenir des informations plus techniques, consultez l'article « Windows CE .NET Wireless Technology Overview » sur MSDN à l'adresse suivante :

  https://msdn.microsoft.com/library/en-us/wcemain4/
  html/cmconwindowscenetwirelesstechnologyoverview.asp 

Télécharger la solution complète

Sécurisation des réseaux locaux sans fil avec PEAP et des mots de passe