Implémentation de l'infrastructure RADIUS pour la sécurité de réseau local sans fil

Dernière mise à jour le 08 juin 2004

Sur cette page

Dans ce module
Objectifs
S'applique à
Comment utiliser ce module
Présentation
Feuille de préparation de l'infrastructure RADIUS
Mise en place de vos serveurs
Installation et configuration d'IAS
Configuration du serveur IAS principal
Configuration du serveur IAS secondaire
Résumé
Informations complémentaires

Dans ce module

Ce module décrit en détails la procédure de création d'une infrastructure RADIUS (Remote Authentication Dial-In User Service) pour la sécurité de réseau local sans fil, sur la base du service IAS (Internet Authentication Service) Microsoft® Windows® Server™ 2003. Cette procédure inclut l'installation et la configuration des serveurs RADIUS, la préparation du service d'annuaire Microsoft Active Directory® et la configuration des paramètres du serveur IAS. Vous disposerez ainsi de l'infrastructure RADIUS qui sera utilisée ultérieurement par les modules de ce guide pour l'élaboration de la solution Securing Wireless LANs complète.

Haut de page

Objectifs

Ce module vous permettra d'effectuer les opérations suivantes :

  • implémenter une infrastructure RADIUS ;

  • installer et de configurer des serveurs IAS ;

  • sécuriser l'accès au réseau.

Haut de page

S'applique à

Ce module s'applique aux produits et technologies suivants :

  • Microsoft Windows Server 2003 ;

  • serveur d'authentification Internet Microsoft (IAS) ;

  • Microsoft Active Directory.

Haut de page

Comment utiliser ce module

Ce module décrit la méthodologie et la procédure à suivre pour créer une infrastructure RADIUS robuste proposant des composants d'authentification et d'autorisation.

Pour tirer le meilleur parti de ce module :

Haut de page

Présentation

La figure 1 illustre, à haut niveau, le processus de création de l'infrastructure RADIUS détaillé dans ce module.

Figure 1 Diagramme du processus de création de l'infrastructure RADIUS

La liste qui suit vous donne une description à haut niveau des principales sections de ce module.

  • Feuille de préparation IAS - répertorie les informations de configuration utilisées dans ce module pour l'installation et la configuration d'IAS. Cette feuille de préparation inclut un tableau décrivant les informations que vous devez fournir avant de commencer l'implémentation de ce module.

  • Élaboration de vos serveurs - décrit la sélection et la configuration du matériel, l'installation de Windows Server 2003 et l'installation des composants facultatifs. Cette section couvre également la création de groupes de sécurité Active Directory et la configuration des permissions appropriées pour la délégation des tâches de gestion. La section traite de l'implémentation d'une sécurité au niveau du système d'exploitation par le biais de l'application de modèles de sécurité. Les modèles utilisés sont tirés du Windows Server 2003 Security Guide, disponible à l'adresse : http://go.microsoft.com/fwlink/?LinkId=14845. Cette section répertorie également quelques tâches communes pour l'installation de base des serveurs.

  • Installation et configuration IAS - couvre les étapes de préparation, l'installation du logiciel et la configuration d'IAS, y compris la création et la sécurisation d'annuaires de données IAS.

  • Configuration du serveur IAS principal - couvre la configuration du serveur IAS principal qui sera utilisé comme modèle de configuration pour les serveurs IAS complémentaires ayant des rôles similaires dans l'environnement. Elle couvre également l'exportation de la configuration IAS pour une utilisation sur d'autres serveurs IAS.

  • Configuration du serveur IAS secondaire - couvre la configuration du serveur IAS secondaire qui viendra se rajouter au serveur IAS principal dans un serveur RADIUS pour améliorer la résistance aux pannes et l'équilibre de la charge. Cette section couvre l'importation de la configuration IAS primaire pour un déploiement automatisé.

  • Configuration du serveur IAS d'une succursale - couvre la configuration optionnelle d'un serveur IAS dans une succursale, pouvant être utilisée comme exemple pour les environnements distribués. Cette section couvre l'importation de la configuration IAS primaire pour un déploiement automatisé.

Haut de page

Feuille de préparation de l'infrastructure RADIUS

Les tableaux ci-dessous répertorient les paramètres de configuration utilisés dans cette solution. Servez-vous en comme liste de contrôle pour vos décisions de planification.

Bon nombre des paramètres de ces tableaux sont configurés manuellement, dans le cadre de la procédure documentée dans ce module. La plupart sont configurés par un script exécuté dans le cadre de l'une des procédures, ou le paramètre est référencé par un script d'afin d'effectuer une autre tâche de configuration ou d'exploitation.

Remarque : les scripts utilisés dans le Build Guide sont détaillés dans le fichier Lisezmoioutils.txt accompagnant ces scripts.

Éléments de configuration définis par l'utilisateur

Avant de vous lancer dans la procédure d'installation, vérifiez que vous avez choisi les paramètres adéquats pour tous les éléments du tableau ci-dessous. Tout au long de ce module, les valeurs fictives indiquées sont utilisées dans les modèles de commandes donnés. Substituez-y des valeurs adaptées à votre propre organisation. Les endroits auxquels vous devez entrer vos propres valeurs sont signalés en italique.

Tableau 1 : Éléments de configuration définis par l'utilisateur

Élément de configuration Paramètre
Nom DNS (Domain Name System) du domaine racine d'arborescence Active Directory woodgrovebank.com
Nom de domaine NetBIOS (network basic input/output system) WOODGROVEBANK
Nom de serveur du serveur IAS principal HQ-IAS-01
Nom de serveur du serveur IAS secondaire HQ-IAS-02
Nom de serveur du serveur IAS tertiaire BO-IAS-03
### Éléments de configuration liés à la solution Les paramètres spécifiés dans ce tableau n'ont pas à être modifiés pour une installation spécifique, sauf si vous avez expressément besoin d'utiliser un paramètre différent. Vous pouvez tout à fait modifier les paramètres de configuration donnés dans ce tableau ; gardez simplement à l'esprit que dans ce cas, vous ne vous trouverez plus dans le cadre de la solution testée. Avant de modifier des valeurs dans les procédures de configuration ou les scripts fournis, vous devez être certain de bien comprendre les implications de ces modifications et les conséquences qu'elles auront. **Tableau 2 : Éléments de configuration liés à la solution**

