Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupe

Annexe C : Guide de mise en œuvre du laboratoire

Dernière mise à jour le 16-02-2005

Cette annexe donne des informations complètes permettant de créer l'infrastructure nécessaire à la prise en charge des groupes d'isolation utilisant IPSec. Ce guide présente l'installation et la configuration de Microsoft® Windows Server™ 2003, la préparation du service d'annuaire Active Directory® et la configuration de la stratégie IPSec.

Cette annexe fournit également les instructions d'implémentation utilisées pour déployer la stratégie IPSec de base du scénario de la Woodgrove Bank, présentée précédemment dans ce guide.

Cette annexe doit être utilisée en complément des autres chapitres de ce guide, qui expliquent le processus de conception et les raisons justifiant les décisions d'implémentation utilisées dans cette annexe. Cette annexe explique également les tâches et processus nécessaires à la création et à l'implémentation d'une infrastructure de stratégie IPSec de base. Si vous n'avez pas encore lu les chapitres précédents, nous vous conseillons vivement de le faire avant de poursuivre. Vous devez également prendre connaissance de la configuration requise pour la prise en charge, détaillée dans le chapitre 6, « Gestion d'un environnement d'isolation de serveurs et de domaines », et en comprendre les implications, avant d'implémenter les instructions de cette annexe.

Sur cette page

Conditions requises
Déploiement de la stratégie de base
Implémentation des stratégies IPSec
Utilisation de la méthode d'élaboration pour activer la stratégie IPSec de base
Outils et scripts des tests de fonctionnalité
Activation de la liste des filtres des sous-réseaux sécurisés de l'organisation sur les stratégies restantes
Activation de la configuration de groupes d'accès réseau
Activation du domaine d'isolation
Activation du groupe d'isolation Sans basculement
Activation du groupe d'isolation de chiffrement
Activation du groupe d'isolation Limite
Configuration du domaine d'isolation en tant que groupe d'isolation par défaut
Tests fonctionnels finaux – Tous les groupes d'isolation activés
Résumé

Conditions requises

Cette section contient des informations destinées à vous aider à vérifier que votre organisation est prête à implémenter la solution.

Connaissances requises

Vous devez maîtriser les concepts d'IPSec, de mise en réseau et d'architectures réseau. Une connaissance de base de Windows Server 2003 est également requise dans les domaines suivants :

  • Installation du système d'exploitation

  • Concepts relatifs à Active Directory (notamment la structure et les outils Active Directory), la manipulation des utilisateurs, des groupes et d'autres objets Active Directory, ainsi que l'utilisation d'une stratégie de groupe

  • Sécurité du système Windows (notamment des concepts de sécurité tels que les utilisateurs, les groupes, l'audit et les listes de contrôle d'accès), utilisation des modèles de sécurité et application des modèles de sécurité à l'aide de la stratégie de groupe ou des outils de ligne de commande

Avant de poursuivre la lecture de cette annexe, vous devez avoir lu les instructions de planification disponibles dans ce guide et vous devez bien comprendre l'architecture et la conception de la solution.

Conditions requises pour l'organisation

Vous devez consulter les membres de votre organisation qui peuvent être impliqués dans l'implémentation de cette solution, notamment :

  • les sponsors commerciaux ;

  • les personnes chargées de la sécurité et de l'audit ;

  • les ingénieurs et les personnes chargées de l'administration et de l'exploitation d'Active Directory ;

  • les ingénieurs et les personnes chargées de l'administration et de l'exploitation du réseau, du serveur Web et du DNS (Domain Name System).

Remarque : selon la structure de votre organisation informatique, ces postes peuvent être occupés par plusieurs personnes ou des personnes peuvent occuper plusieurs postes.

Configuration requise pour l'infrastructure informatique

Cette annexe suppose également que l'infrastructure informatique suivante est mise en place :

  • Un domaine Active Directory Windows Server 2003 fonctionnant en mode mixte ou natif. Cette solution utilise des groupes universels pour l'application des objets Stratégie de groupe (GPO). Si l'organisation n'est pas exécutée en mode mixte ou natif, il est possible d'appliquer l'objet GPO par le biais de configurations de groupes globaux et locaux standards. Comme cette option est plus difficile à gérer, elle n'a pas été retenue dans cette solution.

Remarque : Windows Server 2003 a introduit un certain nombre d'améliorations qui affectent les stratégies IPSec. Windows Server 2003 ne possède aucune caractéristique spécifique qui pourrait empêcher la solution de fonctionner correctement sous Windows 2000. Notez toutefois que cette solution n' a été testée qu'avec Active Directory Windows Server 2003. Pour plus d'informations sur les améliorations apportées à IPSec dans Windows Server 2003, reportez-vous à la page New features for IPSec site en anglais (nouvelles caractéristiques d'IPSec) du site Web de Microsoft, à l'adresse www.microsoft.com/resources/documentation/WindowsServ/ 2003/standard/proddocs/en-us/ipsec_whatsnew.asp.

  • Un matériel serveur adapté pour exécuter Windows Server 2003.

  • Des CD d'installation, des clés de produit et des licences Windows Server 2003 Standard Edition et Enterprise Edition.

Conditions requises pour une implémentation de base

Pour réussir le déploiement de la solution, un certain nombre d'éléments doivent être mis en place avant de réaliser les tâches présentées dans cette annexe.

Exigences matérielles

Avant de déployer l'infrastructure IPSec de base, assurez-vous que l'infrastructure actuelle est physiquement capable de prendre en charge l'implémentation d'IPSec. Le processus qui vous permet de déterminer cette capacité de prise en charge est présenté dans le chapitre 3 de ce guide « Détermination de l'état actuel de votre infrastructure informatique ».

Outils

Quatre outils essentiels peuvent vous permettre de configurer les stratégies IPSec et de les activer via des objets GPO Active Directory. Ces outils sont les suivants :

  • Netsh. Cet outil de ligne de commande est fourni avec Windows Server 2003. Il permet de configurer une stratégie locale sur un système Windows Server 2003 et une stratégie de domaine. Pour configurer les stratégies de domaine, cette solution utilise des scripts Netsh.

  • Console de gestion des stratégies de groupe (GPMC, Group Policy Management Console). Cet outil supplémentaire de gestion des stratégies de groupe simplifie l'administration des stratégies de groupe dans l'entreprise. Vous pouvez le télécharger à partir de la page Group Policy Management Console with Service Pack 1 site en anglais (Console de gestion des stratégies de groupe avec Service Pack 1) du Centre de téléchargement Microsoft à l'adresse www.microsoft.com/downloads/details.aspx?
    FamilyId=0A6D4C24-8CBD-4B35-9272-DD3CBFC81887&displaylang=en.

  • Console de gestion des stratégies de sécurité IP. Cet outil permet aux administrateurs de créer, d'afficher ou de modifier des actions de filtrage, des listes de filtres et des stratégies IPSec. Bien qu'il s'agisse d'un logiciel enfichable MMC (Microsoft Management Console), il n'apparaît pas dans la liste par défaut des Outils d'administration. Pour utiliser cet outil, exécutez mmc.exe à partir d'une invite de commande et installez le logiciel enfichable manuellement.

  • Console de gestion de surveillance de la sécurité IP. Cet outil permet à un administrateur d'afficher les différentes règles affectées à un ordinateur en plus des associations de sécurité (SA) en mode principal et en mode rapide qui lui sont associées. Tout comme la Console de gestion de la sécurité IP, cet outil n'apparaît pas par défaut dans le menu Outils d'administration et doit être chargé manuellement via le programme mmc.exe.

Il est recommandé d'installer ces outils sur les stations de travail des membres de l'équipe chargée de l'implémentation, de sorte qu'ils puissent avoir le temps de se familiariser avec les fonctions de chaque outil avant de commencer l'implémentation.

Déploiement de la stratégie de base

La Woodgrove Bank a choisi d'implémenter le déploiement de la solution en déplaçant tout d'abord tous les ordinateurs dans le groupe d'isolation Limite via la méthode d'élaboration. Cette approche a permis aux administrateurs d'avancer progressivement et de résoudre tous les problèmes non résolus sans affecter de façon significative la communication entre les ordinateurs. En déployant dans un premier temps une stratégie sans sous-réseau sécurisé, l'équipe administrative a pu identifier tous les ordinateurs auxquels était affectée une stratégie IPSec locale et tenir compte de ces informations. Alors que des sous-réseaux ont été ajoutés à la stratégie, tous les conflits supplémentaires détectés ont été résolus.

Une fois les ordinateurs placés sous le contrôle de la stratégie de groupe d'isolation Limite, l'équipe a pu implémenter les groupes d'isolation Standard, Clair sortant autorisé et Chiffrement. Ces groupes d'isolation ont été déployés en utilisant la méthode de « déploiement par groupe » présentée dans le chapitre 4 de ce guide : « Conception et planification de groupes d'isolation ». Un ensemble d'ordinateurs a été sélectionné pour un pilote et ajouté aux groupes appropriés contrôlant les nouvelles stratégies. Tous les problèmes ont été résolus et d'autres ordinateurs ont été ajoutés aux groupes jusqu'à ce que les groupes d'isolations soient complets.

Implémentation des stratégies IPSec

Dans une grande organisation, mettre en place la stratégie IPSec adéquate sur chaque ordinateur peut rapidement devenir complexe. Le mécanisme de stratégie disponible dans Active Directory simplifie considérablement ce processus. Les sections suivantes de cette annexe donnent les informations nécessaires à l'implémentation des stratégies IPSec.

Copie des scripts de configuration

Pour définir des stratégies IPSec, la première tâche consiste à copier les scripts de configuration requis dans le contrôleur de domaine qui sera utilisé pour leur stockage. Les scripts de configuration fournis avec la solution ont été utilisés pour configurer le laboratoire de la Woodgrove Bank. Dans le scénario de la Woodgrove Bank, les opérations suivantes ont été réalisées :

Pour copier des scripts de configuration

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Créez le dossier C:\IPSec Scripts.

  3. Copiez les scripts du dossier Tools and Templates de cette solution dans le dossier C:\IPSec Scripts.

Installation de la console GPMC

La console GPMC permet d'installer et de configurer les objets GPO qu'utilise la solution. La console GPMC doit être installée sur le serveur IPS-CH-DC-01. L'installation de la console sur d'autres serveurs est facultative.

Remarque : l'installation de la console GPMC modifie sensiblement l'interface utilisateur de la console MMC Utilisateurs et ordinateurs Active Directory de l'ordinateur sur lequel elle est installée. Pour plus d'informations sur l'utilisation de la console GPMC et pour télécharger le fichier d'installation, reportez-vous à la page Group Policy Management Console with Service Pack 1 site en anglais du Centre de téléchargement Microsoft à l'adresse www.microsoft.com/downloads/details.aspx? familyid=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&displaylang=en.

