Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil
Dernière mise à jour le 08 juin 2004
Sur cette page
Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation
Feuille de préparation de l'infrastructure RADIUS
Mise en place de vos serveurs
Installation et configuration d'IAS
Configuration du serveur IAS principal
Configuration du serveur IAS secondaire
Résumé
Informations complémentaires
Dans ce module
Ce module décrit en détails la procédure de création d'une infrastructure RADIUS (Remote Authentication Dial-In User Service) pour la sécurité de réseau local sans fil, sur la base du service IAS (Internet Authentication Service) Microsoft® Windows® Server™ 2003. Cette procédure inclut l'installation et la configuration des serveurs RADIUS, la préparation du service d'annuaire Microsoft Active Directory® et la configuration des paramètres du serveur IAS. Vous disposerez ainsi de l'infrastructure RADIUS qui sera utilisée ultérieurement par les modules de ce guide pour l'élaboration de la solution Securing Wireless LANs complète.
Objectifs
Ce module vous permettra d'effectuer les opérations suivantes :
implémenter une infrastructure RADIUS ;
installer et de configurer des serveurs IAS ;
sécuriser l'accès au réseau.
S'applique à
Ce module s'applique aux produits et technologies suivants :
Microsoft Windows Server 2003 ;
serveur d'authentification Internet Microsoft (IAS) ;
Microsoft Active Directory.
Comment utiliser ce module
Ce module décrit la méthodologie et la procédure à suivre pour créer une infrastructure RADIUS robuste proposant des composants d'authentification et d'autorisation.
Pour tirer le meilleur parti de ce module :
Lisez le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification. Cela vous aidera à comprendre les concepts principaux d'une infrastructure RADIUS.
Lisez « IAS Concepts » dans le kit de déploiement de Windows Server 2003 à l'adresse suivante : http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/deployguide/dnsbk_ias_tttg.asp.
Présentation
La figure 1 illustre, à haut niveau, le processus de création de l'infrastructure RADIUS détaillé dans ce module.
Figure 1 Diagramme du processus de création de l'infrastructure RADIUS
La liste qui suit vous donne une description à haut niveau des principales sections de ce module.
Feuille de préparation IAS - répertorie les informations de configuration utilisées dans ce module pour l'installation et la configuration d'IAS. Cette feuille de préparation inclut un tableau décrivant les informations que vous devez fournir avant de commencer l'implémentation de ce module.
Élaboration de vos serveurs - décrit la sélection et la configuration du matériel, l'installation de Windows Server 2003 et l'installation des composants facultatifs. Cette section couvre également la création de groupes de sécurité Active Directory et la configuration des permissions appropriées pour la délégation des tâches de gestion. La section traite de l'implémentation d'une sécurité au niveau du système d'exploitation par le biais de l'application de modèles de sécurité. Les modèles utilisés sont tirés du Windows Server 2003 Security Guide, disponible à l'adresse : http://go.microsoft.com/fwlink/?LinkId=14845. Cette section répertorie également quelques tâches communes pour l'installation de base des serveurs.
Installation et configuration IAS - couvre les étapes de préparation, l'installation du logiciel et la configuration d'IAS, y compris la création et la sécurisation d'annuaires de données IAS.
Configuration du serveur IAS principal - couvre la configuration du serveur IAS principal qui sera utilisé comme modèle de configuration pour les serveurs IAS complémentaires ayant des rôles similaires dans l'environnement. Elle couvre également l'exportation de la configuration IAS pour une utilisation sur d'autres serveurs IAS.
Configuration du serveur IAS secondaire - couvre la configuration du serveur IAS secondaire qui viendra se rajouter au serveur IAS principal dans un serveur RADIUS pour améliorer la résistance aux pannes et l'équilibre de la charge. Cette section couvre l'importation de la configuration IAS primaire pour un déploiement automatisé.
Configuration du serveur IAS d'une succursale - couvre la configuration optionnelle d'un serveur IAS dans une succursale, pouvant être utilisée comme exemple pour les environnements distribués. Cette section couvre l'importation de la configuration IAS primaire pour un déploiement automatisé.