Élément de configuration Paramètre
[Accounts] Nom complet du groupe d'administration contrôlant la configuration du serveur IAS IAS Admins
[Accounts] Nom pré-Windows 2000 du groupe d'administration contrôlant la configuration du serveur IAS IAS Admins
[Accounts] Nom complet du groupe passant en revue les journaux de requêtes d'authentification et de gestion de compte IAS pour des questions de sécurité IAS Security Auditors
[Accounts] Nom pré-Windows 2000 du groupe passant en revue les journaux de requêtes d'authentification et de gestion de compte pour des questions de sécurité IAS Security Auditors
[Scripts] Chemin d'accès des scripts d'installation C:\MSSScripts
[Scripts] Fichier de commandes exporté de configuration IAS IASExport.bat
[Scripts] Fichier de commandes importé de configuration IAS IASImport.bat
[Scripts] Fichier de commandes exporté de configuration de client IAS IASClientExport.bat
[Scripts] Fichier de commandes importé de configuration de client IAS IASClientImport.bat
[Config] Chemin d'accès des fichiers de sauvegarde de configuration D:\IASConfig
[Request Logs] Emplacement des journaux de requête d'authentification et d'audit IAS D:\IASLogs
[Request Logs] Nom de partage des journaux de requêtes RADIUS IASLogs
### Préparation IAS La solution comprend deux serveurs IAS centraux configurés en tant que serveurs RADIUS pour le contrôle de l'accès au réseau local sans fil. La solution inclut également un serveur IAS facultatif de succursale, configuré en tant que serveur RADIUS pour les environnements nécessitant une infrastructure distribuée. Pour plus d'informations sur le placement des serveurs IAS, consultez le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du *guide de planification*. L'installation du serveur IAS nécessite un certain nombre de tâches de préparation : - configuration du matériel du serveur ; - installation du logiciel du système d'exploitation du serveur ; - préparation d'Active Directory ; - réalisation de tâches de renforcement du serveur. [](#mainsection)[Haut de page](#mainsection) ### Mise en place de vos serveurs La section suivante décrit la procédure à suivre pour mettre en place vos serveurs. Vous pouvez tout à fait mettre en place chaque serveur de façon individuelle, mais vous devez absolument suivre toutes les étapes pour chacun des serveurs. ### Spécification du matériel du serveur Sélectionnez le matériel du serveur IAS dans la liste [Windows Server 2003 Hardware Compatibility List (HCL)](http://www.microsoft.com/hwdq/hcl/scnet.asp). Le fait de sélectionner le matériel du serveur dans la liste de compatibilité Windows Server 2003 vous permet d'éviter les problèmes de fiabilité et de compatibilité pouvant survenir lors de l'utilisation de matériel non testé ou de pilotes de périphériques de mauvaise qualité. Pour plus d'informations sur la liste de compatibilité Windows Server 2003, consultez le site à l'adresse :

Ressource Configuration requise
Processeur Processeur double 850 MHz ou plus rapide
Mémoire 512 Mo
Interfaces réseau 2 cartes d'interface réseau (NIC) pour une plus grande fiabilité
Espace de stockage - Contrôleur RAID IDE (integrated device electronics) ou SCSI (small computer system interface),
- 2 x 9 Go (SCSI ou IDE) configurés en tant que volume RAID 1 (lecteur C)
- 2 x 18 Go (SCSI ou IDE) configurés en tant que volume RAID 1 (lecteur D)
- stockage amovible local (CD-RW ou bande pour sauvegarde) si le réseau ne dispose pas d'une fonction de copie de sauvegarde
- lecteur de disquette 1,44 Mo pour les transferts de données

Préparation du matériel

Configurez votre matériel en suivant les instructions du constructeur. Vous devrez peut-être installer les dernières mises à jour de BIOS (basic input/output system) et de microprogramme de votre constructeur.

À l'aide du logiciel de gestion du contrôleur de disque fourni avec votre matériel, créez les volumes RAID 1 comme indiqué dans le tableau précédent.

Installation de Windows Server 2003

La section qui suit détaille l'installation de Windows Server 2003 sur les serveurs IAS. Bon nombre d'organisations disposent déjà d'un processus d'installation de serveur automatisé. Vous pouvez tout à fait vous en servir pour créer les serveurs, à condition de pouvoir y inclure les paramètres ci-dessous. Pour plus d'informations sur Windows Server 2003, Server Edition et Windows Server 2003, Enterprise Edition, consultez le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification.

La procédure ci-dessous vous permet d'installer Windows Server 2003 sur l'un des serveurs IAS.

  • Pour installer Windows Server 2003

    1. Insérez le CD-ROM d'installation de Windows Server 2003 dans le lecteur et démarrez le système. Vérifiez que le CD-ROM a été configuré en tant que périphérique de démarrage dans les paramètres BIOS du serveur.

    2. Créez une partition sur le volume principal, donnez-lui un format de système de fichiers NTFS et sélectionnez l'installation de Windows Server 2003 sur cette partition.

    3. Sélectionnez les paramètres régionaux adaptés.

    4. Tapez le nom et la société utilisés pour l'enregistrement de Windows Server 2003.

    5. Tapez un mot de passé sûr pour le compte administrateur local (10 caractères au minimum, avec un mélange de majuscules, minuscules, lettres, chiffres et signes de ponctuation).

    6. Tapez le nom de l'ordinateur lorsqu'on vous le demande (remplacez cette valeur par le nom que vous souhaitez) :

      • IAS principal = HQ-IAS-01

      • IAS secondaire = HQ-IAS-02

      • IAS de succursale = BO-IAS-03

    7. Lorsqu'on vous le demande, rejoignez un domaine. Saisissez le nom du domaine Active Directory auquel les serveurs se rajouteront : WOODGROVEBANK (remplacez cette valeur par le nom du domaine dans lequel vous installez le serveur RADIUS). Lorsque le programme vous y invite, saisissez les informations d'authentification d'un utilisateur autorisé à ajouter des ordinateurs sur ce domaine.

      Remarque : dans le cas d'un domaine à arborescences multiples, les serveurs IAS sont généralement installés dans le domaine racine d'arborescence afin d'optimiser les opérations du protocole Kerberos. Bien que cela ne soit pas obligatoire, cette solution suppose que c'est le cas.

    8. N'installez pas de composants facultatifs.

      Suite au redémarrage, à la fin du processus d'installation principal :

    9. Installez les service packs en cours et les correctifs requis, le cas échéant.

    10. Réaffectez la lettre R au lecteur de CD - ROM ou de DVD.

    11. Créez une partition sur le deuxième volume du disque dur, affectez-lui la lettre D, et donnez-lui un format NTFS.

    12. Activez cette copie de Windows Server 2003.

Paramètres réseau

Les serveurs IAS disposent d'une interface réseau unique (bien qu'elle puisse être mise en place à l'aide de deux cartes d'interface réseau NIC pour plus de fiabilité). L'interface réseau doit être configurée avec une adresse IP (Internet Protocol) fixe et d'autres paramètres de configuration IP (passerelle par défaut, paramètres DNS, etc.) correspondant à votre organisation.

Vérification de l'installation

Vérifiez que le système d'exploitation a été bien installé, et que les paramètres configurés vous conviennent.

  • Pour afficher la configuration du système en cours

    1. Exécutez la commande :

      systeminfo

    2. Vérifiez les éléments suivants dans la sortie systeminfo (les informations complémentaires ont été omises) :

        Nom de l'hôte : HQ-IAS-01 
    

Nom du système d'exploitation : Microsoft® Windows® Server 2003, Enterprise Edition ... Configuration du système d'exploitation : Serveur membre
Propriétaire enregistré : Nomdupropriétaire Organisation enregistrée : Nomdel'organisation ... Répertoire Windows : C:\WINDOWS Répertoire système : C:\WINDOWS\System32 Périphérique de démarrage : \Device\HarddiskVolume1 Option régionale du système : Votreoptionrégionale Paramètres régionaux d'entrée : Vosparamètresd'entrée Fuseau horaire : Votrefuseauhoraire ... Domaine : woodgrovebank.com Serveur d'accès : \Nomcontrôleurdomaine Correctif (s) : X correctif(s) installés.
[01]: Qxxxxxx ...
[nn]: Qnnnnnn Carte(s) réseau : X NIC installée.
[01]: Modèleetconstructeurdelacarteréseau
Nom de la connexion : Connexion réseau local
DHCP activé : Non
Adresse(s) IP [01]: xxx.xxx.xxx.xxx ```

3.  Si ces paramètres ne correspondent pas à ce que vous aviez prévu, reconfigurez le serveur dans le Panneau de configuration, ou recommencez l'installation.

Installation de scripts de configuration sur les serveurs

Un certain nombre de scripts et de fichiers de configuration sont fournis avec cette solution pour vous permettre de simplifier certains aspects de la configuration et de l'exploitation. Vous devez les installer sur chacun des serveurs. Certains de ces scripts seront requis pour les opérations décrites dans le guide d'exploitation ; nous vous conseillons donc de ne pas les effacer après l'installation du serveur RADIUS.

  • Pour installer les scripts sur chaque serveur

    1. Créez un dossier appelé C:\MSSScripts.

    2. Copiez les scripts dans ce dossier, à partir du support de distribution.

Vérification des Service Packs et des correctifs de sécurité

À ce stade, revérifiez la liste des Service Packs et des correctifs installés. Pour cela, utilisez un outil tel que Hfnetchk.exe, récupérez les correctifs requis, le cas échéant, et une fois que vous les aurez testés, installez-les sur le(s) serveur(s).

Pour obtenir des instructions concernant l'utilisation de Hfnetchk.exe, reportez-vous à l'article 303215 de la Base de connaissances, à l'adresse : http://support.microsoft.com/kb/303215.

Remarque : vous devrez peut-être télécharger séparément la liste de correctifs XML (Extensible Markup Language) la plus récente de façon à pouvoir exécuter Hfnetchk.exe hors ligne.

Installation de logiciels complémentaires

Cette section couvre l'installation de logiciels complémentaires requis sur les serveurs IAS, le cas échéant.

CAPICOM

CAPICOM 2.0 est requis sur les serveurs RADIUS pour certains des scripts d'installation et de gestion fournis avec cette solution. Vous trouverez des informations vous permettant de trouver la version de CAPICOM la plus récente dans la section « Informations complémentaires » à la fin de ce module.

Suivez les instructions données dans l'exécutable auto-extractible pour installer et enregistrer le DLL (dynamic-link library) CAPICOM.

Validation de la connectivité réseau et Active Directory

IAS dépend énormément d'une bonne configuration réseau et d'une bonne connectivité Active Directory. Nous vous suggérons par conséquent d'exécuter un diagnostic réseau sur le serveur avant de déployer IAS.

Pour ce faire, utilisez la commande NETDIAG.EXE des outils de support Windows Server 2003. Vous trouverez les outils de support Windows Server 2003 sur le CD-ROM Windows Server 2003. Pour les extraire, exécutez la commande ci-dessous :

expand r:\support\tools\support.cab -f:netdiag.exe c:\mssscripts

Exécutez ensuite NETDIAG.EXE en utilisant la commande ci-dessous :

C:\mssscripts\netdiag.exe

Si vous trouvez des erreurs ou si vous obtenez des messages d'avertissement, vérifiez les points concernés.

Vérification du niveau de fonctionnalité du domaine

Le modèle préférépour le contrôle de l'accès au réseau consiste à exploiter le paramètre Contrôler l'accès via la Stratégie d'accès distant sur les comptes d'utilisateur dans Active Directory. Le paramètre Contrôler l'accès via la Stratégie d'accès distant n'est disponible que lorsque Active Directory s'exécute en mode natif Windows 2000 ou ultérieur. Vous devez donc par conséquent vérifier la fonctionnalité du domaine avant de déployer une stratégie d'accès distant sur IAS.

Pour vérifier le niveau de fonctionnalité du domaine, affichez les propriétés du domaine par le biais de l'outil Domaines et approbations Active Directory. Si le domaine de destination IAS est configuré en mode mixte Windows 2000, contactez les administrateurs Active Directory appropriés pour planifier la migration en mode natif.

Pour plus d'informations à ce sujet, reportez-vous à la section « Informations supplémentaires » située à la fin de ce module.