Pour installer la console GPMC

  1. Téléchargez le fichier d'installation Gpmc.msi à partir du Centre de téléchargement Microsoft.

  2. Assurez-vous que vous êtes connecté au serveur IPS-CH-DC-01 en tant que membre du groupe Administrateurs du domaine.

  3. Dans l'Explorateur Windows, double-cliquez sur le fichier d'installation Gpmc.msi.

  4. Pour installer la console GPMC, suivez les invites de l'Assistant d'installation. Acceptez tous les paramètres par défaut.

    Important : il est recommandé d'installer la console GPMC dans le dossier Program Files. Le lecteur sur lequel se trouve le dossier n'a pas d'importance. Il est également recommandé d'utiliser le dossier d'installation par défaut (GPMC) du dossier Program Files. Si vous modifiez le nom du dossier, vous devez mettre à jour son nom dans le fichier Constants.txt. Certaines procédures ultérieures utilisent des outils installés par la console GPMC. Par conséquent, si vous avez installé la console à un emplacement différent, les procédures ne pourront localiser les outils GPMC que si ce fichier est mis à jour.

Implémentation des actions de filtrage et des listes de filtres IPSec

Pour créer des actions de filtrage et des listes de filtres IPSec, utilisez l'outil Netsh ou le composant logiciel enfichable MMC Stratégies de sécurité IP.

Bien que le composant logiciel enfichable MMC Stratégies de sécurité IP soit doté d'une interface graphique pour IPSec, de nombreux administrateurs pensent qu'il est plus simple de gérer et de mettre à jour des scripts qui utilisent l'outil de ligne de commande Netsh. En outre, les scripts peuvent être facilement migrés sur plusieurs domaines ou forêts. Dans cette solution, les scripts Netsh ont été utilisés pour implémenter des actions de filtrage et des listes de filtres IPSec.

Remarque : testez vos scripts par rapport aux banques de stratégies locales sur un ordinateur qui exécute Windows Server 2003 en définissant les banques sur « local ». Une fois les scripts débogués, modifiez la configuration de la banque pour qu'elle porte sur le domaine pour l'importation finale.

Pour créer des actions de filtrage et des listes de filtres IPSec

  1. Ouvrez une session sur le domaine IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Ouvrez une invite de commande et tapez :
    netsh –f "c:\IPSec Scripts\PacketFilters.txt", puis appuyez sur ENTRÉE.

Remarque : si des listes de filtres vides sont créées via le script, le message d'erreur suivant s'affiche à la ligne de commande : ERR IPSec [05022]: Aucun filtre dans la liste de filtres nommée "<Nom de la liste de filtres>." Ce message peut être ignoré.

  1. Lancez le composant logiciel enfichable MMC Stratégies de sécurité IP et confirmez que les actions de filtrage et listes de filtres ont été créées dans Active Directory.

Remarque : pour faire un test par rapport à la stratégie locale, assurez-vous que le script exécuté à l'étape 2 est configuré avec set store location=local. À l'étape 3, assurez-vous que le composant logiciel enfichable MMC porte sur l'ordinateur local et non sur le domaine.

Implémentation de stratégies IPSec

Une fois les actions de filtrage et listes de filtres créées, les scripts qui créent les stratégies IPSec peuvent être exécutés.

Remarque : pour les besoins du test, les stratégies créées par les scripts sont configurées avec un intervalle de sondage de 5 min.

Le tableau suivant répertorie le nom des stratégies et les fichiers de script qui créent les stratégies. Le nom du fichier de script sera utilisé à l'étape 2 de la procédure suivante.

Tableau C.1 : Correspondances entre les stratégies IPSec et les fichiers de script

Nom de la stratégie IPSec

Nom du fichier de script

IPSEC –  Boundary Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de limite)

BoundaryIGPolicy.txt

IPSEC – No Fallback Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation sans basculement)

NoFallbackIGPolicy.txt

IPSEC – Isolation Domain IPSec Policy (1.0.041001.1600) (Stratégie IPSec de domaine d'isolation)

IsolationDomainPolicy.txt

IPSEC – Encryption Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de chiffrement)

EncryptionIGPolicy.txt

Pour créer les stratégies IPSec

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Ouvrez une invite de commande. Pour chaque stratégie, tapez

    netsh –f "c:\IPSec Scripts\<Script Filename>" 
    and then press ENTER.
    

Remarque : lorsqu'une liste de filtres est vide, Netsh affiche un message d'erreur commençant par « ERR IPSec [05022]... ». Ce message peut être ignoré.

  1. Lancez le composant logiciel enfichable MMC Stratégies de sécurité IP et confirmez que les stratégies de sécurité ont été créées dans Active Directory.

Remarque : pour faire un test par rapport à la stratégie locale, assurez-vous que le script exécuté à l'étape 2 est configuré avec set store location=local. À l'étape 3, assurez-vous que le composant logiciel enfichable MMC porte sur l'ordinateur local et non sur le domaine.

Création d'objets GPO pour les stratégies de groupe

La Woodgrove Bank a créé quatre objets GPO pour fournir des stratégies IPSec. Chacun de ces objets GPO a été nommé après la stratégie IPSec à laquelle il est assigné dans l'objet GPO. Tant que les stratégies sont liées dans Active Directory, ces objets GPO ne fournissent pas de stratégie IPSec à l'environnement.

Le tableau suivant répertorie tous les noms d'objets GPO et les noms des stratégies IPSec fournies par ces objets GPO.

Tableau C.2 : Correspondances entre les objets GPO de la Woodgrove Bank et les stratégies IPSec

Nom de l’objet Stratégie de groupe

Nom de la stratégie IPSec

IPSEC – Stratégie de groupe d'isolation Limite

IPSEC –  Boundary Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de limite)

IPSEC – No Fallback Isolation Group Policy (Stratégie de groupe d'isolation sans basculement)

IPSEC – No Fallback Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation sans basculement)

IPSEC – Isolation Domain Policy (Stratégie de domaine d'isolation)

IPSEC – Isolation Domain IPSec Policy (1.0.041001.1600) (Stratégie IPSec de domaine d'isolation)

IPSEC – Encryption Isolation Group Policy (Stratégie de groupe d'isolation de chiffrement)

IPSEC – Encryption Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de chiffrement)

Pour créer les objets GPO pour les stratégies IPSec

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez la console GPMC.

  3. Développez Forest: corp.woodgrovebank.com, le domaine, puis americas.corp.woodgrovebank.com.

  4. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

  5. Dans la zone de texte Nom, tapez <Nom d'objet de stratégie de groupe>, puis cliquez sur OK.

  6. Cliquez avec le bouton droit de la souris sur <nom de l'objet GPO>, puis cliquez sur Modifier.

  7. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, puis cliquez sur Stratégies de sécurité IP sur Active Directory (corp.woodgrovebank.com).

  8. Dans le volet de droite, cliquez avec le bouton droit de la souris sur <nom de la stratégie IPSec>, puis cliquez sur Attribuer.

  9. Assurez-vous que la stratégie <nom de la stratégie IPSec> est attribuée, puis fermez l'éditeur d'objets GPO.

  10. Reprenez les étapes 4 à 9 pour chaque combinaison <nom de l'objet GPO> / <nom de la stratégie IPSec> du tableau précédent.

Configuration de la sécurité sur les stratégies de groupe IPSec

Pour contrôler l'application des stratégies, la Woodgrove Bank a utilisé les listes de contrôle d'accès sur les objets GPO contenant les stratégies IPSec. Le principal avantage est que les stratégies ont pu être liées au niveau du domaine et non via plusieurs unités d'organisation (UO). Cela a grandement facilité la gestion de l'application des stratégies. En outre, un déploiement progressif a été implémenté sans déplacer les comptes d'ordinateur vers des unités d'organisation spéciales. Au lieu de cela, les comptes d'ordinateur qui ont participé au test expérimental ont été ajoutés aux groupes appropriés. L'inconvénient est que l'organisation doit posséder des outils de gestion des groupes particulièrement efficaces.

Création de groupes

Un ensemble de groupes a été créé pour contrôler l'application de la stratégie dans l'organisation de la Woodgrove Bank. Comme la forêt de la Woodgrove Bank était en mode natif, des groupes universels ont été utilisés pour contrôler la stratégie dans tous les domaines.

Tableau C.3 : Groupes universels de la Woodgrove Bank

Nom de groupe

Description

CG_NoIPSec_computers

Groupe universel constitué de comptes d'ordinateur ne participant pas à l'environnement IPSec. Il s'agit en général de comptes d'ordinateur d'infrastructure.

CG_BoundaryIG_computers

Groupe universel constitué de comptes d'ordinateur autorisés à communiquer avec des ordinateurs non approuvés.

CG_ EncryptionIG_computers

Groupe universel constitué de comptes d'ordinateur se trouvant dans le groupe d'isolation de chiffrement.

CG_ IsolationDomain_computers

Groupe universel constitué de comptes d'ordinateur faisant partie du domaine d'isolation.

CG_NoFallbackIG_computers

Groupe universel constitué de comptes d'ordinateur faisant partie du groupe d'isolation sans basculement.

Pour créer les groupes universels de la Woodgrove Bank

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01.

  2. Cliquez sur le conteneur Utilisateurs avec le bouton droit de la souris, cliquez sur Nouveau, puis sur Groupe.

  3. Dans la zone de texte Nom de groupe, tapez le premier <nom de groupe> du tableau précédent.

  4. Sélectionnez Groupe de sécurité universel, puis cliquez sur OK.

  5. Reprenez les étapes 2 à 4 pour chaque groupe.

  6. Cliquez avec le bouton droit de la souris sur <nom de groupe>, puis cliquez sur Propriétés.

  7. Dans la zone de texte Description, tapez la première <Description> du tableau précédent.

  8. Cliquez sur OK.

  9. Reprenez les étapes 6 à 8 pour chacun des groupes répertoriés dans le tableau précédent.

Configuration de la sécurité d'objets GPO

Les groupes sont utilisés pour contrôler les stratégies qui doivent être appliquées aux différents ordinateurs dans le cadre de leur participation à IPSec. Les listes de contrôle d'accès de sécurité doivent être configurées sur chaque nouvelle stratégie IPSec pour que les groupes appropriés soient également configurés. Le tableau suivant présente les listes de contrôle d'accès à ajouter à chaque objet GPO.

Remarque : si une organisation délègue des droits d'administration à une personne n'appartenant pas au groupe Admins du domaine pour gérer des stratégies IPSec, le groupe d'administration délégué doit bénéficier du Contrôle total sur le conteneur de sécurité IP dans Active Directory.

Table C.4: Autorisations des groupes de stratégies Woodgrove Bank

Nom de l’objet Stratégie de groupe

Nom du groupe ou du compte

Autorisations attribuées

IPSEC - Stratégie de groupe d'isolation Limite

CG_NoIPSec_computers

Refuser Appliquer la stratégie de groupe

 

CG_BoundaryIG_computers

Autoriser Lecture et Appliquer la stratégie de groupe

IPSEC – No Fallback Isolation Group Policy (Stratégie de groupe d'isolation sans basculement)

CG_NoIPSec_computers

Refuser Appliquer la stratégie de groupe

 

CG_NoFallbackIG_computers

Autoriser Lecture et Appliquer la stratégie de groupe

IPSEC – Isolation Domain Policy (Stratégie de domaine d'isolation)

CG_NoIPSec_computers

Refuser Appliquer la stratégie de groupe

IPSEC – Isolation Domain Policy (Stratégie de domaine d'isolation)

CG_ IsolationDomain_computers

Autoriser Lecture et Appliquer la stratégie de groupe

IPSEC – Encryption Isolation Group Policy (Stratégie de groupe d'isolation de chiffrement)

CG_NoIPSec_computers

Refuser Appliquer la stratégie de groupe

 

CG_ EncryptionIG_computers

Autoriser Lecture et Appliquer la stratégie de groupe

Remarque : la stratégie de groupe d'isolation Limite est configurée pour autoriser le groupe Ordinateurs du domaine à appliquer la stratégie pour le processus d'élaboration initial en plaçant le groupe Ordinateurs du domaine dans le groupe CG_BoundaryIG_computers. Une fois tous les ordinateurs placés dans leurs groupes respectifs, les ordinateurs du domaine sont retirés du groupe CG_BoundaryIG_computers.

Pour définir les autorisations de groupe sur l'objet GPO

  1. Lancez la console GPMC sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez Forest: corp.woodgrovebank.com, le domaine, americas.corp.woodgrovebank.com, puis Objets de stratégie de groupe.

  3. Cliquez sur le premier <nom de l'objet GPO> du tableau précédent, puis cliquez sur l'onglet Délégation.

  4. Cliquez sur le bouton Avancé.

  5. Dans la liste déroulante Nom de groupe ou d'utilisateur, cliquez sur Utilisateurs authentifiés et désactivez la case à cocher Appliquer la stratégie de groupe droit Autoriser.

  6. Cliquez sur le bouton Ajouter.

  7. Dans la zone de texte Entrez les noms des objets à sélectionner, entrez chaque <nom du groupe ou du compte> du tableau précédent, séparez-les par des points-virgules, puis cliquez sur OK.

  8. Dans la zone de texte Noms d'utilisateurs ou de groupes, sélectionnez <nom du groupe ou du compte>, puis définissez les <Droits attribués> dans les cases à cocher Autorisations.

  9. Reprenez l'étape 8 pour chaque <nom du groupe ou du compte> associé au <nom de la stratégie>.

  10. Cliquez sur OK.

  11. Si le droit affecté est Refuser, cliquez sur Oui lorsque le message s'affiche, sinon passez à l'étape 12.

  12. Reprenez les étapes 3 à 11 pour chaque <nom de la stratégie>.

Remarque : assurez-vous que l'entrée pour Utilisateurs authentifiés bénéficie uniquement des autorisations Lire dans la liste de contrôle d'accès de sécurité pour chaque stratégie. Si des autorisations Appliquer sont également accordées, la stratégie est déployée sur tous les ordinateurs.

Empêcher les ordinateurs du groupe d'isolation Limite d'établir une connexion avec les ordinateurs du groupe d'isolation de chiffrement

La Woodgrove Bank avait besoin d'empêcher les ordinateurs du groupe d'isolation Limite d'établir des communications avec les ordinateurs du groupe d'isolation de chiffrement. Pour implémenter cette restriction, un groupe appelé DNAG_EncryptionIG_computers a été créé pour interdire à ses membres l'accès aux ordinateurs du groupe d'isolation de chiffrement. La stratégie de groupe d'isolation de chiffrement a été configurée de sorte que le groupe DNAG_EncryptionIG_computers bénéficie du droit « Refuser l'accès à cet ordinateur à partir du réseau » et le groupe CG_BoundaryIG_computers a été placé dans le groupe DNAG_EncryptionIG_computers. Cette configuration a été mise en place en modifiant l'objet GPO IPSEC – Stratégie de groupe d'isolation de chiffrement.

Pour créer le groupe DNAG_EncryptionIG_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01.

  2. Cliquez sur le conteneur Utilisateurs avec le bouton droit de la souris, cliquez sur Nouveau, puis sur Groupe.

  3. Dans la zone de texte Nom de groupe, tapez DNAG_EncryptionIG_computers.

  4. Sélectionnez le groupe de sécurité Domaine local et cliquez sur OK.

  5. Cliquez avec le bouton droit de la souris sur DNAG_EncryptionIG_computers, puis cliquez sur Propriétés.

  6. Dans la zone de texte Description, tapez Pour refuser l'accès au groupe d'isolation de chiffrement.

  7. Cliquez sur OK.

Pour configurer IPSEC – Stratégie de groupe d'isolation de chiffrement de façon à bloquer les membres du groupe DNAG_EncryptionIG_computers

  1. Lancez la console GPMC sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez Forest: corp.woodgrovebank.com, le domaine, americas.corp.woodgrovebank.com, puis Objets de stratégie de groupe.

  3. Cliquez avec le bouton droit de la souris sur IPSEC – Stratégie du groupe d'isolation de chiffrement et cliquez sur Modifier.

  4. Développez Configuration ordinateur, Paramètres Windows, Paramètres de sécurité, Stratégies locales, puis Attribution des droits utilisateur.

  5. Cliquez avec le bouton droit de la souris sur Refuser l'accès à cet ordinateur à partir du réseau et cliquez sur Propriétés.

  6. Activez la case à cocher Définir ces paramètres de stratégie.

  7. Cliquez sur le bouton Ajouter un utilisateur ou un groupe.

  8. Cliquez sur le bouton Parcourir.

  9. Dans la zone de texte, tapez DNAG_EncryptionIG_computers et cliquez sur OK.

  10. Cliquez de nouveau sur OK.

  11. Cliquez sur OK pour fermer la page Propriétés.

  12. Fermez l'Éditeur de stratégie de groupe.

  13. Fermez la console GPMC.

Pour remplir le groupe DNAG_EncryptionIG_computers avec le groupe CG_BoundaryIG_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet de droite, cliquez avec le bouton droit de la souris sur le groupe de sécurité DNAG_EncryptionIG_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez CG_BoundaryIG_computers et cliquez sur OK.

  6. Cliquez sur OK.

Ajout du groupe Ordinateurs du domaine au groupe Limite

Pour le tout premier déploiement, le groupe d'isolation Limite est le groupe d'isolation par défaut pour les clients utilisant IPSec dans l'entreprise. Pour implémenter ce plan, le groupe Ordinateurs du domaine est ajouté au groupe CG_BoundaryIG_computers.

Pour ajouter des ordinateurs du domaine au groupe CG_BoundaryIG_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet de droite, cliquez avec le bouton droit de la souris sur le groupe de sécurité CG_BoundaryIG_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez Ordinateurs du domaine et cliquez sur OK.

  6. Cliquez de nouveau sur OK.

Remarque : en raison des retards de réplication et de la fréquence d'interrogation des stratégies IPSec, il y a un décalage entre le moment où le groupe Ordinateurs du domaine est ajouté au groupe CG_BoundaryIG_computers et le moment où la stratégie de groupe d'isolation Limite est appliquée. Si la stratégie IPSec doit être appliquée immédiatement, il est possible de redémarrer l'ordinateur à ce stade. Sinon, la stratégie est appliquée lorsque le ticket de session arrive à expiration et qu'il est actualisé avec les nouvelles informations d'appartenance au groupe local.

Ajout des serveurs d'infrastructure au groupe CG_NoIPSec_Computers

Pour s'assurer que les serveurs d'infrastructure ne reçoivent pas de stratégie susceptible d'interrompre la communication (si, par exemple, l'adresse IP d'un serveur change), les comptes d'ordinateur du serveur d'infrastructure suivants ont été ajoutés au groupe de sécurité CG_NoIPSec_computers :

  • IPS-RT-DC-01

  • IPS-CH-DC-01

Pour ajouter des serveurs d'infrastructure au groupe CG_NoIPSec_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet de droite, cliquez avec le bouton droit de la souris sur le groupe de sécurité CG_NoIPSec_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Cliquez sur le bouton Types d'objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  6. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez le nom de chaque ordinateur répertorié dans la liste précédente, séparez-les par des points-virgules, puis cliquez sur OK.

  7. Cliquez de nouveau sur OK.

Établissement de liaisons entre les stratégies IPSec et les objets GPO dans un environnement de domaine

Avant de pouvoir être distribuées, les stratégies IPSec doivent être liées à des emplacements au sein de l'environnement de domaine. Comme la Woodgrove Bank a choisi d'administrer les objets GPO par le biais de groupes de sécurité, la structure d'UO n'est pas primordiale dans la distribution des stratégies. Si des UO bloquent l'application de la stratégie, liez directement les objets GPO IPSec aux UO pour que l'application de la stratégie fonctionne. Vous pouvez également activer l'application de la stratégie sur les objets GPO de la stratégie IPSec du domaine.

Pour lier les stratégies IPSec aux objets GPO existants

  1. Lancez la console GPMC en tant qu'administrateur de domaine.

  2. Développez le domaine.

  3. Cliquez avec le bouton droit de la souris sur le nom du domaine, puis cliquez sur Lier un objet de stratégie de groupe existant.

  4. Dans la liste Objets de stratégie de groupe, sélectionnez toutes les stratégies dont le nom mentionne IPSEC, puis cliquez sur OK.

  5. Dans le volet de droite, utilisez les touches de direction pour ordonner les stratégies comme dans le tableau ci-après.

    Tableau C.5 : Ordre des liens des objets de stratégie de groupe au niveau du domaine

    Ordre des liens

    Nom de l'objet de stratégie de groupe

    1

    IPSEC – Encryption Isolation Group Policy (Stratégie de groupe d'isolation de chiffrement)

    2

    IPSEC – No Fallback Isolation Group Policy (Stratégie de groupe d'isolation sans basculement)

    3

    IPSEC – Isolation Domain Policy (Stratégie de domaine d'isolation)

    4

    IPSEC – Stratégie de groupe d'isolation Limite

    5

    Stratégie de domaine par défaut

Utilisation de la méthode d'élaboration pour activer la stratégie IPSec de base

Lors du déploiement de l'infrastructure IPSec, la première tâche consiste à déployer la stratégie de groupe d'isolation Limite en utilisant la méthode de déploiement d'élaboration de stratégie. Le groupe d'isolation Limite n'est pas destiné à servir de domaine d'isolation pour tous les ordinateurs situés dans l'environnement de la Woodgrove Bank, mais il est configuré pour être appliqué à tous les ordinateurs lors de la première étape du déploiement.

Comme la stratégie de groupe d'isolation Limite autorise et accepte les communications non-IPSec, elle a été considérée comme la stratégie la plus sûre à déployer progressivement dans l'environnement. La stratégie a tout d'abord été déployée sans qu'aucun sous-réseau sécurisé ne soit défini. Cela a permis aux administrateurs de la Woodgrove Bank de corriger les stratégies IPSec locales existantes. Les sous-réseaux sont ensuite ajoutés un par un, puis testés pour s'assurer que la négociation IPSec s'est déroulée correctement.

Ajout de sous-réseaux à la liste de filtres des sous-réseaux sécurisés

Une fois la stratégie de groupe d'isolation Limite appliquée aux ordinateurs de l'organisation et les conflits avec les stratégies IPSec locales existantes résolus, les administrateurs de la Woodgrove Bank ont pu commencer à élaborer la stratégie.

L'élaboration de la stratégie consiste à identifier les sous-réseaux de l'organisation à sécuriser. Les sous-réseaux identifiés ont été ajoutés un par un à la stratégie. Une fois la première entrée ajoutée à la liste de filtres, cette dernière est ajoutée à la stratégie.

Une fois tous les sous-réseaux ajoutés, la Woodgrove Bank a attendu que la stratégie s'applique aux ordinateurs de l'organisation et a résolu les conflits éventuels. Ce processus a été répété jusqu'à ce que la liste de filtres des sous-réseaux sécurisés soit entièrement déployée.

Le tableau suivant répertorie les sous-réseaux sécurisés identifiés utilisés dans le laboratoire de la Woodgrove Bank, pour représenter au mieux son réseau de production :

Tableau C.6 : Liste des sous-réseaux sécurisés pour le laboratoire de test de la Woodgrove Bank

Sous-réseau

Masque réseau

Description

192.168.1.0

255.255.255.0

Sous-réseau LAN de l'organisation 192.168.1.0/24

172.10.1.0

255.255.255.0

Sous-réseau LAN de l'organisation 172.10.1.0/24

Pour créer la première entrée dans la liste de filtres des sous-réseaux sécurisés

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Stratégies de sécurité IP.

  3. Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IP sur Active Directory, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.

  4. Sous l'onglet Gestion de listes de filtres IP, cliquez sur IPSEC – Organization Secure Subnets (Sous-réseaux sécurisés de l'organisation), puis sur Modifier.

  5. Vérifiez que la case à cocher Utiliser l'Assistant Ajout est désactivée.

  6. Cliquez sur Ajouter.

  7. Sous l'onglet Adresses, dans la liste déroulante Adresse source, cliquez sur Toute adresse IP.

  8. Dans la liste déroulante Adresse de destination, cliquez sur Un sous-réseau IP spécifique, puis renseignez les zones Adresse IP et Masque de sous-réseau en utilisant les informations du tableau précédent.

  9. Vérifiez que l'option En miroir est activée.

  10. Sous l'onglet Description, tapez la description correspondante en utilisant les informations du tableau précédent.

  11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés des filtres IP.

  12. Cliquez sur OK pour fermer la boîte de dialogue Liste de filtres IP.

  13. Cliquez sur Fermer pour fermer la boîte de dialogue Gérer les listes de filtres d'adresses IP et les actions de filtrage.

Pour ajouter la liste de filtres du sous-réseau sécurisé à la stratégie de groupe d'isolation Limite

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Stratégies de sécurité IP.

  3. Cliquez avec le bouton droit de la souris sur IPSEC – Boundary Isolation Group IPSec Policy (1.0.041001.1600) (stratégie IPSec de groupe d'isolation de limite (1.0.041001.1600)), puis cliquez sur Propriétés.

  4. Sous l'onglet Règles, assurez-vous que la case à cocher Utiliser l'Assistant Ajout est désactivée, puis cliquez sur Ajouter.

  5. Sous l'onglet Liste de filtres IP, cliquez sur IPSEC –Organization Secure Subnets (IPSEC –Sous-réseaux sécurisés de l'organisation).

  6. Sous l'onglet Action du filtre, cliquez sur IPSEC – Request Mode (Accept Inbound, Allow Outbound) (IPSEC – Mode de requête (Accepter le trafic entrant, Autoriser le trafic sortant)).

  7. Sous l'onglet Type de connexion, assurez-vous que la case à cocher Toutes les connexions réseau est activée.

  8. Sous l'onglet Paramètres du tunnel, assurez-vous que la case à cocher Cette règle ne spécifie aucun tunnel IPSec est activée.

  9. Sous l'onglet Méthodes d'authentification, assurez-vous que seule la méthode Kerberos est affichée.

  10. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de la règle.

  11. Cliquez sur OK pour fermer la boîte de dialogue IPSEC – Boundary isolation group IPSec Policy (1.0.041001.1600) Properties (Propriétés de la stratégie IPSec de groupe d'isolation de limite (1.0.041001.1600)).

  12. Autorisez l'application de la stratégie, puis suivez la procédure de vérification présentée dans la section « Vérification du déploiement de base », plus loin dans cette annexe.

Pour ajouter les sous-réseaux restants à la liste de filtres des sous-réseaux sécurisés

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Stratégies de sécurité IP.

  3. Cliquez avec le bouton droit de la souris sur Stratégies de sécurité IP sur Active Directory, puis cliquez sur Gérer les listes de filtres IP et les actions de filtrage.

  4. Sous l'onglet Gérer les listes de filtres IP et les actions de filtrage, cliquez sur IPSEC – Organization Secure Networks (Réseaux sécurisés de l'organisation), puis sur Modifier.

  5. Vérifiez que la case à cocher Utiliser l'Assistant Ajout est désactivée.

  6. Cliquez sur Ajouter.

  7. Sous l'onglet Adresses, dans la liste déroulante Adresse source, cliquez sur Toute adresse IP.

  8. Dans la liste déroulante Adresse de destination, cliquez sur Un sous-réseau IP spécifique, puis renseignez les zones Adresse IP et Masque de sous-réseau en utilisant les informations du tableau précédent.

  9. Vérifiez que l'option En miroir est activée.

  10. Sous l'onglet Description, tapez la description correspondante en utilisant les informations du tableau précédent.

  11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés des filtres IP.

  12. Cliquez sur OK pour fermer la boîte de dialogue Liste de filtres IP.

  13. Cliquez sur Fermer pour fermer la boîte de dialogue Gérer les listes de filtres d'adresses IP et les actions de filtrage.

  14. Autorisez l'application de la stratégie, puis suivez la procédure de vérification présentée dans la section « Vérification du déploiement de base », plus loin dans cette annexe.

  15. Reprenez les étapes 2 à 14 pour chaque sous-réseau.

Vérification du déploiement de base

Une fois les objets de stratégie créés et déployés dans Active Directory dans un état d'inactivité, suivez une procédure de vérification avant de configurer la stratégie de base pour appliquer le groupe d'isolation de base à tous les ordinateurs de l'organisation. La vérification peut contribuer à réduire le risque d'interruption éventuelle des hôtes participants, en cas d'erreur dans la configuration de base.

Tests d'implémentation fonctionnels

Le test le plus simple à réaliser pour contrôler le fonctionnement d'IPSec consiste à exécuter les commandes net view sur des ordinateurs situés dans le réseau sécurisé de l'organisation et sur des ordinateurs n'appartenant pas aux sous-réseaux répertoriés dans le réseau sécurisé de l'organisation.

Les ordinateurs appartenant à un sous-réseau sécurisé doivent négocier une SA matérielle, visible dans le composant logiciel enfichable MMC Moniteur de sécurité IP. Une SA logicielle doit être créée entre un participant IPSec et un ordinateur n'appartenant pas à un sous-réseau répertorié dans le réseau sécurisé de l'organisation.

Pour tester le fonctionnement des stratégies IPSec appliquées

  1. À partir d'un ordinateur du sous-réseau sécurisé, ouvrez une invite de commande, tapez
    net view \\<nom de l'ordinateur> et appuyez sur ENTRÉE. Pour <nom de l'ordinateur>, utilisez à la fois les noms d'autres ordinateurs de sous-réseau sécurisé et d'ordinateurs ne se trouvant pas dans des sous-réseaux sécurisés.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP sur l'ordinateur ayant initié les commandes net view.

  3. Développez Moniteur de sécurité IP, <nom de l'ordinateur>, Mode rapide, puis cliquez sur Associations de sécurité.

  4. Pour chaque ordinateur pour lequel une commande net view a été initiée, confirmez les éléments suivants :

    • Les participants du réseau d'organisation sécurisé ont négocié une SA matérielle. La colonne Intégrité ESP ne doit pas être définie sur <Aucun(e)>.

    • Les non-participants ont négocié une SA logicielle. La colonne Intégrité ESP doit être définie sur <Aucun(e)>.

Outils et scripts des tests de fonctionnalité

Un certain nombre de paramètres de configuration doivent être surveillés durant les tests de fonctionnalité. Bien que la plupart de ces paramètres puissent être supervisés à l'aide d'outils standards, deux tâches exigent des outils qu'un administrateur standard peut ne pas bien connaître. Ces tâches impliquent l'identification de la stratégie IPSec active sur l'ordinateur et la détermination du type de SA négociée.

Vérification de l'application de stratégie IPSec

La détermination de la stratégie IPSec active sur un ordinateur constitue un défi car il n'existe aucune méthode cohérente fonctionnant d'une plate-forme à l'autre. Dans certains cas, vous pouvez identifier la stratégie IPSec par l'intermédiaire de l'interface utilisateur graphique (GUI), tandis que d'autres situations exigent un outil de ligne de commande pouvant ou non être installé avec le système d'exploitation.

Windows 2000

Pour les ordinateurs sous Windows 2000 Server, l'administrateur peut identifier la stratégie IPSec en cours d'application à l'aide de la commande Netdiag. Pour récupérer le nom et les informations de la stratégie, l'administrateur se connecte sur l'ordinateur, lance une invite de commande et tape la commande suivante :

Netdiag /test:IPSec

Voici un exemple de résultat généré par cette commande :

IP Security test . . . . . . . . . : Passed
    Directory IPSec Policy Active: ' IPSEC – Isolation 
Domain IPSec Policy (1.0.041001.1600)'
Windows XP

Pour les ordinateurs sous Windows XP, l'administrateur peut identifier la stratégie IPSec en cours d'application à l'aide de l'outil de ligne de commande IPSeccmd.exe. Pour récupérer le nom et les informations de la stratégie, l'administrateur se connecte sur l'ordinateur, lance une invite de commande et tape la commande suivante :

IPSeccmd show gpo

Voici un exemple de résultat généré par cette commande :

Active Directory Policy
-----------------------
     Directory Policy Name: IPSEC – Isolation Domain IPSec 
Policy (1.0.041001.1600)
     Description: Isolation Domain Policy (Allow Outbound) 
     Last Change: Fri Sep 03 15:20:29 2004
     Group Policy Object: IPSEC – Isolation Domain Policy
     Organizational Unit: 
LDAP://DC=americas,DC=woodgrovebank,DC=com
     Policy Path: LDAP://CN=IPSecPolicy{efa2185d-1a1d-40f6-
b977-314f152643ca},CN=IP
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Windows Server 2003

Pour les ordinateurs sous Windows Server 2003, l'administrateur peut identifier la stratégie IPSec en cours d'application à l'aide de l'outil de ligne de commande Netsh. Pour récupérer le nom et les informations de la stratégie, l'administrateur se connecte sur l'ordinateur, lance une invite de commande et tape la commande suivante :

netsh IPSec static show gpoassignedpolicy

Voici un exemple de résultat généré par cette commande :

Source Machine          : Local Computer GPO 
for <IPS-TZ-W2K-02>
GPO Name                : IPSEC – Isolation Domain Policy
Local IPSec Policy Name : NONE
AD IPSec Policy Name    : IPSEC – Isolation 
Domain IPSec Policy 
(1.0.041001.1600)
AD Policy DN            : LDAP://CN=IPSecPolicy
{efa2185d-1a1d-40f6-b977-314f152643ca},CN=IP 
Security,CN=System,DC=americas,DC=woodgrovebank,DC=com
Local IPSec Policy Assigned: Yes, but AD Policy is
Overriding

Utilisation du Moniteur de sécurité IP pour déterminer le type de SA

Le composant logiciel enfichable MMC Moniteur de sécurité IP est utilisé pour examiner les SA de mode principal et de mode rapide, les filtres associés, les stratégies IKE (Internet Key Exchange) et les stratégies de négociation. Durant le dépannage, le composant logiciel enfichable MMC Moniteur de sécurité IP peut servir à déterminer le type de SA négociée entre homologues. En examinant les SA sous l'arborescence Mode rapide, un administrateur système peut identifier les homologues IPSec pour l'ordinateur sur lequel l'outil est actif.

Lorsqu'un ordinateur négocie une connexion IPSec, une SA matérielle est créée. Cette SA aura une valeur autre que <Aucun(e)> dans un ou plusieurs des champs Authentification, ESP confidentiel ou Intégrité ESP. Par exemple, ESP avec SHA1 et aucune authentification aurait la valeur HMAC-SHA1 dans le champ Intégrité ESP et <Aucun(e)> dans les deux autres champs. Si la SA matérielle comporte également un chiffrement négocié, le champ ESP confidentiel contiendrait DES ou 3DES.

Une SA logicielle aura la valeur <Aucun(e)> dans les trois champs, indiquant que le répondeur communique en clair.

Activation de la liste des filtres des sous-réseaux sécurisés de l'organisation sur les stratégies restantes

Avant d'activer les stratégies IPSec restantes, la liste de filtres du réseau d'organisation sécurisé doit être ajoutée à chaque stratégie. Cette tâche est requise car au moment de la création de la stratégie, la liste de filtres du réseau d'organisation sécurisé était vide et n'a pas pu être ajoutée à la stratégie.

Plus haut dans cette annexe, la liste de filtres du réseau d'organisation sécurisé a été implémentée et peut désormais être ajoutée aux stratégies restantes. Le tableau suivant indique les noms de stratégies et les actions de filtrage associées affectées à la liste de filtres du réseau d'organisation sécurisé.

Tableau C.7 : Mappage de stratégies et d'actions de filtrage

Nom de stratégie

Action de filtrage

IPSEC – No Fallback Isolation Group  IPSec Policy (1.0.041001.1600) (Groupe d'isolation Sans basculement  Stratégie IPSec (1.0.041001.1600))

IPSEC – Full Require Mode (Ignore Inbound, Disallow Outbound) (Mode de requête complet (Ignorer entrant, interdire sortant))

IPSEC – Isolation Domain IPSec Policy (1.0.041001.1600) (Stratégie IPSec de domaine d'isolation)

IPSEC – Secure Request Mode (Ignore Inbound, Allow Outbound) (Mode de requête sécurisée (Ignorer entrant, autoriser sortant))

IPSEC – Encryption Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de chiffrement)

IPSEC – Require Encryption Mode (Ignore Inbound, Disallow Outbound) (Mode Nécessite le chiffrement (Ignorer entrant, interdire sortant))

Pour ajouter la liste de filtres du réseau d'organisation sécurisé à des stratégies IPSec

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Stratégies de sécurité IP.

  3. Cliquez avec le bouton droit sur <Nom de la stratégie>, puis cliquez sur Propriétés.

  4. Sous l'onglet Règles, cliquez sur Ajouter.

  5. Sous l'onglet Liste de filtres IP, cliquez sur IPSEC –Organization Secure Subnets (IPSEC –Sous-réseaux sécurisés de l'organisation).

  6. Sous l'onglet Action de filtrage, cliquez sur l'<Action de filtrage> correspondante du tableau C.7.

  7. Sous l'onglet Type de connexion, assurez-vous que la case à cocher Toutes les connexions réseau est activée.

  8. Sous l'onglet Paramètres du tunnel, assurez-vous que la case à cocher Cette règle ne spécifie aucun tunnel IPSec est activée.

  9. Sous l'onglet Méthodes d'authentification, assurez-vous que seule la méthode Kerberos est affichée.

  10. Cliquez sur OK pour fermer la boîte de dialogue Modifier les propriétés de la règle.

  11. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de <nom de la stratégie>.

  12. Répétez les étapes 3 à 11 pour chaque stratégie répertoriée dans le tableau précédent.

Activation de la configuration de groupes d'accès réseau

Les groupes d'accès réseau sont utilisés pour contraindre davantage le répondeur IPSec à n'accepter que les connexions d'un groupe sélectionné d'ordinateurs initiateurs et d'utilisateurs identifiés. Par exemple, en utilisant des groupes d'accès réseau, les administrateurs peuvent configurer les ordinateurs clients exécutifs de sorte qu'ils n'acceptent que le trafic entrant initié à partir d'ordinateurs exécutifs, tout en conservant leur capacité à initier un trafic vers d'autres ressources.

Remarque : faites attention lorsque vous définissez cette option car les ordinateurs devant initier une communication avec des ordinateurs du groupe d'accès réseau (par exemple, les systèmes de surveillance utilisant l'interrogation) échoueront s'ils ne sont pas inclus dans le groupe d'accès réseau.

Implémentation de groupes d'accès réseau

Les concepteurs de Woodgrove Bank ont choisi d'implémenter des groupes d'accès réseau via l'utilisation de groupes de domaine locaux. Ces groupes ont alors été utilisés pour définir les initiateurs. Ils ont accordé au groupe des initiateurs le droit « Accéder à cet ordinateur à partir du réseau » sur les répondeurs et retiré le groupe Utilisateurs authentifiés de ce droit. Woodgrove Bank a implémenté le groupe d'accès réseau en utilisant des groupes de domaine locaux, car ces groupes sont stockés dans le ticket de session, actualisé toutes les 60 minutes. Si des groupes globaux ou universels avaient été utilisés, le groupe d'accès réseau aurait été stocké dans le service d'attribution de tickets (TGT), dont la durée de vie est de 8 heures. En utilisant des groupes de domaine locaux, les changements de groupe prennent effet de manière beaucoup plus opportune.

Remarque : bien que cette solution utilise des groupes de domaine locaux avec le droit « Accéder à cet ordinateur à partir du réseau » pour implémenter le groupe d'accès réseau, des clés pré-partagées ou des certificats pourraient être utilisés pour implémenter des groupes d'accès réseau individuels.

Les concepteurs de Woodgrove Bank ont identifié un groupe de réseau, qui est utilisé pour contrôler l'accès dans le groupe d'isolation de chiffrement.

Création de groupes de sécurité pour contrôler l'accès

Tableau C.8 : Groupes de sécurité des groupes d'accès réseau de Woodgrove Bank

Nom de groupe

Description

ANAG _EncryptedResourceAccess_computers

Groupe de domaine local utilisé pour limiter les ordinateurs pouvant accéder à des ressources chiffrées

ANAG _EncryptedResourceAccess_users

Groupe de domaine local utilisé pour limiter les utilisateurs pouvant initier une communication avec la ressource chiffrée restreinte

Pour créer les groupes répertoriés dans le tableau précédent

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01.

  2. Cliquez sur le conteneur Utilisateurs avec le bouton droit de la souris, cliquez sur Nouveau, puis sur Groupe.

  3. Dans la zone de texte Nom du groupe, tapez le <Nom du groupe> du tableau précédent.

  4. Dans Étendue du groupe, sélectionnez Domaine local, puis cliquez sur OK.

  5. Répétez les étapes 2 à 4 pour chaque groupe répertorié.

  6. Cliquez avec le bouton droit sur le <Nom du groupe>, puis cliquez sur Propriétés.

  7. Dans la zone de texte Description, tapez la <Description> à partir du tableau précédent.

  8. Cliquez sur OK.

  9. Répétez les étapes 6 à 8 pour chaque groupe répertorié dans le tableau précédent.

Ajout de comptes aux groupes de sécurité de groupe d'accès réseau

Woodgrove Bank a ajouté les ordinateurs identifiés agissant comme des initiateurs de trafic dans le groupe d'accès réseau aux groupes de domaine locaux appropriés utilisés pour implémenter le groupe d'accès réseau.

Le tableau suivant répertorie les membres du groupe d'accès réseau identifié par Woodgrove Bank.

Tableau C.9 : Membres du groupe d'isolation de Woodgrove Bank

Nom de groupe

Membres

ANAG _EncryptedResourceAccess_computers

IPS-SQL-DFS-01

IPS-SQL-DFS-02

IPS-ST-XP-05

Pour remplir le groupe répertorié dans le tableau précédent

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité <Nom du groupe>, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Cliquez sur le bouton Types d'objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  6. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez le nom de chaque ordinateur de la colonne Membres du tableau précédent et séparez chaque membre avec un point-virgule. Cliquez sur OK.

  7. Cliquez sur OK.

Ajout de comptes d'utilisateurs aux groupes de sécurité de groupe d'accès réseau

Woodgrove Bank a identifié les comptes d'utilisateurs autorisés à initier le trafic dans le groupe d'accès réseau et les a ajoutés aux groupes de domaine locaux appropriés utilisés pour implémenter le groupe d'accès réseau.

Le tableau suivant répertorie les membres du groupe d'accès réseau identifié par Woodgrove Bank.

Tableau C.10 : Membres du groupe d'accès réseau de Woodgrove Bank

Nom de groupe

Membres

ANAG _EncryptedResourceAccess_users

User7

Pour remplir les groupes répertoriés dans le tableau précédent

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité <Nom du groupe>, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez le nom de chaque utilisateur de la colonne Membres du tableau précédent. S'il existe plusieurs utilisateurs, séparez-les par un point-virgule. Cliquez ensuite sur OK.

  6. Cliquez sur OK.

Création d'un objet de stratégie de groupe pour accorder le droit « Accéder à cet ordinateur à partir du réseau »

Woodgrove Bank a créé un objet GPO pour appliquer le groupe d'accès réseau défini. En particulier, l'objet GPO a affecté aux groupes de sécurité du groupe d'accès réseau appropriés le droit « Accéder à cet ordinateur à partir du réseau » sur les ordinateurs adéquats agissant comme répondeurs.

Les administrateurs ont créé le tableau suivant, répertoriant le nom de l'objet GPO et les noms de groupes associés utilisés pour implémenter le groupe d'accès réseau.

Tableau C.11 : Définition de la stratégie de groupe d'isolation de Woodgrove Bank

Nom de l’objet Stratégie de groupe

Nom de groupe

Stratégie de groupe d'isolation d'accès aux ressources chiffrées

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

Administrateurs

Opérateurs de sauvegarde

Remarque : les groupes répertoriés représentent les groupes minimaux à ajouter. L'administrateur devra déterminer si ce droit doit être accordé à des groupes supplémentaires.

Pour affecter le droit « Accéder à cet ordinateur à partir du réseau »

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez la console GPMC.

  3. Développez Forest:corp.woodgrovebank.com, le domaine, puis americas.corp.woodgrovebank.com.

  4. Cliquez avec le bouton droit de la souris sur Objets de stratégie de groupe, puis cliquez sur Nouveau.

  5. Dans la zone de texte Nom, tapez <Nom d'objet de stratégie de groupe>, puis cliquez sur OK.

  6. Cliquez avec le bouton droit sur <nom de l'objet GPO>, puis cliquez sur Modifier.

  7. Développez Configuration ordinateur, développez Paramètres Windows, développez Paramètres de sécurité, développez Stratégies locales, puis cliquez sur Attribution des droits utilisateur.

  8. Dans le volet droit, cliquez avec le bouton droit sur Accéder à cet ordinateur à partir du réseau, puis cliquez sur Propriétés.

  9. Activez la case à cocher Définir ces paramètres de stratégie.

  10. Cliquez sur le bouton Ajouter un utilisateur ou un groupe.

  11. Cliquez sur le bouton Parcourir.

  12. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez le <Nom de groupe> pour chaque groupe répertorié dans le tableau précédent et séparez-les par des points-virgules. Cliquez sur OK.

  13. Cliquez de nouveau sur OK.

  14. Fermez la console GPMC.

Liaison d'objets de stratégie de groupe d'accès réseau

Avant de distribuer des stratégies de groupe d'accès réseau, vous devez lier les objets GPO à un emplacement de l'environnement du domaine. Woodgrove Bank a choisi de distribuer l'objet GPO en le liant à l'UO appropriée dans Active Directory, comme indiqué dans le tableau suivant.

Tableau C.12 : Nom de l'objet GPO de groupe d'accès réseau et UO cible

Nom de l'objet GPO de groupe d'accès réseau

UO cible

Stratégie de groupe d'accès réseau chiffré

Serveurs de base de données

Pour lier une stratégie GPO à l'UO cible

  1. Ouvrez une session sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Lancez la console GPMC.

  3. Développez Forest: corp.woodgrovebank.com, le domaine, americas.corp.woodgrovebank.com, puis localisez l'<UO cible>.

  4. Cliquez avec le bouton droit sur <UO cible>, puis cliquez sur Lier un objet de stratégie de groupe existant.

  5. Dans la liste Objets de stratégie de groupe, cliquez sur <Nom de l'objet GPO de groupe d'accès réseau>, puis cliquez sur OK.

Vérification du déploiement des groupes d'accès réseau

Après avoir créé et déployé les groupes d'accès réseau et objets de stratégie, les administrateurs ont testé la fonctionnalité des ordinateurs dans les groupes d'accès réseau.

Tests d'implémentation préalables

Avant de tester la fonctionnalité des ordinateurs dans le groupe d'accès réseau, Woodgrove Bank a confirmé que les attributions de droits d'utilisateur ont été mises à jour de manière appropriée. Après un délai suffisant pour permettre la réplication et la mise à jour de la stratégie, Woodgrove Bank a effectué la procédure suivante sur les ordinateurs répertoriés dans le tableau suivant.

Tableau C.13 : Membres du groupe d'accès réseau

Nom de l’ordinateur

Groupe répertorié dans le droit d'utilisateur

IPS-SQL-DFS-01

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

IPS-SQL-DFS-02

ANAG_EncryptedResourceAccess_computers

ANAG_EncryptedResourceAccess_users

Pour confirmer les membres corrects dans le groupe d'accès réseau

  1. Connectez-vous à <nom de l'ordinateur> en tant qu'administrateur du domaine Amériques.

  2. Démarrez l'outil de stratégie de sécurité locale.

  3. Développez Stratégies locales, Attribution des droits utilisateur, puis, dans le volet droit, double-cliquez sur Accéder à cet ordinateur à partir du réseau.

  4. Vérifiez que le groupe Utilisateurs authentifiés n'est pas présent.

  5. Vérifiez que le groupe <Groupe répertorié dans le droit d'utilisateur> est présent.  

  6. Fermez l'outil de stratégie de sécurité locale.

  7. Répétez les étapes 1 à 6 pour chaque <Nom de l'ordinateur> répertorié dans le tableau précédent.

Tests d'implémentation fonctionnels

Une fois que Woodgrove Bank a confirmé que le droit d'utilisateur approprié a été accordé aux groupes de sécurité, les ordinateurs appartenant aux groupes d'accès réseau ont été testés entre eux. Woodgrove Bank a utilisé ces informations pour confirmer que les restrictions de droit d'accès étaient en place et actives. Woodgrove a tenté d'exécuter des commandes net view pour diverses combinaisons d'initiateur et de répondeur. En plus de ce test, ils ont utilisé le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer la création des SA appropriées. Le tableau suivant répertorie l'initiateur et le répondeur pour chaque exécution de net view, indique si elle doit réussir ou échouer, ainsi que le type de SA négociée.

Tableau C.14 : Résultats attendus du test fonctionnel de groupe d'accès réseau

Initiateur

Répondeur

Résultat

SA négociée

IPS-TZ-XP-06

IPS-SQL-DFS-01

Échec

Aucun

IPS-TZ-XP-06

IPS-SQL-DFS-02

Échec

Aucun

IPS-TZ-XP-06

IPS-ST-XP-05

Réussite

SA matérielle

IPS-SQL-DFS-01

IPS-SQL-DFS-02

Réussite

SA matérielle

IPS-SQL-DFS-01

IPS-ST-XP-05

Réussite

SA matérielle

IPS-SQL-DFS-02

IPS-SQL-DFS-01

Réussite

SA matérielle

IPS-ST-XP-05

IPS-SQL-DFS-01

Réussite

SA matérielle

IPS-ST-XP-05

IPS-SQL-DFS-02

Réussite

SA matérielle

Pour terminer le test fonctionnel

  1. Connectez-vous à <Initiateur> en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP.

  3. Développez Moniteur de sécurité IP, <Initiateur>, Mode rapide, puis cliquez sur Associations de sécurité.

  4. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Responder>
    
  5. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer que la SA appropriée a été négociée pour chaque connexion réussie.

  6. Répétez les étapes 1 à 5 pour chaque <Initiateur> unique répertorié dans le tableau précédent.

Activation du domaine d'isolation

Avant le déploiement des stratégies de domaine d'isolation, l'administrateur doit identifier un groupe d'ordinateurs qui sera utilisé pour le test pilote. Idéalement, ce groupe d'ordinateurs doit représenter un échantillon de l'infrastructure informatique de l'organisation et inclure à la fois des clients et des serveurs.

Les comptes d'ordinateurs identifiés sont ajoutés au groupe CG_IsolationDomain_computers. Une fois qu'un délai suffisant s'est écoulé pour la réplication, la stratégie de domaine d'isolation doit s'appliquer aux ordinateurs pilotes et prendre effet.

Implémentation du domaine d'isolation

Woodgrove Bank a identifié les ordinateurs suivants à utiliser dans le pilote :

  • IPS-TZ-XP-01

  • IPS-TZ-W2K-02

  • IPS-TZ-XP-06

  • IPS-WEB-DFS-01

Pour ajouter des ordinateurs pilotes au groupe CG_IsolationDomain_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine**,** puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité CG_IsolationDomain_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Cliquez sur le bouton Types d'objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  6. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez le nom de chaque ordinateur de la liste précédente, séparez-les par des points-virgules, puis cliquez sur OK.

  7. Cliquez de nouveau sur OK.

    Remarque : une fois les ordinateurs ajoutés au groupe universel CG_IsolationDomain_computers, un délai suffisant doit être alloué pour la réplication des modifications de membres du groupe dans l'ensemble de la forêt et pour que la stratégie s'applique aux hôtes.

Vérification du déploiement du domaine d'isolation

Une fois les objets de stratégie créés et déployés dans Active Directory dans l'état actif, un processus de vérification doit être entrepris pour confirmer que l'ordinateur fonctionne correctement dans le groupe d'isolation.

Tests d'implémentation préalables

Avant d'effectuer tout test fonctionnel sur l'ordinateur du domaine d'isolation, Woodgrove Bank a vérifié qu'un délai suffisant s'était écoulé pour la réplication et la mise à jour de la stratégie, puis que la stratégie IPSec correcte a été appliquée.

Pour confirmer que la stratégie IPSec correcte a été appliquée sur IPS-TZ-XP-06

  1. Connectez-vous à IPS-TZ-XP-06 en tant qu'administrateur du domaine Amériques.

  2. IPSeccmd show gpo
    
  3. Vérifiez que la sortie indique le nom de stratégie d'annuaire « IPSEC – Isolation Domain IPSec Policy (1.0.041001.1600) » (Stratégie IPSec de domaine d'isolation).

Tests d'implémentation fonctionnels

Une fois que Woodgrove Bank a vérifié que la stratégie a été appliquée à IPS-TZ-XP-06, l'étape suivante a consisté à effectuer certains tests fonctionnels de base pour s'assurer que la stratégie fonctionnait comme prévu. Woodgrove Bank a tenté d'exécuter des commandes net view à partir d'IPS-TZ-XP-06 vers divers ordinateurs d'autres groupes d'isolation. De plus, ils ont utilisé le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer la création des SA appropriées. Le tableau suivant répertorie les ordinateurs cibles pour chaque exécution de net view, indique si elle doit réussir ou échouer, ainsi que le type de SA négociée.

Remarque : lorsque vous tentez une commande net view pour un ordinateur non approuvé, vous devez transmettre des informations d'identification pour l'administrateur local de l'ordinateur cible.

Tableau C.15 : Résultats attendus du test fonctionnel du domaine d'isolation

Ordinateur cible

Résultat

SA négociée

IPS-TZ-W2K-02

Réussite

SA matérielle

IPS-WEB-DFS-01

Réussite

SA matérielle

IPS-UT-XP-03

Réussite

SA logicielle

IPS-PRINTS-01

Réussite

SA matérielle

Pour effectuer le test fonctionnel sur chaque ordinateur cible

  1. Connectez-vous à IPS-TZ-XP-06 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-TX-XP-06, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

Activation du groupe d'isolation Sans basculement

Les ordinateurs placés dans le groupe d'isolation Sans basculement ne peuvent pas initier de trafic non authentifié vers des ordinateurs non approuvés.

Implémentation du groupe d'isolation Sans basculement

Woodgrove Bank a placé les ordinateurs ne pouvant pas initier de communication non authentifiée vers des ordinateurs non approuvés dans le groupe universel CG_NoFallbackIG_computers.

Pour remplir le groupe CG_NoFallbackIG_computers

  1. Connectez-vous à IPS-CH-DC-01 en tant qu'administrateur du domaine Amériques, puis lancez l'interface Utilisateurs et ordinateurs Active Directory.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité CG_NoFallbackIG_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Cliquez sur le bouton Types d'objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  6. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez IPS-LT-XP-01, puis cliquez sur OK.

  7. Cliquez de nouveau sur OK, puis encore une fois.

    Remarque : étant donné les retards de réplication et la fréquence d'interrogation des stratégies IPSec, il y aura un décalage entre l'ajout de l'ordinateur au groupe CG_NoFallbackIG_computers et l'application de la stratégie de groupe d'isolation Sans basculement. Si la stratégie IPSec doit être appliquée immédiatement, il est possible de redémarrer l'ordinateur à ce stade. Sinon, la stratégie est appliquée lorsque le ticket de session arrive à expiration et qu'il est actualisé avec les nouvelles informations d'appartenance au groupe local.

Vérification du déploiement du groupe d'isolation Sans basculement

Une fois les objets de stratégie créés et déployés dans Active Directory dans l'état actif, un processus de vérification doit être entrepris pour confirmer que l'ordinateur fonctionne correctement dans le groupe d'isolation.

Tests d'implémentation préalables

Avant d'effectuer tout test fonctionnel sur les ordinateurs du groupe d'isolation Sans basculement et après un délai suffisant pour permettre la réplication et la mise à jour de la stratégie, Woodgrove Bank a vérifié que la stratégie IPSec correcte était appliquée.

Pour confirmer que la stratégie IPSec correcte a été appliquée sur IPS-LT-XP-01

  1. Connectez-vous à IPS-LT-XP-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez une invite de commande, puis exécutez la commande suivante :

    IPSeccmd show gpo
    
  3. Vérifiez que la sortie indique le nom de stratégie d'annuaire « Clair sortant autorisé ».

Tests d'implémentation fonctionnels

Une fois que Woodgrove Bank a vérifié que la stratégie s'appliquait à IPS-LT-XP-01, l'étape suivante a consisté à effectuer certains tests fonctionnels de base pour s'assurer que la stratégie fonctionnait comme prévu. Woodgrove Bank a tenté d'exécuter des commandes net view à partir d'IPS-LT-XP-01 vers divers ordinateurs d'autres groupes d'isolation. De plus, ils ont utilisé le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer la création des SA appropriées. Le tableau suivant répertorie les ordinateurs cibles pour chaque exécution de net view, indique si elle doit réussir ou échouer, ainsi que le type de SA négociée.

Remarque : lorsque vous tentez une commande net view pour un ordinateur non approuvé, vous devez transmettre des informations d'identification pour l'administrateur local de l'ordinateur cible.

Tableau C.16 : Résultats attendus pour le test fonctionnel Clair sortant autorisé

Ordinateur cible

Résultat

SA négociée

IPS-PRINTS-01

Réussite

SA matérielle

IPS-TZ-XP-01

Réussite

SA matérielle

IPS-UT-XP-03

Échec

Aucun

Pour effectuer le test fonctionnel sur chaque ordinateur cible

  1. Connectez-vous à IPS-LT-XP-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-LT-XP-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

Activation du groupe d'isolation de chiffrement

Les ordinateurs placés dans le groupe d'isolation de chiffrement exigent que leur trafic soit chiffré. De plus, les serveurs hébergeant des données sont configurés pour un accès restreint via le réseau par l'implémentation d'un groupe d'isolation pour les serveurs sélectionnés.

En utilisant une stratégie de groupe et un groupe de sécurité supplémentaires, l'accès au serveur peut être contrôlé en modifiant le droit « Accéder à cet ordinateur à partir du réseau ». Soyez attentif lors de la modification des droits sur un serveur pour vous assurer que les utilisateurs légitimes ne sont pas bloqués pour y accéder.

Remarque : le groupe d'isolation utilisé dans cette section a été implémenté plus tôt dans la section « Activation de la configuration du groupe d'isolation » de ce document.

Implémentation du groupe d'isolation de chiffrement

L'équipe d'implémentation de Woodgrove Bank a identifié les ordinateurs exigeant un chiffrement IPSec et les a placés dans le groupe universel Nécessite le chiffrement.

Pour remplir le groupe Nécessite le chiffrement

  1. Connectez-vous à IPS-CH-DC-01 en tant qu'administrateur du domaine Amériques, puis lancez l'interface Utilisateurs et ordinateurs Active Directory.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité CG_EncryptionIG_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Cliquez sur le bouton Types d'objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  6. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez IPS-SQL-DFS-01; IPS-SQL-DFS-02 puis cliquez sur OK.

  7. Cliquez sur OK.

    Remarque : étant donné les retards de réplication et la fréquence d'interrogation des stratégies IPSec, il y aura un décalage entre l'ajout de l'ordinateur au groupe CG_EncryptionIG_computers et l'application de la stratégie de groupe d'isolation de chiffrement. Si la stratégie IPSec doit être appliquée immédiatement, il est possible de redémarrer l'ordinateur à ce stade. Sinon, la stratégie est appliquée lorsque le ticket de session arrive à expiration et qu'il est actualisé avec les nouvelles informations d'appartenance au groupe local.

Vérification du déploiement du groupe d'isolation de chiffrement

Une fois les objets de stratégie créés et déployés dans Active Directory dans l'état actif, un processus de vérification doit être entrepris pour confirmer que l'ordinateur fonctionne correctement dans le groupe d'isolation.

Tests d'implémentation préalables

Avant d'effectuer tout test fonctionnel sur l'ordinateur du groupe d'isolation de chiffrement, et après un délai suffisant pour permettre la réplication et la mise à jour de la stratégie, Woodgrove Bank a vérifié que la stratégie IPSec correcte était appliquée aux ordinateurs IPS-SQL-DFS-01 et IPS-SQL-DFS-02.

Pour confirmer l'application de la stratégie IPSec correcte

  1. Connectez-vous à IPS-SQL-DFS-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez une invite de commande, puis exécutez la commande suivante :

    netsh IPSec static show gpoassignedpolicy
    
  3. Vérifiez que la sortie indique le nom de stratégie d'annuaire « IPSEC - Encryption Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de chiffrement) ».

  4. Démarrez l'outil de stratégie de sécurité locale.

  5. Développez Stratégies locales, Attribution des droits utilisateur, puis, dans le volet droit, double-cliquez sur Accéder à cet ordinateur à partir du réseau.

  6. Vérifiez que le groupe Utilisateurs authentifiés n'est pas présent.

  7. Confirmez la présence des groupes ANAG_EncryptedResourceAccess_computers et ANAG_EncryptedResourceAccess_users.

  8. Quittez l'outil de stratégie de sécurité locale.

  9. Répétez les étapes 1 à 8 sur IPS-SQL-DFS-02.

Tests d'implémentation fonctionnels

Une fois que Woodgrove Bank a vérifié que la stratégie était appliquée à IPS-SQL-DFS-01 et IPS-SQL-DFS-02, l'étape suivante a consisté à effectuer certains tests fonctionnels de base pour s'assurer que la stratégie fonctionnait comme prévu. Woodgrove a tenté d'exécuter des commandes net view par rapport à IPS-SQL-DFS-01 et IPS-SQL-DFS-02. De plus, ils ont utilisé le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer la création des SA appropriées. Les tableaux suivants répertorient les ordinateurs cibles pour l'exécution de net view, si elle doit réussir ou échouer, ainsi que le type de SA négociée.

Remarque : lorsque vous tentez une commande net view pour un ordinateur non approuvé, vous devez transmettre à l'ordinateur des informations d'identification pour l'administrateur local.

Tableau C.17 : Résultats attendus pour le test fonctionnel d'IPS-SQL-DFS-01

Ordinateur cible

Résultat

SA négociée

IPS-SQL-DFS-02

Réussite

SA matérielle

IPS-TZ-XP-01

Réussite

SA matérielle

IPS-PRINTS-01

Réussite

SA matérielle

IPS-UT-XP-03

Échec

Aucun

Pour tester la fonctionnalité de l'implémentation sur des ordinateurs cibles

  1. Connectez-vous à IPS-SQL-DFS-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-SQL-DFS-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

Activation du groupe d'isolation Limite

Woodgrove Bank a placé les ordinateurs devant initier ou recevoir une communication non authentifiée à partir d'ordinateurs non approuvés dans le groupe universel CG_BoundaryIG_computers.

Implémentation du groupe d'isolation Limite

L'équipe d'implémentation de Woodgrove Bank a identifié les ordinateurs appartenant au groupe d'isolation Limite et les a placés dans le groupe universel CG_BoundaryIG_computers.

Pour remplir le groupe CG_BoundaryIG_computers

  1. Connectez-vous à IPS-CH-DC-01 en tant qu'administrateur du domaine Amériques, puis lancez l'interface Utilisateurs et ordinateurs Active Directory.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet de droite, cliquez avec le bouton droit de la souris sur le groupe de sécurité CG_BoundaryIG_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Cliquez sur le bouton Types d'objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  6. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez IPS-PRINTS-01, puis cliquez sur OK.

  7. Cliquez sur OK.

    Remarque : étant donné les retards de réplication et la fréquence d'interrogation des stratégies IPSec, il y aura un décalage entre l'ajout du groupe au groupe CG_BoundaryIG_computers et l'application de la stratégie de groupe d'isolation Limite. Si la stratégie IPSec doit être appliquée immédiatement, il est possible de redémarrer l'ordinateur à ce stade. Sinon, la stratégie est appliquée lorsque le ticket de session arrive à expiration et qu'il est actualisé avec les nouvelles informations d'appartenance au groupe local.

Vérification du déploiement du groupe d'isolation Limite

Une fois les objets de stratégie créés et déployés dans Active Directory dans un état actif, un processus de vérification doit être entrepris pour confirmer que l'ordinateur fonctionne correctement dans le groupe d'isolation.

Tests d'implémentation préalables

Avant d'effectuer tout test fonctionnel sur l'ordinateur du groupe d'isolation Limite, et après un délai suffisant pour permettre la réplication et la mise à jour de la stratégie, Woodgrove Bank a vérifié que la stratégie IPSec correcte était appliquée à l'ordinateur.

Pour confirmer que la stratégie IPSec correcte a été appliquée sur IPS-PRINTS-01

  1. Connectez-vous à IPS-PRINTS-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez une invite de commande, puis exécutez la commande suivante :

    netsh IPSec static show gpoassignedpolicy
    
  3. Vérifiez que la sortie indique le nom de stratégie d'annuaire « IPSEC – Boundary Isolation Group IPSec Policy (1.0.041001.1600) (Stratégie IPSec de groupe d'isolation de limite) ».