Feuille de préparation de l'infrastructure RADIUS
Les tableaux ci-dessous répertorient les paramètres de configuration utilisés dans cette solution. Servez-vous en comme liste de contrôle pour vos décisions de planification.
Bon nombre des paramètres de ces tableaux sont configurés manuellement, dans le cadre de la procédure documentée dans ce module. La plupart sont configurés par un script exécuté dans le cadre de l'une des procédures, ou le paramètre est référencé par un script d'afin d'effectuer une autre tâche de configuration ou d'exploitation.
Remarque : les scripts utilisés dans le Build Guide sont détaillés dans le fichier Lisezmoioutils.txt accompagnant ces scripts.
Éléments de configuration définis par l'utilisateur
Avant de vous lancer dans la procédure d'installation, vérifiez que vous avez choisi les paramètres adéquats pour tous les éléments du tableau ci-dessous. Tout au long de ce module, les valeurs fictives indiquées sont utilisées dans les modèles de commandes donnés. Substituez-y des valeurs adaptées à votre propre organisation. Les endroits auxquels vous devez entrer vos propres valeurs sont signalés en italique.
Tableau 1 : Éléments de configuration définis par l'utilisateur
Élément de configuration | Paramètre |
---|---|
Nom DNS (Domain Name System) du domaine racine d'arborescence Active Directory | woodgrovebank.com |
Nom de domaine NetBIOS (network basic input/output system) | WOODGROVEBANK |
Nom de serveur du serveur IAS principal | HQ-IAS-01 |
Nom de serveur du serveur IAS secondaire | HQ-IAS-02 |
Nom de serveur du serveur IAS tertiaire | BO-IAS-03 |
Élément de configuration | Paramètre |
---|---|
[Accounts] Nom complet du groupe d'administration contrôlant la configuration du serveur IAS | IAS Admins |
[Accounts] Nom pré-Windows 2000 du groupe d'administration contrôlant la configuration du serveur IAS | IAS Admins |
[Accounts] Nom complet du groupe passant en revue les journaux de requêtes d'authentification et de gestion de compte IAS pour des questions de sécurité | IAS Security Auditors |
[Accounts] Nom pré-Windows 2000 du groupe passant en revue les journaux de requêtes d'authentification et de gestion de compte pour des questions de sécurité | IAS Security Auditors |
[Scripts] Chemin d'accès des scripts d'installation | C:\MSSScripts |
[Scripts] Fichier de commandes exporté de configuration IAS | IASExport.bat |
[Scripts] Fichier de commandes importé de configuration IAS | IASImport.bat |
[Scripts] Fichier de commandes exporté de configuration de client IAS | IASClientExport.bat |
[Scripts] Fichier de commandes importé de configuration de client IAS | IASClientImport.bat |
[Config] Chemin d'accès des fichiers de sauvegarde de configuration | D:\IASConfig |
[Request Logs] Emplacement des journaux de requête d'authentification et d'audit IAS | D:\IASLogs |
[Request Logs] Nom de partage des journaux de requêtes RADIUS | IASLogs |
Ressource | Configuration requise |
---|---|
Processeur | Processeur double 850 MHz ou plus rapide |
Mémoire | 512 Mo |
Interfaces réseau | 2 cartes d'interface réseau (NIC) pour une plus grande fiabilité |
Espace de stockage | - Contrôleur RAID IDE (integrated device electronics) ou SCSI (small computer system interface), - 2 x 9 Go (SCSI ou IDE) configurés en tant que volume RAID 1 (lecteur C) - 2 x 18 Go (SCSI ou IDE) configurés en tant que volume RAID 1 (lecteur D) - stockage amovible local (CD-RW ou bande pour sauvegarde) si le réseau ne dispose pas d'une fonction de copie de sauvegarde - lecteur de disquette 1,44 Mo pour les transferts de données |
Préparation du matériel
Configurez votre matériel en suivant les instructions du constructeur. Vous devrez peut-être installer les dernières mises à jour de BIOS (basic input/output system) et de microprogramme de votre constructeur.
À l'aide du logiciel de gestion du contrôleur de disque fourni avec votre matériel, créez les volumes RAID 1 comme indiqué dans le tableau précédent.
Installation de Windows Server 2003
La section qui suit détaille l'installation de Windows Server 2003 sur les serveurs IAS. Bon nombre d'organisations disposent déjà d'un processus d'installation de serveur automatisé. Vous pouvez tout à fait vous en servir pour créer les serveurs, à condition de pouvoir y inclure les paramètres ci-dessous. Pour plus d'informations sur Windows Server 2003, Server Edition et Windows Server 2003, Enterprise Edition, consultez le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification.
La procédure ci-dessous vous permet d'installer Windows Server 2003 sur l'un des serveurs IAS.
Pour installer Windows Server 2003
Insérez le CD-ROM d'installation de Windows Server 2003 dans le lecteur et démarrez le système. Vérifiez que le CD-ROM a été configuré en tant que périphérique de démarrage dans les paramètres BIOS du serveur.
Créez une partition sur le volume principal, donnez-lui un format de système de fichiers NTFS et sélectionnez l'installation de Windows Server 2003 sur cette partition.
Sélectionnez les paramètres régionaux adaptés.
Tapez le nom et la société utilisés pour l'enregistrement de Windows Server 2003.
Tapez un mot de passé sûr pour le compte administrateur local (10 caractères au minimum, avec un mélange de majuscules, minuscules, lettres, chiffres et signes de ponctuation).
Tapez le nom de l'ordinateur lorsqu'on vous le demande (remplacez cette valeur par le nom que vous souhaitez) :
IAS principal = HQ-IAS-01
IAS secondaire = HQ-IAS-02
IAS de succursale = BO-IAS-03
Lorsqu'on vous le demande, rejoignez un domaine. Saisissez le nom du domaine Active Directory auquel les serveurs se rajouteront : WOODGROVEBANK (remplacez cette valeur par le nom du domaine dans lequel vous installez le serveur RADIUS). Lorsque le programme vous y invite, saisissez les informations d'authentification d'un utilisateur autorisé à ajouter des ordinateurs sur ce domaine.
Remarque : dans le cas d'un domaine à arborescences multiples, les serveurs IAS sont généralement installés dans le domaine racine d'arborescence afin d'optimiser les opérations du protocole Kerberos. Bien que cela ne soit pas obligatoire, cette solution suppose que c'est le cas.
N'installez pas de composants facultatifs.
Suite au redémarrage, à la fin du processus d'installation principal :
Installez les service packs en cours et les correctifs requis, le cas échéant.
Réaffectez la lettre R au lecteur de CD - ROM ou de DVD.
Créez une partition sur le deuxième volume du disque dur, affectez-lui la lettre D, et donnez-lui un format NTFS.
Activez cette copie de Windows Server 2003.
Paramètres réseau
Les serveurs IAS disposent d'une interface réseau unique (bien qu'elle puisse être mise en place à l'aide de deux cartes d'interface réseau NIC pour plus de fiabilité). L'interface réseau doit être configurée avec une adresse IP (Internet Protocol) fixe et d'autres paramètres de configuration IP (passerelle par défaut, paramètres DNS, etc.) correspondant à votre organisation.
Vérification de l'installation
Vérifiez que le système d'exploitation a été bien installé, et que les paramètres configurés vous conviennent.
Pour afficher la configuration du système en cours
Exécutez la commande :
systeminfo
Vérifiez les éléments suivants dans la sortie systeminfo (les informations complémentaires ont été omises) :
Nom de l'hôte : HQ-IAS-01
Nom du système d'exploitation : Microsoft® Windows® Server 2003, Enterprise Edition ...
Configuration du système d'exploitation : Serveur membre
Propriétaire enregistré : Nomdupropriétaire
Organisation enregistrée : Nomdel'organisation ...
Répertoire Windows : C:\WINDOWS
Répertoire système : C:\WINDOWS\System32
Périphérique de démarrage : \Device\HarddiskVolume1
Option régionale du système : Votreoptionrégionale
Paramètres régionaux d'entrée : Vosparamètresd'entrée Fuseau
horaire : Votrefuseauhoraire ... Domaine : woodgrovebank.com
Serveur d'accès : \Nomcontrôleurdomaine
Correctif (s) : X correctif(s) installés.
[01]: Qxxxxxx ...
[nn]: Qnnnnnn Carte(s) réseau : X NIC installée.
[01]: Modèleetconstructeurdelacarteréseau
Nom de la connexion : Connexion réseau local
DHCP activé : Non
Adresse(s) IP [01]: xxx.xxx.xxx.xxx
```
3. Si ces paramètres ne correspondent pas à ce que vous aviez prévu, reconfigurez le serveur dans le Panneau de configuration, ou recommencez l'installation.
Installation de scripts de configuration sur les serveurs
Un certain nombre de scripts et de fichiers de configuration sont fournis avec cette solution pour vous permettre de simplifier certains aspects de la configuration et de l'exploitation. Vous devez les installer sur chacun des serveurs. Certains de ces scripts seront requis pour les opérations décrites dans le guide d'exploitation ; nous vous conseillons donc de ne pas les effacer après l'installation du serveur RADIUS.
Pour installer les scripts sur chaque serveur
Créez un dossier appelé C:\MSSScripts.
Copiez les scripts dans ce dossier, à partir du support de distribution.
Vérification des Service Packs et des correctifs de sécurité
À ce stade, revérifiez la liste des Service Packs et des correctifs installés. Pour cela, utilisez un outil tel que Hfnetchk.exe, récupérez les correctifs requis, le cas échéant, et une fois que vous les aurez testés, installez-les sur le(s) serveur(s).
Pour obtenir des instructions concernant l'utilisation de Hfnetchk.exe, reportez-vous à l'article 303215 de la Base de connaissances, à l'adresse : http://support.microsoft.com/kb/303215.
Remarque : vous devrez peut-être télécharger séparément la liste de correctifs XML (Extensible Markup Language) la plus récente de façon à pouvoir exécuter Hfnetchk.exe hors ligne.
Installation de logiciels complémentaires
Cette section couvre l'installation de logiciels complémentaires requis sur les serveurs IAS, le cas échéant.
CAPICOM
CAPICOM 2.0 est requis sur les serveurs RADIUS pour certains des scripts d'installation et de gestion fournis avec cette solution. Vous trouverez des informations vous permettant de trouver la version de CAPICOM la plus récente dans la section « Informations complémentaires » à la fin de ce module.
Suivez les instructions données dans l'exécutable auto-extractible pour installer et enregistrer le DLL (dynamic-link library) CAPICOM.
Validation de la connectivité réseau et Active Directory
IAS dépend énormément d'une bonne configuration réseau et d'une bonne connectivité Active Directory. Nous vous suggérons par conséquent d'exécuter un diagnostic réseau sur le serveur avant de déployer IAS.
Pour ce faire, utilisez la commande NETDIAG.EXE des outils de support Windows Server 2003. Vous trouverez les outils de support Windows Server 2003 sur le CD-ROM Windows Server 2003. Pour les extraire, exécutez la commande ci-dessous :
expand r:\support\tools\support.cab -f:netdiag.exe c:\mssscripts
Exécutez ensuite NETDIAG.EXE en utilisant la commande ci-dessous :
C:\mssscripts\netdiag.exe
Si vous trouvez des erreurs ou si vous obtenez des messages d'avertissement, vérifiez les points concernés.
Vérification du niveau de fonctionnalité du domaine
Le modèle préférépour le contrôle de l'accès au réseau consiste à exploiter le paramètre Contrôler l'accès via la Stratégie d'accès distant sur les comptes d'utilisateur dans Active Directory. Le paramètre Contrôler l'accès via la Stratégie d'accès distant n'est disponible que lorsque Active Directory s'exécute en mode natif Windows 2000 ou ultérieur. Vous devez donc par conséquent vérifier la fonctionnalité du domaine avant de déployer une stratégie d'accès distant sur IAS.