Configuration de groupes Active Directory

Vous devez considérer IAS comme partie intégrante de votre infrastructure de sécurité réseau ; la configuration IAS et les fichiers journaux doivent donc être contrôlés de façon très stricte. Pour cela, une combinaison de groupes globaux Active Directory et de groupes locaux Windows Server 2003 est utilisée.

Création de groupes d'administration IAS

Exécutez le script ci-dessous en tant qu'administrateur de domaine pour créer des groupes de sécurité d'administration IAS :

Cscript //job:CreateIASGroups C:\MSSScripts\IAS_Tools.wsf

Ce script crée les groupes de sécurité suivants en tant que groupes globaux de domaine :

  • IAS Admins

  • IAS Security Auditors

Dans le cas d'un domaine à arborescences multiples, ces groupes doivent être créés dans le même domaine que les serveurs IAS. Ce n'est pas quelque chose d'obligatoire, puisqu'ils sont créés en tant que groupes globaux, mais le reste du guide supposera que c'est le cas.

Configuration du groupe d'administrateurs IAS

IAS est l'un des principaux composants du système d'exploitation Windows Server 2003. Il est donc nécessaire d'appartenir au groupe de sécurité des administrateurs locaux pour pouvoir réaliser des tâches de configuration IAS.

N'oubliez pas d'ajouter le groupe global IAS Admins Active Directory au groupe des administrateurs locaux sur les serveurs IAS. Si IAS est installé sur les contrôleurs de domaine, le groupe des administrateurs locaux se trouve dans le dossier Builtin, au sein du composant enfichable Utilisateurs et ordinateurs Active Directory.

Attention : Le fait d'ajouter des groupes au groupe d'administrateurs locaux sur les contrôleurs de domaine Active Directory a des répercussions importantes en matière de sécurité ; ne les négligez pas. Pour plus d'informations, reportez-vous à la section sur la colocation IAS sur les contrôleurs de domaine dans le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification.

Insérez dans ces groupes les comptes correspondant au personnel d'administration approprié, dans votre organisation. Pour obtenir une description complète des correspondances entre ces groupes et les rôles administratifs d'IAS, reportez-vous à la section sur la planification des permissions administratives dans le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification.

Dans tout le reste de ce document, la procédure d'installation nécessite l'utilisation de comptes disposant du privilège IAS Admins.

Sécurisation de Windows Server 2003 pour IAS

Des mesures supplémentaires doivent être prises pour protéger les serveurs IAS. Ces serveurs constituent l'un des éléments principaux de votre infrastructure de sécurité, et doivent donc être traités de la même façon que les pare-feu et autres infrastructures permettant d'accéder à votre réseau.

Sécurité physique

Les serveurs IAS doivent être stockés dans un endroit dont l'accès physique est contrôlé de façon stricte. Ces serveurs doivent être connectés en permanence, et doivent donc se trouver dans un endroit doté de dispositifs de contrôle de la température, de filtrage d'air et d'extinction des feux, entre autres, comme toute salle de serveur.

Autant que faire se peut, choisissez un endroit aussi éloigné que possible de risques potentiels pour le serveur (incendies, inondations, affaissements, etc.).

Il est également très important de contrôler l'accès physique aux données de sauvegarde, de documentation et de configuration, et d'en vérifier la sécurité physique. Ces informations ne doivent pas être stockées au même endroit que les serveurs.

Application des paramètres de sécurité du système sur les serveurs

Les serveurs IAS sont sécurisés par le biais du rôle de serveur IAS défini dans le Windows Server 2003 Security Guide. Pour obtenir plus d'informations au sujet de ce guide, consultez la section « Informations complémentaires » à la fin de ce module. Vous pouvez télécharger les modèles à l'adresse : http://go.microsoft.com/fwlink/?LinkId=14845

Les serveurs IAS étant membres d'un domaine, les paramètres de la stratégie de sécurité sont appliqués à l'aide d'une stratégie de groupe basée sur le domaine. Vous devez donc créer une structure d'unités d'organisation (OU) qui accueillera les objets ordinateur du serveur IAS et une structure objet Stratégie de groupe (GPO) pour l'application des paramètres de sécurité. Si IAS s'exécute sur des serveurs dédiés, vous devez créer deux objets Stratégie de groupe :

  • Client entreprise - Base du serveur membre

  • Client entreprise - Service d'authentification Internet

Le Windows Server 2003 Security Guide comprend également un modèle destiné aux contrôleurs de domaine permettant d'effectuer un verrouillage similaire à celui de la stratégie de base du serveur membre. Avant d'appliquer le modèle de sécurité des contrôleurs de domaine aux contrôleurs de domaine existants, lisez le Windows Server 2003 Security Guide et préparez minutieusement l'application.

Même si cela n'est pas obligatoire, une fois que vous aurez pris connaissance du module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du guide de planification, vous voudrez peut-être co-implanter IAS sur les contrôleurs de domaine. En raison des problèmes importants liés au renforcement des contrôleurs de domaine, ce document ne contient pas d'instructions pour l'application des modèles de contrôleurs de domaine. Nous vous conseillons cependant de préparer des associations de contrôleur de domaine et serveurs IAS à l'aide du modèle IAS requis pour activer IAS après verrouillage d'un contrôleur de domaine. Pour ce faire, créez un objet Stratégie de groupe complémentaire qui sera appliqué dans une nouvelle sous-unité d'organisation sous celle des contrôleurs de domaine :

  • Client entreprise - IAS sur les contrôleurs de domaine (contient la stratégie permettant d'assouplir le rôle des contrôleurs de domaine afin de permettre la fonctionnalité IAS)

Suivez la procédure ci-dessous pour importer le modèle Client entreprise - serveurs IAS dans cet objet Stratégie de groupe.

La procédure ci-dessous décrit la création des unités d'organisation et des objets Stratégie de groupe dans le cadre de votre organisation. Les noms des unités d'organisation et des objets Stratégie de groupe sont donnés de façon indicative ; adaptez la procédure aux normes des unités d'organisation et objets Stratégie de groupe de votre domaine.

