Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe

Présentation

Paru le 17/03/2005

Microsoft a parfaitement conscience que la sécurisation des réseaux constitue pour les grandes entreprises un défi de plus en plus complexe. Au fur et à mesure que les entreprises se développent et que les relations commerciales évoluent, le contrôle de l'accès physique à un réseau relève presque d'une mission impossible. Vos clients, fournisseurs et consultants peuvent avoir besoin, pour des raisons commerciales valables, de connecter leurs périphériques mobiles à votre réseau. L'apparition des technologies de réseau et de connexion sans fil a simplifié plus que jamais l'accès réseau. Cette connectivité améliorée signifie que les membres d'un réseau interne sont de plus en plus exposés aux risques non négligeables que constituent les autres ordinateurs de ce réseau interne, sans compter les brèches éventuelles dans le périmètre de sécurité.

Le concept d'isolation logique présenté dans ce guide englobe deux solutions : l'isolation de serveurs, pour qu'un serveur accepte uniquement les connexions réseau des membres du domaine approuvés ou d'un groupe spécifique de membres du domaine, et l'isolation de domaines, pour isoler les membres du domaine des connexions non approuvées. Ces solutions peuvent être utilisées séparément ou ensemble, dans le cadre d'une solution d'isolation logique globale.

L'isolation de serveurs et de domaines permet aux administrateurs du système informatique de restreindre les communications TCP/IP des membres du domaine identifiés comme ordinateurs approuvés. Les ordinateurs approuvés peuvent être configurés pour autoriser uniquement les connexions entrantes des autres ordinateurs approuvés ou d'un groupe spécifique d'ordinateurs approuvés. Pour contrôler les droits de connexion réseau, les contrôles d'accès sont gérés de façon centralisée par les stratégies de groupes de Microsoft® Active Directory®. La plupart des connexions TCP/IP peuvent être sécurisées sans avoir à modifier les applications. En effet, IPSec fonctionne au niveau de la couche réseau située sous la couche des applications, pour assurer une authentification et une sécurité par paquet, de bout en bout entre les ordinateurs. Le trafic réseau peut être authentifié, ou authentifié et chiffré, dans divers scénarios personnalisables.

Sur cette page

Avantages métier
À qui s'adresse ce guide

Avantages métier

Les avantages qui découlent de la mise en œuvre d'une couche d'isolation logique sont, entre autres, les suivants :

  • Sécurité renforcée. Une couche d'isolation logique offre une sécurité supplémentaire à tous les ordinateurs gérés du réseau.

  • Contrôle plus strict de l'accès à des informations spécifiques. Lorsque cette solution est mise en œuvre, les ordinateurs qui se connectent au réseau n'ont pas automatiquement accès à l'ensemble des ressources du réseau.

  • Coût moindre. L'implémentation de cette solution est bien moins onéreuse qu'une solution d'isolation physique.

  • Nombre d'ordinateurs gérés plus important. Si seuls les ordinateurs gérés ont accès au système d'informations d'une entreprise, tous les périphériques doivent devenir des systèmes gérés pour autoriser l'accès à leurs utilisateurs.

  • Niveaux de protection optimisés pour lutter contre les attaques des logiciels malveillants. La solution d'isolation réduit considérablement le risque qu'un ordinateur non approuvé accède à des ressources approuvées. Par conséquent, l'attaque d'un logiciel malveillant émanant d'un ordinateur non approuvé échoue car la connexion n'est pas autorisée, même si le pirate s'est procuré un nom d'utilisateur et un mot de passe valides.

  • Système de chiffrement des données réseau. Avec l'isolation logique, il est possible de demander le chiffrement de l'ensemble du trafic réseau entre des ordinateurs donnés.

  • Isolation d'urgence rapide. Cette solution offre, en cas d'attaque, un mécanisme permettant d'isoler rapidement et de façon efficace des ressources spécifiques du réseau.

  • Audit amélioré. Cette solution permet de consigner et d'auditer l'accès réseau par des ressources gérées.

À qui s'adresse ce guide

L'objectif de ce guide est de vous aider à mettre en place une solution d'isolation de serveurs et de domaines tout au long du cycle de vie informatique, de la phase initiale d'évaluation et d'approbation, au déploiement, au test et à la gestion de l'implémentation. Pour cette raison, les chapitres de ce guide ont été rédigés de façon à répondre aux besoins des différents lecteurs.

Le chapitre 1 est destiné principalement au décideur d'entreprise qui cherche à déterminer si l'implémentation d'une isolation de serveurs et de domaines est intéressante pour son organisation. Pour comprendre le contenu de ce chapitre, il n'est pas nécessaire d'avoir des connaissances techniques, outre les connaissances relatives aux activités de l'entreprise et à ses besoins en matière de sécurité.

Les chapitres de planification de ce guide (chapitres 2, 3 et 4) apporteront surtout une aide précieuse aux architectes et aux responsables informatiques chargés de mettre en place une solution personnalisée pour une entreprise. Pour exploiter au mieux ces chapitres, il est souhaitable de posséder de solides connaissances techniques concernant les technologies abordées et l'infrastructure actuelle de l'entreprise.

Le chapitre 5 et les annexes sont destinés au personnel de support chargé de créer les plans de déploiement de la solution de l'entreprise. Dans ce guide figurent également des recommandations relatives au déploiement réussi de la solution, ainsi que des étapes d'implémentation pratiques pour créer l'environnement du laboratoire de test.

Le chapitre 6 est destiné à servir de référence au personnel chargé du fonctionnement quotidien de la solution, lorsque cette dernière est implémentée et entièrement opérationnelle. Un certain nombre de processus et procédures de fonctionnement présentés dans ce chapitre doivent être intégrés dans la structure de fonctionnement de l'entreprise.

Le chapitre 7 contient des informations sur la résolution des problèmes liés au déploiement d'une isolation de serveurs et de domaines. Dans la mesure où IPSec affecte les communications réseau, les informations et techniques de dépannage de ce chapitre peuvent apporter une aide précieuse aux entreprises qui implémentent IPSec dans le cadre de cette solution.

Vos commentaires

Microsoft vous remercie de bien vouloir lui transmettre vos commentaires sur ce document, en particulier vos réponses aux questions suivantes :

  • Les informations fournies vous sont-elles utiles ?

  • Les procédures étape par étape sont-elles suffisamment précises ?

  • Les chapitres sont-ils compréhensibles et intéressants ?

  • De manière générale, que pensez-vous de cette solution ?

Envoyez vos commentaires à l'adresse suivante : SecWish@Microsoft.com


Télécharger la solution complète

Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe site en anglais

Télécharger le document

Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe


Afficher: