DirectAccess : un jeu de lego – (Partie 7/7 : Pour aller plus loin)
|
Vous trouverez ci-dessous le début de l’article, n’hésitez pas à télécharger la suite directement en format pdf
Sommaire de l'article
- Encore un peu plus ?
- Vérifier le bon fonctionnement de NAP
- Exploitation des logs en PowerShell
- Sécurisation du serveur UAG
- Problème de RPC
- UAG Best Practices Analyzer (UAGBPA)
- La haute disponibilité
- Gérer la défaillance
- Le NAP avancé
- Conclusion
>> Télécharger gratuitement l'intégralité de cet article <<
Encore un peu plus ?
Maintenant que vous avez lu ces articles et peut-être même mis en œuvre les étapes décrites, vous voilà presque expert :-) ! Sachez tout de même que les explications données ici sont prévues pour une maquette de présentation et non de la production. Certains aspects de sécurité ne sont pas abordés.
Vérifier le bon fonctionnement de NAP
Avec la version RTM, on disposait déjà d’un certain niveau d’intégration avec Network Access Protection. Cependant, il manquait un module de monitoring, module qui est disponible dans la Web Console d’UAG 2010 SP1. A noter que les informations relatives aux sessions DirectAccess et Network Access Protection sont consignées dans la base de données SQL Server d’UAG 2010 SP1. Coté client, la commande NAPSTAT.EXE permet d’afficher l’état de santé du poste de travail.
Coté serveur UAG, on peut localiser dans le journal d’évènement Système les autorisations et refus du HRA.
Plus simplement, on peut collecter et accéder à ces informations au travers de la Web Console d’UAG.
Il est donc plus facile de suivre ces évènements et les exporter vers Excel pour analyse ultérieure. Il est toujours intéressant de suivre les raisons des refus.
| Haut de page
Exploitation des logs en PowerShell
Le Snapin PowerShell pour le Monitoring existait déjà dans la version RTM. Subtilité de la version du SP1, celui-ci se base maintenant sur les informations relatives aux sessions IPsec enregistrées dans la base de données SQL Server de TMG et non plus uniquement sur les sessions journalisées dans le journal de sécurité. N’étant pas installé par défaut, le Snapin Powershell doit être préalablement installé.
Une fois installé, il ne reste plus qu’à importer le SnapIn UAGDAUserMonitoring dans une console PowerShell.
Le SnapIn ne propose que deux CommandLets : Get-DirectAccessServices et Get-DirectAccessUsers. Nouveauté du SP1, on peut maintenant avoir l’historique basé sur les négociations de tunnels IPsec machine et utilisateur.
| Haut de page
Sécurisation du serveur UAG
Depuis Windows 2003 SP1, le système d’exploitation dispose d’un module nommé Security Configuration Wizard. Celui-ci permet de sécuriser un système d’exploitation mis en œuvre dans un scénario donné. Toutes les équipes produits ont livré leur fichier XML de description de configuration, l’équipe UAG n’échappe pas à la règle, c’est disponible à l’adresse suivante : https://www.microsoft.com/downloads/en/details.aspx?FamilyID=120C81D5-B4D5-40C1-9213-20FE957C2B8F. Le processus de sécurisation va :
- Définir l’état des services et leur mode de démarrage
- Imposer la signature des communications SMB
- Imposer NTLMv2 pour la communication cotée client
- Positionner des permissions sur le système de fichiers NTFS et le registre
Les informations complémentaires concernant la sécurisation d’UAG 2010 sont disponibles à cette adresse : https://technet.microsoft.com/en-us/library/ee861146.aspx.
>> Télécharger gratuitement l'intégralité de cet article <<
| Haut de page