  • Pour créer les unités d'organisation et objets Stratégie de groupe des serveurs IAS

    1. Les modèles de sécurité suivants se trouvent dans le Windows Server 2003 Security Guide :

      • Client entreprise - Domaine

      • Client entreprise - Base du serveur membre

      • Client entreprise - Serveur IAS

      • Client entreprise - Contrôleur de domaine

    2. Ouvrez une session en tant que membre des Administrateurs de domaine ou en tant qu'utilisateur autorisé à créer les unités d'organisation décrites ci-dessous. Il faudra également que vous soyez membre des Propriétaires créateurs de la stratégie de groupe.

    3. Ouvrez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory.

    4. Créez la structure d'UO suivante :

      woodgrovebank.com

      • Serveurs membres

        • IAS
      • Contrôleurs de domaine

        • Contrôleurs de domaine avec IAS

        Remarque : vous n'avez besoin d'appliquer la stratégie de domaine suivante qu'une seule fois par domaine. Si vous avez déjà terminé cette étape dans un module précédent, vous pouvez l'ignorer.

    5. Ouvrez les propriétés du conteneur de domaine et, à l'onglet Stratégie de groupe, cliquez sur Nouveau pour créer un nouvel objet Stratégie de groupe ; appelez-le Stratégie de domaine.

    6. Modifiez l'objet GPO, puis naviguez jusqu'à Configuration ordinateur\Paramètres Windows\Paramètres de sécurité. Cliquez avec le bouton droit de la souris sur le dossier Paramètres de sécurité, puis cliquez sur Importer. Naviguez jusqu'à Client entreprise - Domain.inf, et sélectionnez-le comme modèle à importer.

    7. Fermez l'objet GPO.

    8. Répétez ces trois étapes pour l'ensemble des UO, GPO et modèles de sécurité indiqués dans le tableau suivant.

      Tableau 4 : Objets GPO et emplacement

      UO GPO Modèle de sécurité
      Serveurs membres Client entreprise - Base du serveur membre Client entreprise - Member Server Baseline.inf
      IAS Client entreprise - Service d'authentification Internet Client entreprise - IAS Server.inf
      Contrôleurs de domaine avec IAS Client entreprise - IAS sur les contrôleurs de domaine (optionnel - si IAS se trouve sur un contrôleur de domaine) Client entreprise - IAS Server.inf

Une fois que vous avez créé les objets GPO et importé les modèles, vous devez personnaliser les paramètres de ces GPO et les appliquer aux ordinateurs du serveur IAS en suivant la procédure ci-dessous.

  • Pour personnaliser et appliquer le GPO Client entreprise - Service d'authentification Internet

    1. À partir du composant Utilisateurs et ordinateurs Active Directory, modifiez le GPO Client d'entreprise - Service d'authentification Internet. Dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, modifiez les éléments suivant en fonction des normes de sécurité de votre organisation :

      • Comptes : Renommez le compte administrateur Nouveaunomadmin

      • Comptes : Renommez le compte invité Nouveaunominvité

      • Ouverture de session interactive : Contenu du message pour les utilisateurs essayant d'ouvrir une session Textelégal

      • Ouverture de session interactive : Titre du message pour les utilisateurs essayant d'ouvrir une session Titrelégal

    2. Dans Stratégies locales\Attribution des droits d'utilisateur, ajoutez les groupes locaux et les groupes de domaine suivants aux droits d'utilisateur Permettre l'ouverture d'une session locale :

      • (local) Administrateurs

      • (local) Opérateurs de sauvegarde

      • (domaine) Auditeurs de sécurité IAS

    3. Ouvrez les propriétés des services suivants dans le dossier Services système, puis cliquez sur Définir ce paramètre de stratégie dans le modèle. Acceptez les permissions par défaut en cliquant sur OK. Configurez la valeur de Set service startup mode sur Automatique

      • Stockage amovible

      • Cliché instantané des volumes

      • Le fournisseur de clichés instantanés des logiciels Microsoft

      • Planificateur de tâches

      Remarque : ces services sont désactivés dans le modèle de sécurité de base du serveur membre, mais les deux premiers sont requis pour l'exécution de NTBackup.exe. Le service de planificateur de tâches est requis par certains des scripts d'exploitation.

    4. Déplacez le compte ordinateur du serveur IAS dans l'UO de l'IAS.

    5. Sur le serveur IAS, exécutez la commande suivante pour appliquer les paramètres GPO à l'ordinateur :

      gpupdate

      Remarque : le Windows Server 2003 Security Guide traite ces paramètres de sécurité plus en détail. Pour savoir comment vous procurer ce guide, reportez-vous à la section « Informations complémentaires » à la fin de ce module.

  • Pour personnaliser et appliquer le GPO Client entreprise - IAS sur les contrôleurs de domaine

    1. À partir du composant Utilisateurs et ordinateurs Active Directory, modifiez le GPO Client d'entreprise - IAS sur les contrôleurs de domaine. Dans Configuration ordinateur\Paramètres Windows\Paramètres de sécurité\Stratégies locales\Options de sécurité, modifiez les éléments suivant en fonction des normes de sécurité de votre organisation :

      • Comptes : Renommez le compte administrateur Nouveaunomadmin

      • Comptes : Renommez le compte invité Nouveaunominvité

      • Ouverture de session interactive : Contenu du message pour les utilisateurs essayant d'ouvrir une session Textelégal

      • Ouverture de session interactive : Titre du message pour les utilisateurs essayant d'ouvrir une session Titrelégal

    2. Dans Stratégies locales\Attribution des droits d'utilisateur, ajoutez les groupes locaux et les groupes de domaine suivants aux droits d'utilisateur Permettre l'ouverture d'une session locale :

      • (Builtin) Administrateurs

      • (Builtin) Opérateurs de sauvegarde

      • (domaine) Auditeurs de sécurité IAS

    3. Ouvrez les propriétés des services suivants dans le dossier Services système, puis cliquez sur Définir ce paramètre de stratégie dans le modèle. Acceptez les permissions par défaut en cliquant sur OK. Configurez la valeur de Set service startup mode sur Automatique.

      • Stockage amovible

      • **Cliché instantané des volumes

      • Le fournisseur de clichés instantanés des logiciels Microsoft

      • Planificateur de tâches

      Remarque : ces services sont désactivés dans le modèle de sécurité de base du serveur membre, mais les deux premiers sont requis pour l'exécution de NTBackup.exe. Le service de planificateur de tâches est requis par certains des scripts d'exploitation.

    4. Déplacez le compte ordinateur du serveur IAS dans l'UO des contrôleurs de domaine IAS.

    5. Sur le serveur IAS, exécutez la commande suivante pour appliquer les paramètres GPO à l'ordinateur :

      gpupdate

      Remarque : le Windows Server 2003 Security Guide traite ces paramètres de sécurité plus en détail. Pour savoir comment vous procurer ce guide, reportez-vous à la section « Informations complémentaires » à la fin de ce module.

Vérification des paramètres de sécurité

Suivez la procédure ci-dessous pour vérifier la bonne application des paramètres de sécurité.

  • Pour vérifier les paramètres de sécurité du serveur IAS

    1. Consultez le journal des événements et recherchez des événements à partir de la source SceCli. Vous devriez trouver un événement 1704 à la suite de la commande gpupdate. Le texte accompagnant cet événement doit être le suivant :

      La Stratégie de sécurité dans les objets Stratégie de groupe a été appliquée de façon satisfaisante.

    2. Redémarrez le serveur, vérifiez que tous les services prévus démarrent, et qu'aucune erreur n'est consignée dans le journal des événements système.

    3. Vous devez pouvoir ouvrir une session, et le message d'informations légales doit s'afficher à l'écran.

Configuration de la sécurité des services Terminal Server

Utilisez les services Terminal Server pour la modification programmée des secrets RADIUS à utiliser avec les clients RADIUS. Le cryptage du trafic proposé par les services Terminal Server permet de protéger les secrets RADIUS lorsqu'ils traversent le réseau.

Important : Si une autre méthode est utilisée pour la configuration ou la modification des secrets des clients RADIUS sur le réseau (le composant enfichable MMC Service d'authentification Internet, par exemple), vérifiez qu'une technologie appropriée (IPSec (Internet Protocol Security) par exemple) est utilisée pour la protection des informations en transit. Si vous voulez consulter des informations importantes à propos de l'utilisation d'IPSsec sur les contrôleurs de domaine, reportez-vous à : http://support.microsoft.com/kb/254949.

Ces paramètres doivent être configurés sur le GPO Client entreprise - IAS sur les contrôleurs de domaine et le GPO Client entreprise - Service d'authentification Internet qui s'appliquent aux serveurs IAS.

Tableau 5 : Paramètres à configurer sous Configuration ordinateur\Modèles d'administrations\Composants Windows\Services Terminal Server

Chemin d'accès Stratégie Paramètre
  Interdire à un administrateur ayant ouvert une session sur la console de fermer la session Activé
  Ne pas autoriser les administrateurs locaux à personnaliser les permissions Activé
  Configure des règles de contrôle distant des sessions d'utilisateurs des services Terminal Server Aucun contrôle distant autorisé
Redirection des données client/server Autoriser la redirection de fuseau-horaire Désactivé
  Ne pas autoriser la redirection du presse-papiers Activé
  Autoriser la redirection audio Désactivé
  Ne pas autoriser la redirection d'un port COM Activé
  Ne pas autoriser la redirection d'une imprimante Activé
  Ne pas autoriser la redirection d'un port LPT Activé
  Ne pas autoriser la redirection de lecteur Activé
  Ne pas configurer l'imprimante client par défaut comme imprimante par défaut dans une session Activé
Cryptage et sécurité Définir le niveau de cryptage de la connexion client Élevé
  Toujours demander au client le mot de passe à la connexion Activé
Cryptage et sécurité\Sécurité RPC Serveur sécurisé (Sécurité requise) Activé
Sessions Configurer une limite de temps pour les sessions déconnectées 10 minutes
  Autoriser la reconnexion à partir du client d'origine uniquement Activé
Tous les comptes de domaine ou groupes de sécurité nécessitant un accès de services Terminal Server aux serveurs IAS doivent être ajoutés au groupe Utilisateurs du bureau à distance (à moins qu'ils ne soient déjà membres du groupe des administrateurs). ### Tâches de configuration Windows restantes En fonction de l'infrastructure et des normes de votre organisation, vous aurez d'autres tâches de configuration à réaliser. Par exemple : - Activation des sauvegardes ou installation d'agents de sauvegarde. - Configuration des options SNMP (Simple Network Management Protocol) ou WMI (Windows Management Instrumentation). - Installation d'agents de gestion, comme les composants MOM (Microsoft Operations Manager) ou SMS (Systems Management Server) de Microsoft. - Installation d'un logiciel antivirus. - Installation d'agents de détection des intrusions. Vérifiez ces éléments au moment de leur installation. [](#mainsection)[Haut de page](#mainsection) ### Installation et configuration d'IAS La solution comprend deux serveurs IAS centraux configurés en tant que serveurs RADIUS pour l'authentification des utilisateurs et le contrôle de l'accès au réseau. La solution inclut également un serveur IAS facultatif de succursale pour les environnements nécessitant une authentification distribuée et un contrôle de l'accès au réseau. Pour plus d'informations sur le placement des serveurs IAS, consultez le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du *guide de planification*. La section suivante décrit la procédure à suivre pour installer IAS sur vos serveurs. Vous pouvez tout à fait installer IAS sur chaque serveur de façon individuelle, mais vous devez absolument suivre toutes les étapes pour chacun des serveurs. En fonction du serveur configuré, la procédure de configuration d'IAS varie légèrement. ### Installation des composants logiciels IAS IAS est installé à l'aide du Gestionnaire de composants facultatifs Windows (Panneau de configuration - **Ajout/Suppression de programmes** ). Le tableau ci-dessous illustre les composants à installer. L'alinéa reflète la relation entre les composants, comme indiqué dans l'Assistant du Gestionnaire de composants facultatifs ( **Enable network COM+ access** est un sous-composant du Serveur d'application, par exemple). Les composants effacés ne sont pas mentionnés dans le tableau. **Tableau 6 : Composants IAS à installer**