Pour vérifier le niveau de fonctionnalité du domaine, affichez les propriétés du domaine par le biais de l'outil Domaines et approbations Active Directory. Si le domaine de destination IAS est configuré en mode mixte Windows 2000, contactez les administrateurs Active Directory appropriés pour planifier la migration en mode natif.
Pour plus d'informations à ce sujet, reportez-vous à la section « Informations supplémentaires » située à la fin de ce module.
Configuration de groupes Active Directory
Vous devez considérer IAS comme partie intégrante de votre infrastructure de sécurité réseau ; la configuration IAS et les fichiers journaux doivent donc être contrôlés de façon très stricte. Pour cela, une combinaison de groupes globaux Active Directory et de groupes locaux Windows Server 2003 est utilisée.
Création de groupes d'administration IAS
Exécutez le script ci-dessous en tant qu'administrateur de domaine pour créer des groupes de sécurité d'administration IAS :
Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf
Ce script crée les groupes de sécurité suivants en tant que groupes globaux de domaine :
IAS Admins
IAS Security Auditors
Dans le cas d'un domaine à arborescences multiples, ces groupes doivent être créés dans le même domaine que les serveurs IAS. Ce n'est pas quelque chose d'obligatoire, puisqu'ils sont créés en tant que groupes globaux, mais le reste du guide supposera que c'est le cas.
Configuration du groupe d'administrateurs IAS
IAS est l'un des principaux composants du système d'exploitation Windows Server 2003. Il est donc nécessaire d'appartenir au groupe de sécurité des administrateurs locaux pour pouvoir réaliser des tâches de configuration IAS.
N'oubliez pas d'ajouter le groupe global IAS Admins Active Directory au groupe des administrateurs locaux sur les serveurs IAS. Si IAS est installé sur les contrôleurs de domaine, le groupe des administrateurs locaux se trouve dans le dossier Builtin, au sein du composant enfichable Utilisateurs et ordinateurs Active Directory.
Attention : Le fait d'ajouter des groupes au groupe d'administrateurs locaux sur les contrôleurs de domaine Active Directory a des répercussions importantes en matière de sécurité ; ne les négligez pas. Pour plus d'informations, reportez-vous à la section sur la colocation IAS sur les contrôleurs de domaine dans le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification.
Insérez dans ces groupes les comptes correspondant au personnel d'administration approprié, dans votre organisation. Pour obtenir une description complète des correspondances entre ces groupes et les rôles administratifs d'IAS, reportez-vous à la section sur la planification des permissions administratives dans le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification.
Dans tout le reste de ce document, la procédure d'installation nécessite l'utilisation de comptes disposant du privilège IAS Admins.
Sécurisation de Windows Server 2003 pour IAS
Des mesures supplémentaires doivent être prises pour protéger les serveurs IAS. Ces serveurs constituent l'un des éléments principaux de votre infrastructure de sécurité, et doivent donc être traités de la même façon que les pare-feu et autres infrastructures permettant d'accéder à votre réseau.
Sécurité physique
Les serveurs IAS doivent être stockés dans un endroit dont l'accès physique est contrôlé de façon stricte. Ces serveurs doivent être connectés en permanence, et doivent donc se trouver dans un endroit doté de dispositifs de contrôle de la température, de filtrage d'air et d'extinction des feux, entre autres, comme toute salle de serveur.
Autant que faire se peut, choisissez un endroit aussi éloigné que possible de risques potentiels pour le serveur (incendies, inondations, affaissements, etc.).
Il est également très important de contrôler l'accès physique aux données de sauvegarde, de documentation et de configuration, et d'en vérifier la sécurité physique. Ces informations ne doivent pas être stockées au même endroit que les serveurs.
Application des paramètres de sécurité du système sur les serveurs
Les serveurs IAS sont sécurisés par le biais du rôle de serveur IAS défini dans le Windows Server 2003 Security Guide. Pour obtenir plus d'informations au sujet de ce guide, consultez la section « Informations complémentaires » à la fin de ce module. Vous pouvez télécharger les modèles à l'adresse : http://go.microsoft.com/fwlink/?LinkId=14845
Les serveurs IAS étant membres d'un domaine, les paramètres de la stratégie de sécurité sont appliqués à l'aide d'une stratégie de groupe basée sur le domaine. Vous devez donc créer une structure d'unités d'organisation (OU) qui accueillera les objets ordinateur du serveur IAS et une structure objet Stratégie de groupe (GPO) pour l'application des paramètres de sécurité. Si IAS s'exécute sur des serveurs dédiés, vous devez créer deux objets Stratégie de groupe :
Client entreprise - Base du serveur membre
Client entreprise - Service d'authentification Internet
Le Windows Server 2003 Security Guide comprend également un modèle destiné aux contrôleurs de domaine permettant d'effectuer un verrouillage similaire à celui de la stratégie de base du serveur membre. Avant d'appliquer le modèle de sécurité des contrôleurs de domaine aux contrôleurs de domaine existants, lisez le Windows Server 2003 Security Guide et préparez minutieusement l'application.
Même si cela n'est pas obligatoire, une fois que vous aurez pris connaissance du module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification, vous voudrez peut-être co-implanter IAS sur les contrôleurs de domaine. En raison des problèmes importants liés au renforcement des contrôleurs de domaine, ce document ne contient pas d'instructions pour l'application des modèles de contrôleurs de domaine. Nous vous conseillons cependant de préparer des associations de contrôleur de domaine et serveurs IAS à l'aide du modèle IAS requis pour activer IAS après verrouillage d'un contrôleur de domaine. Pour ce faire, créez un objet Stratégie de groupe complémentaire qui sera appliqué dans une nouvelle sous-unité d'organisation sous celle des contrôleurs de domaine :
- Client entreprise - IAS sur les contrôleurs de domaine (contient la stratégie permettant d'assouplir le rôle des contrôleurs de domaine afin de permettre la fonctionnalité IAS)
Suivez la procédure ci-dessous pour importer le modèle Client entreprise - serveurs IAS dans cet objet Stratégie de groupe.
La procédure ci-dessous décrit la création des unités d'organisation et des objets Stratégie de groupe dans le cadre de votre organisation. Les noms des unités d'organisation et des objets Stratégie de groupe sont donnés de façon indicative ; adaptez la procédure aux normes des unités d'organisation et objets Stratégie de groupe de votre domaine.
Pour créer les unités d'organisation et objets Stratégie de groupe des serveurs IAS
Les modèles de sécurité suivants se trouvent dans le Windows Server 2003 Security Guide :
Client entreprise - Domaine
Client entreprise - Base du serveur membre
Client entreprise - Serveur IAS
Client entreprise - Contrôleur de domaine
Ouvrez une session en tant que membre des Administrateurs de domaine ou en tant qu'utilisateur autorisé à créer les unités d'organisation décrites ci-dessous. Il faudra également que vous soyez membre des Propriétaires créateurs de la stratégie de groupe.
Ouvrez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory.
Créez la structure d'UO suivante :
woodgrovebank.com
Serveurs membres
- IAS
Contrôleurs de domaine
- Contrôleurs de domaine avec IAS
Remarque : vous n'avez besoin d'appliquer la stratégie de domaine suivante qu'une seule fois par domaine. Si vous avez déjà terminé cette étape dans un module précédent, vous pouvez l'ignorer.
Ouvrez les propriétés du conteneur de domaine et, à l'onglet Stratégie de groupe, cliquez sur Nouveau pour créer un nouvel objet Stratégie de groupe ; appelez-le Stratégie de domaine.
Modifiez l'objet GPO, puis naviguez jusqu'à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur le dossier Paramètres de sécurité, puis cliquez sur Importer. Naviguez jusqu'à Client entreprise - Domain.inf, et sélectionnez-le comme modèle à importer.
Fermez l'objet GPO.
Répétez ces trois étapes pour l'ensemble des UO, GPO et modèles de sécurité indiqués dans le tableau suivant.
Tableau 4 : Objets GPO et emplacement
UO GPO Modèle de sécurité Serveurs membres Client entreprise - Base du serveur membre Client entreprise - Member Server Baseline.inf IAS Client entreprise - Service d'authentification Internet Client entreprise - IAS Server.inf Contrôleurs de domaine avec IAS Client entreprise - IAS sur les contrôleurs de domaine (optionnel - si IAS se trouve sur un contrôleur de domaine) Client entreprise - IAS Server.inf
Une fois que vous avez créé les objets GPO et importé les modèles, vous devez personnaliser les paramètres de ces GPO et les appliquer aux ordinateurs du serveur IAS en suivant la procédure ci-dessous.
Pour personnaliser et appliquer le GPO Client entreprise - Service d'authentification Internet
À partir du composant Utilisateurs et ordinateurs Active Directory, modifiez le GPO Client d'entreprise - Service d'authentification Internet. Dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, modifiez les éléments suivant en fonction des normes de sécurité de votre organisation :
Comptes : Renommez le compte administrateur Nouveaunomadmin
Comptes : Renommez le compte invité Nouveaunominvité
Ouverture de session interactive : Contenu du message pour les utilisateurs essayant d'ouvrir une session Textelégal
Ouverture de session interactive : Titre du message pour les utilisateurs essayant d'ouvrir une session Titrelégal
Dans Stratégies locales\Attribution des droits d'utilisateur, ajoutez les groupes locaux et les groupes de domaine suivants aux droits d'utilisateur Permettre l'ouverture d'une session locale :
(local) Administrateurs
(local) Opérateurs de sauvegarde
(domaine) Auditeurs de sécurité IAS
Ouvrez les propriétés des services suivants dans le dossier Services système, puis cliquez sur Définir ce paramètre de stratégie dans le modèle. Acceptez les permissions par défaut en cliquant sur OK. Configurez la valeur de Set service startup mode sur Automatique
Stockage amovible
Cliché instantané des volumes
Le fournisseur de clichés instantanés des logiciels Microsoft
Planificateur de tâches
Remarque : ces services sont désactivés dans le modèle de sécurité de base du serveur membre, mais les deux premiers sont requis pour l'exécution de NTBackup.exe. Le service de planificateur de tâches est requis par certains des scripts d'exploitation.
Déplacez le compte ordinateur du serveur IAS dans l'UO de l'IAS.
Sur le serveur IAS, exécutez la commande suivante pour appliquer les paramètres GPO à l'ordinateur :
gpupdate
Remarque : le Windows Server 2003 Security Guide traite ces paramètres de sécurité plus en détail. Pour savoir comment vous procurer ce guide, reportez-vous à la section « Informations complémentaires » à la fin de ce module.
Pour personnaliser et appliquer le GPO Client entreprise - IAS sur les contrôleurs de domaine
À partir du composant Utilisateurs et ordinateurs Active Directory, modifiez le GPO Client d'entreprise - IAS sur les contrôleurs de domaine. Dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, modifiez les éléments suivant en fonction des normes de sécurité de votre organisation :
Comptes : Renommez le compte administrateur Nouveaunomadmin
Comptes : Renommez le compte invité Nouveaunominvité
Ouverture de session interactive : Contenu du message pour les utilisateurs essayant d'ouvrir une session Textelégal
Ouverture de session interactive : Titre du message pour les utilisateurs essayant d'ouvrir une session Titrelégal
Dans Stratégies locales\Attribution des droits d'utilisateur, ajoutez les groupes locaux et les groupes de domaine suivants aux droits d'utilisateur Permettre l'ouverture d'une session locale :
(Builtin) Administrateurs
(Builtin) Opérateurs de sauvegarde
(domaine) Auditeurs de sécurité IAS
Ouvrez les propriétés des services suivants dans le dossier Services système, puis cliquez sur Définir ce paramètre de stratégie dans le modèle. Acceptez les permissions par défaut en cliquant sur OK. Configurez la valeur de Set service startup mode sur Automatique.
Stockage amovible
**Cliché instantané des volumes
Le fournisseur de clichés instantanés des logiciels Microsoft
Planificateur de tâches
Remarque : ces services sont désactivés dans le modèle de sécurité de base du serveur membre, mais les deux premiers sont requis pour l'exécution de NTBackup.exe. Le service de planificateur de tâches est requis par certains des scripts d'exploitation.
Déplacez le compte ordinateur du serveur IAS dans l'UO des contrôleurs de domaine IAS.
Sur le serveur IAS, exécutez la commande suivante pour appliquer les paramètres GPO à l'ordinateur :
gpupdate
Remarque : le Windows Server 2003 Security Guide traite ces paramètres de sécurité plus en détail. Pour savoir comment vous procurer ce guide, reportez-vous à la section « Informations complémentaires » à la fin de ce module.
Vérification des paramètres de sécurité
Suivez la procédure ci-dessous pour vérifier la bonne application des paramètres de sécurité.
Pour vérifier les paramètres de sécurité du serveur IAS
Consultez le journal des événements et recherchez des événements à partir de la source SceCli. Vous devriez trouver un événement 1704 à la suite de la commande gpupdate. Le texte accompagnant cet événement doit être le suivant :
La Stratégie de sécurité dans les objets Stratégie de groupe a été appliquée de façon satisfaisante.
Redémarrez le serveur, vérifiez que tous les services prévus démarrent, et qu'aucune erreur n'est consignée dans le journal des événements système.
Vous devez pouvoir ouvrir une session, et le message d'informations légales doit s'afficher à l'écran.
Configuration de la sécurité des services Terminal Server
Utilisez les services Terminal Server pour la modification programmée des secrets RADIUS à utiliser avec les clients RADIUS. Le cryptage du trafic proposé par les services Terminal Server permet de protéger les secrets RADIUS lorsqu'ils traversent le réseau.
Important : Si une autre méthode est utilisée pour la configuration ou la modification des secrets des clients RADIUS sur le réseau (le composant enfichable MMC Service d'authentification Internet, par exemple), vérifiez qu'une technologie appropriée (IPSec (Internet Protocol Security) par exemple) est utilisée pour la protection des informations en transit. Si vous voulez consulter des informations importantes à propos de l'utilisation d'IPSsec sur les contrôleurs de domaine, reportez-vous à : http://support.microsoft.com/kb/254949.
Ces paramètres doivent être configurés sur le GPO Client entreprise - IAS sur les contrôleurs de domaine et le GPO Client entreprise - Service d'authentification Internet qui s'appliquent aux serveurs IAS.
Tableau 5 : Paramètres à configurer sous Configuration ordinateur\Modèles d'administrations\Composants Windows\Services Terminal Server
Chemin d'accès | Stratégie | Paramètre |
---|---|---|
Interdire à un administrateur ayant ouvert une session sur la console de fermer la session | Activé | |
Ne pas autoriser les administrateurs locaux à personnaliser les permissions | Activé | |
Configure des règles de contrôle distant des sessions d'utilisateurs des services Terminal Server | Aucun contrôle distant autorisé | |
Redirection des données client/server | Autoriser la redirection de fuseau-horaire | Désactivé |
Ne pas autoriser la redirection du presse-papiers | Activé | |
Autoriser la redirection audio | Désactivé | |
Ne pas autoriser la redirection d'un port COM | Activé | |
Ne pas autoriser la redirection d'une imprimante | Activé | |
Ne pas autoriser la redirection d'un port LPT | Activé | |
Ne pas autoriser la redirection de lecteur | Activé | |
Ne pas configurer l'imprimante client par défaut comme imprimante par défaut dans une session | Activé | |
Cryptage et sécurité | Définir le niveau de cryptage de la connexion client | Élevé |
Toujours demander au client le mot de passe à la connexion | Activé | |
Cryptage et sécurité\Sécurité RPC | Serveur sécurisé (Sécurité requise) | Activé |
Sessions | Configurer une limite de temps pour les sessions déconnectées | 10 minutes |
Autoriser la reconnexion à partir du client d'origine uniquement | Activé |
Composant dont l'installation est facultative | Statut de l'installation |
---|---|
Services réseau | Sélectionné |
Service d'authentification Internet | Sélectionné |