Composant dont l'installation est facultative Statut de l'installation
Services réseau Sélectionné
Service d'authentification Internet Sélectionné
Remarque : le support d'installation Windows Server 2003 est requis pour l'installation. - **Pour installer les composants IAS** - Exécutez le Gestionnaire des composants facultatifs sur tous les serveurs IAS en utilisant la commande ci-dessous pour automatiser l'installation d'IAS sur le serveur : **sysocmgr /i:sysoc.inf /u:C:\\MSSScripts\\OC\_AddIAS.txt** ### Enregistrement d'IAS dans Active Directory Les serveurs IAS doivent être placés dans le groupe de sécurité RAS (Remote Access Service) et serveurs IAS dans chacun des domaines pour lesquels ils devront prendre en charge l'authentification. Ainsi, les serveurs IAS disposent de la permission appropriée pour lire les propriétés d'accès distant des comptes d'utilisateur et d'ordinateur. Pour placer manuellement les serveurs dans ce groupe, utilisez le composant enfichable MMC Utilisateurs et ordinateurs Active Directory ou la commande Netshell ( **netsh** ). - **Pour enregistrer IAS sur les serveurs du domaine par défaut à l'aide de la commande netsh** 1. Ouvrez une session sur chaque serveur IAS avec un compte disposant du privilège Domain Admins pour le domaine. 2. Ouvrez une invite de commande. 3. À l'invite de commandes, tapez : **netsh ras add registeredserver** - **Pour enregistrer IAS sur des domaines autre que le domaine par défaut à l'aide de la commande netsh** 1. Ouvrez une session sur chaque serveur IAS avec un compte disposant du privilège Domain Admins pour le domaine cible. 2. Ouvrez une invite de commande. 3. À l'invite de commande, tapez ce qui suit, en remplaçant <nomdomaine> par le nom du domaine dans lequel le serveur IAS doit être enregistré : **netsh ras add registeredserver domain = <nomdomaine>** **Remarque :** vous pouvez également ajouter directement l'objet ordinateur serveur IAS au groupe de sécurité RAS et serveurs IAS. ### Création et sécurisation des annuaires de données IAS Vous devez créer des annuaires de données sur les lecteurs des serveurs IAS pour le stockage des informations de configuration et des fichiers journaux. Pour créer et sécuriser les annuaires de données IAS, suivez les procédures ci-dessous à partir d'une invite de commande sur chacun des serveurs IAS. Vous pouvez également utiliser le script fourni pour automatiser cette étape. - **Pour créer et sécuriser les annuaires de données IAS** - Exécutez les commandes suivantes, en remplaçant W *OODGROVEBAN* K par le nom NetBIOS de votre domaine : **md D:\\IASConfig** **md D:\\IASLogs** **cacls D:\\IASConfig /G system:F administrators:F "Backup Operators":C** **cacls D:\\IASLogs /G system:F administrators:F "Backup Operators":C "W*OODGROVEBAN*K\\IAS Security Auditors":C** Partagez également l'annuaire D:\\IASLogs avec les auditeurs de sécurité IAS de façon à ce qu'ils puissent utiliser les données de journaux de requêtes RADIUS à distance. - **Pour partager l'annuaire de journaux IAS de façon sécurisée** - Exécutez la commande suivante, en remplaçant W *OODGROVEBAN* K par le nom NetBIOS de votre domaine : **net share IASLogs=D:\\IASLogs /GRANT:"W*OODGROVEBAN*K\\IAS Security Auditors",CHANGE** Un fichier de commandes facultatif contenant les commandes précédentes a été créé ; vous devez le modifier et saisir le nom NetBIOS correct devotre domaine. - **Pour modifier et exécuter le fichier de commandes pour la création, la sécurisation et le partage des annuaires de données IAS** 1. À l'aide du Bloc-notes, modifiez le fichier C:\\MSSScripts\\IAS\_Data.BAT, en remplaçant W *OODGROVEBAN* K par le nom NetBIOS de votre domaine. 2. À partir d'une invite de commande, exécutez la commande suivante pour lancer le fichier de commandes : **C:\\MSSScripts\\IAS\_Data.BAT** [](#mainsection)[Haut de page](#mainsection) ### Configuration du serveur IAS principal Vous devez sélectionner l'un des serveurs IAS de votre environnement comme votre serveur principal. Ce serveur sera configuré avant les autres serveurs de votre réseau, et servira de modèle pour le statut de configuration IAS. ### Configuration de l'enregistrement des requêtes d'authentification et de gestion de compte Par défaut, IAS n'enregistre pas les requêtes d'authentification et de gestion de compte RADIUS. Si possible, activez ces deux types de journaux de requêtes pour permettre un enregistrement de tous les événements de sécurité ; ainsi, vous aurez la possibilité de les étudier ultérieurement. En outre, il est possible que votre organisation demande l'utilisation des données de gestion de compte, à des fins de facturation. **Remarque :** l'enregistrement des requêtes RADIUS a un impact sur les performances du serveur, et des procédures spécifiques sont requises pour éviter que les journaux ne remplissent les lecteurs de données. Reportez-vous au module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du *guide de planification* pour plus d'informations sur la planification de la capacité, et consultez le module « Gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil » du *guide d'exploitation* pour connaître les procédures à suivre pour l'archivage et la suppression des fichiers journaux. - **Configurez l'enregistrement des requêtes d'authentification et de gestion de compte sur les serveurs IAS** 1. À l'aide du composant enfichable MMC Service d'authentification Internet, sélectionnez **Connexion par accès distant**, puis affichez les propriétés de la méthode d'enregistrement **Fichier local**. 2. Sélectionnez les requêtes de gestion de compte (par exemple, ouverture ou fermeture de compte) et les requêtes d'authentification (par exemple, accès accepté ou refusé). **Remarque :** ce guide n'exploite pas l'enregistrement des requêtes de statut périodiques. Néanmoins, vous pourrez avoir besoin de cet enregistrement pour suivre les informations de sessions réseau des utilisateurs. Pour plus d'informations à ce sujet, consultez le module « Conception d'une infrastructure RADIUS pour la sécurité d'un réseau local sans fil » du *guide de planification*. 3. Vérifiez que l'annuaire de fichiers journaux est configuré sur D:\\IASLogs et que le format **Compatible avec les bases de données** est sélectionné. L'utilisation du format **Compatible avec les bases de données** permet une importation directe dans des bases de données Microsoft Access et Microsoft SQL Server™ 2000, ce qui autorise ensuite un audit de sécurité à l'aide de requêtes et de rapports. ### Fichiers textes de configuration IAS Vous pouvez utiliser la commande **netsh** pour exporter des sections de la configuration IAS dans des fichiers texte. Les zones de configuration suivantes peuvent être exportées individuellement : - Paramètres du serveur - Configuration d'enregistrement des événements - Stratégies d'accès distant - Stratégies de requêtes de connexion - Clients RADIUS - Configuration complète Ces fichiers texte peuvent être utilisés pour transférer les paramètres de configuration courants sur des serveurs IAS multiples afin de garantir une configuration cohérente et un déploiement rapide. Les sections de configuration suivantes peuvent être communs aux serveurs ayant un rôle similaire : - Configuration du serveur - Paramètres d'enregistrement des événements - Stratégie d'accès distant - Stratégies de requêtes de connexion Configurez les éléments sus-cités sur le serveur IAS principal, puis utiliser la commande **netsh** pour exporter ces éléments dans des fichiers texte. Les fichiers texte peuvent ensuite être importés dans des serveurs IAS ayant un rôle similaire. Ainsi, les fichiers texte de configuration des paramètres de configuration communs seront synchronisés sur tous les serveurs. Chaque serveur IAS contient la configuration de clients RADIUS disposant d'informations de secrets partagés spécifiques à chaque serveur. Par conséquent, ces informations doivent être configurées et sauvegardées séparément sur chaque serveur. **Attention :** L'utilisation de **netsh** pour réaliser un vidage complet produit un fichier texte de configuration comportant des informations de secrets partagés RADIUS potentiellement sensibles. Ce guide donne la possibilité de déployer les paramètres et de réaliser des sauvegardes sans utiliser un vidage complet des paramètres IAS. Si vous choisissez d'utiliser des fichiers texte de configuration de vidage complet, traitez-les comme des informations susceptibles de permettre à des personnes non autorisées d'accéder à votre réseau. ### Exportation de la configuration du serveur IAS principal L'exportation de la configuration du serveur IAS principal est requise pour le transfert des paramètres sur les serveurs IAS complémentaires utilisés dans cette solution. Ces fichiers texte de sauvegarde seront utilisés ultérieurement dans ce module. Des fichiers de commandes peuvent être utilisés pour automatiser l'exportation des zones de configuration IAS communes pour la sauvegarde, et pour faciliter le déploiement des paramètres IAS sur des serveurs IAS ayant un rôle similaire. Lorsque vous créez des fichiers de commandes pour le déploiement des paramètres, incluez uniquement les paramètres portables sur les serveurs IAS : - Configuration du serveur - Paramètres d'enregistrement des événements - Stratégie d'accès distant - Stratégies de requêtes de connexion - **Pour exporter la configuration commune sur le serveur IAS principal** - À une invite, tapez la commande suivante : **C:\\MSSScripts\\IASExport.bat** Cette commande contient une série de commandes **netsh** exportant les informations de configuration communes dans des fichiers texte de configuration dans le répertoire D:\\IASConfig. [](#mainsection)[Haut de page](#mainsection) ### Configuration du serveur IAS secondaire IAS exploite la commande **netsh** pour copier le statut de configuration d'un serveur à un autre. Ceci permet d'accélérer le déploiement et de réduire les risques d'erreurs lors des déploiements sur plusieurs serveurs. Les fichiers texte d'état de configuration du serveur IAS principal créés précédemment sont à présent utilisés pour charger la configuration sur le serveur IAS secondaire. ### Chargement de la configuration de sauvegarde à partir du serveur principal Suivez la procédure ci-dessous pour charger les fichiers texte de configuration exportés à partir du serveur IAS principal sur les autres serveurs. - **Pour charger la configuration commune à partir du serveur IAS principal sur les autres serveurs IAS** 1. Copiez tous les fichiers de configuration du répertoire D:\\IASConfig du serveur IAS principal sur le répertoire D:\\IASConfig des autres serveurs IAS. 2. Utilisez le fichier de commandes ci-dessous pour charger la configuration à partir des fichiers texte de configuration du serveur IAS principal : **C:\\MSSScripts\\IASExport.bat** ### Configuration de serveurs IAS optionnels de succursales IAS exploite la commande **netsh** pour copier le statut de configuration d'un serveur à un autre. Ceci permet d'accélérer le déploiement et de réduire les risques d'erreurs lors des déploiements sur plusieurs serveurs. Les fichiers texte d'état de configuration du serveur IAS principal créés précédemment sont à présent utilisés pour charger la configuration sur les serveurs IAS de succursales. ### Chargement de la configuration de sauvegarde à partir du serveur principal Suivez la procédure ci-dessous pour charger les fichiers texte de configuration exportés à partir du serveur IAS principal sur les autres serveurs. - **Pour charger la configuration de sauvegarde à partir du serveur IAS principal sur les autres serveurs IAS** 1. Copiez tous les fichiers de configuration du répertoire D:\\IASConfig du serveur IAS principal sur le répertoire D:\\IASConfig des autres serveurs IAS. 2. Utilisez le fichier de commandes ci-dessous pour charger la configuration à partir des fichiers texte de configuration du serveur IAS principal : **C:\\MSSScripts\\IASExport.bat** [](#mainsection)[Haut de page](#mainsection) ### Résumé À ce stade, vous devez avoir : - installé et configuré un serveur IAS principal ; - installé et configuré un serveur IAS secondaire ; - installé et configuré un serveur IAS optionnel de succursale ; - configuré les groupes d'administration utilisés pour la gestion des serveurs IAS. Vous êtes à présent prêt à configurer les paramètres spécifiques au réseau local sans fil, couverts dans le module suivant, « Implémentation de la sécurité d'un réseau local sans fil à l'aide de 802.1X ». Consultez également les sections du module « Gestion de l'infrastructure RADIUS et de la sécurité du réseau local sans fil » du *guide d'exploitation* contenant des informations importantes vous permettant d'exécuter votre infrastructure RADIUS de façon sûre et fiable. [](#mainsection)[Haut de page](#mainsection) ### Informations complémentaires - Vous pouvez télécharger la dernière version de CAPICOM à l'adresse [http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=860EE43A-A843-462F-ABB5-FF88EA5896F6](http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=860ee43a-a843-462f-abb5-ff88ea5896f6). - Reportez-vous à « Managing Remote Access on a Per-group Basis Using Windows 2000 Remote Access Policies » à l'adresse