Tests d'implémentation fonctionnels

Une fois que Woodgrove Bank a vérifié que la stratégie était appliquée à IPS-PRINTS-01, l'étape suivante a consisté à effectuer certains tests fonctionnels de base pour s'assurer que la stratégie fonctionnait comme prévu. Woodgrove a tenté d'exécuter des commandes net view par rapport aux ordinateurs répertoriés dans le tableau suivant. De plus, ils ont utilisé le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer la création des SA appropriées. Le tableau suivant répertorie les ordinateurs cibles pour chaque exécution de net view, indique si elle doit réussir ou échouer, ainsi que le type de SA négociée pour chaque ordinateur participant au groupe d'accès aux ressources chiffrées.

Remarque : lorsque vous tentez une commande net view pour un ordinateur non approuvé, vous devez transmettre à l'ordinateur des informations d'identification pour l'administrateur local.

Tableau C.18 : Résultats attendus pour le test fonctionnel d'IPS-PRINTS-01

Ordinateur cible

Résultat

SA négociée

IPS-UT-XP-03

Réussite

SA logicielle

IPS-TZ-XP-01

Réussite

SA matérielle

IPS-SQL-DFS-01

Échec

Aucun

Pour tester la fonctionnalité de l'implémentation sur des ordinateurs cibles

  1. Connectez-vous à IPS-PRINTS-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-PRINTS-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Ouvrez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

Configuration du domaine d'isolation en tant que groupe d'isolation par défaut

Avant d'effectuer les tests fonctionnels finaux, les administrateurs de Woodgrove Bank ont configuré la sécurité sur le domaine d'isolation de façon à l'appliquer à tous les ordinateurs du domaine. Cette approche garantit que tout nouvel ordinateur ajouté au domaine est automatiquement ajouté au domaine d'isolation sauf s'il exige d'être placé dans un autre groupe d'isolation.

De plus, le groupe Ordinateurs du domaine a été retiré du groupe CG_BoundaryIG_computers.

Pour retirer Ordinateurs du domaine du groupe CG_BoundaryIG_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité CG_BoundaryIG_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, sur le groupe Ordinateurs du domaine, puis sur Supprimer.

  5. Cliquez sur Oui pour retirer le groupe.

  6. Cliquez sur OK.

    Remarque : étant donné les retards de réplication et la fréquence d'interrogation des stratégies IPSec, il y aura un décalage entre le retrait du groupe du groupe CG_BoundaryIG_computers et celui de la stratégie de groupe d'isolation Limite. Si la stratégie IPSec doit être appliquée immédiatement, il est possible de redémarrer l'ordinateur à ce stade. Sinon, la stratégie est appliquée lorsque le ticket de session arrive à expiration et qu'il est actualisé avec les nouvelles informations d'appartenance au groupe local.

Pour ajouter Ordinateurs du domaine au groupe CG_IsolationDomain_computers

  1. Lancez l'interface Utilisateurs et ordinateurs Active Directory sur IPS-CH-DC-01 en tant qu'administrateur de domaine du domaine Amériques.

  2. Développez le domaine, puis cliquez sur Utilisateurs.

  3. Dans le volet droit, cliquez avec le bouton droit sur le groupe de sécurité CG_IsolationDomain_computers, puis cliquez sur Propriétés.

  4. Cliquez sur l'onglet Membres, puis cliquez sur Ajouter.

  5. Dans la zone de texte Entrez les noms des objets à sélectionner, tapez Ordinateurs du domaine et cliquez sur OK.

  6. Cliquez de nouveau sur OK.

    Remarque : étant donné les retards de réplication et la fréquence d'interrogation des stratégies IPSec, il y aura un décalage entre l'ajout du groupe Ordinateurs du domaine au groupe CG_IsolationDomain_computers et l'application de la stratégie de groupe du domaine d'isolation. Si la stratégie IPSec doit être appliquée immédiatement, il est possible de redémarrer l'ordinateur à ce stade. Sinon, la stratégie est appliquée lorsque le ticket de session arrive à expiration et qu'il est actualisé avec les nouvelles informations d'appartenance au groupe local.

Réorganisation de l'ordre des liens de la stratégie IPSec

Pour garantir l'application des stratégies correctes aux hôtes, vous devez mettre à jour l'ordre des liens des stratégies IPSec. Cette tâche est liée au fait que la stratégie de groupe d'isolation Standard a été indiquée comme stratégie par défaut plutôt que la stratégie de groupe d'isolation Limite, qui a été utilisée comme stratégie par défaut au cours du déploiement initial.

Pour lier les stratégies IPSec aux objets GPO existants

  1. Lancez la console GPMC en tant qu'administrateur de domaine.

  2. Développez le domaine.

  3. Cliquez sur le nom du domaine.

  4. Dans la liste Objets de stratégie de groupe liés, utilisez les touches fléchées pour classer les stratégies comme indiqué dans le tableau suivant.

    Tableau C.19 : Ordre des liens des objets de stratégie de groupe au niveau du domaine

    Ordre des liens

    Nom d'objet de stratégie de groupe

    1

    IPSEC – Encryption Isolation Group Policy (Stratégie de groupe d'isolation de chiffrement)

    2

    IPSEC – No Fallback Isolation Group Policy (Stratégie de groupe d'isolation sans basculement)

    3

    IPSEC – Stratégie de groupe d'isolation Limite

    4

    IPSEC – Isolation Domain Policy (Stratégie de domaine d'isolation)

    5

    Stratégie de domaine par défaut

Tests fonctionnels finaux – Tous les groupes d'isolation activés

Une fois que Woodgrove Bank a activé tous les groupes d'isolation, l'étape suivante consistait à effectuer certains tests fonctionnels de base pour garantir que les stratégies fonctionnaient comme prévu. Bien que certains tests fonctionnels de base aient été effectués lors de l'implémentation de chaque stratégie, les administrateurs de Woodgrove Bank n'ont pas pu effectuer un test fonctionnel complet car les groupes d'isolation ont été activés individuellement. Les administrateurs ont tenté d'exécuter des commandes net view avec un ou plusieurs ordinateurs dans chaque groupe d'isolation pour des ordinateurs d'autres groupes d'isolation afin de vérifier que la connectivité appropriée a été établie. Plusieurs ordinateurs ont été sélectionnés dans certains groupes d'isolation car ils possèdent des modèles de trafic différents, selon qu'ils constituent le répondeur ou l'initiateur. De plus, les administrateurs ont utilisé le composant logiciel enfichable MMC Moniteur de sécurité IP pour confirmer la création des SA appropriées.

Les tableaux suivants répertorient les ordinateurs cibles pour chaque exécution de net view, indiquent si elle doit réussir ou échouer, ainsi que le type de SA négociée pour chaque ordinateur sélectionné à des fins de test.

Remarque : lorsque vous tentez une commande net view pour des ordinateurs non approuvés, vous devez transmettre à l'ordinateur des informations d'identification pour l'administrateur local.

La procédure suivante teste la connectivité d'IPS-SQL-DFS-01 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation et groupes d'accès réseau.

Tableau C.20 : Résultats attendus pour le test fonctionnel d'IPS-SQL-DFS-01

Ordinateur cible

Résultat

Raison

SA négociée

IPS-ST-XP-05

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle avec chiffrement

IPS-TZ-XP-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle avec chiffrement

IPS-PRINTS-01

Réussite

L'ordinateur peut négocier IPSec avec succès.

SA matérielle avec chiffrement

IPS-UT-XP-03

Échec

L'initiateur ne prend pas en charge la communication en clair.

Aucun

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-SQL-DFS-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-SQL-DFS-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

La procédure suivante teste la connectivité à partir d'IPS-TX-XP-06 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation et groupes d'accès réseau.

Tableau C.21 : Résultats attendus pour le test fonctionnel d'IPS-TZ-XP-06

Ordinateur cible

Résultat

Raison

SA négociée

IPS-SQL-DFS-01

Échec

Le répondeur fait partie de l'Accès aux ressources chiffrées.

Aucun

IPS-ST-XP-05

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-TZ-XP-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-PRINTS-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-UT-XP-03

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA logicielle

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-TZ-XP-06 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-TZ-XP-06, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

La procédure suivante teste la connectivité à partir d'IPS-ST-XP-06 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation.

Tableau C.22 : Résultats attendus pour le test fonctionnel d'IPS-ST-XP-05

Ordinateur cible

Résultat

Raison

SA négociée

IPS-SQL-DFS-01

Réussite

L'initiateur fait partie du groupe Accès aux ressources chiffrées.

SA matérielle avec chiffrement

IPS-TZ-XP-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-PRINTS-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-UT-XP-03

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA logicielle

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-ST-XP-05 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-ST-XP-05, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

La procédure suivante teste la connectivité à partir d'IPS-TZ-XP-01 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation et groupes d'accès réseau.

Tableau C.23 : Résultats attendus pour le test fonctionnel d'IPS-TZ-XP-01

Ordinateur cible

Résultat

Raison

SA négociée

IPS-SQL-DFS-01

Échec

Le répondeur fait partie du groupe Accès aux ressources chiffrées.

Aucun

IPS-ST-XP-05

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-PRINTS-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-UT-XP-03

Réussite

L'initiateur prend en charge la communication en clair.

SA logicielle

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-TZ-XP-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez l'outil Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-TZ-XP-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

La procédure suivante teste la connectivité à partir d'IPS-LT-XP-01 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation et groupes d'accès réseau.

Tableau C.24 : Résultats attendus pour le test fonctionnel d'IPS-LT-XP-01

Ordinateur cible

Résultat

Raison

SA négociée

IPS-SQL-DFS-01

Échec

Le répondeur fait partie du groupe Accès aux ressources chiffrées.

Aucun

IPS-ST-XP-05

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-TZ-XP-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-UT-XP-03

Échec

L'initiateur ne prend pas en charge la communication en clair.

Aucun

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-LT-XP-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-LT-XP-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

La procédure suivante teste la connectivité à partir d'IPS-PRINTS-01 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation.

Tableau C.25 : Résultats attendus pour le test fonctionnel d'IPS-PRINTS-01

Ordinateur cible

Résultat

Raison

SA négociée

IPS-SQL-DFS-01

Échec

Le répondeur refuse explicitement l'accès aux hôtes du groupe Limite. Le répondeur fait partie du groupe Accès aux ressources chiffrées.

Aucun

IPS-ST-XP-05

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-TZ-XP-01

Réussite

Les ordinateurs peuvent négocier IPSec avec succès.

SA matérielle

IPS-UT-XP-03

Réussite

L'initiateur prend en charge la communication en clair.

SA logicielle

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-PRINTS-01 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-PRINTS-01, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour IPS-UT-XP-03, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

La procédure suivante teste la connectivité à partir d'IPS-UT-XP-03 (agissant comme initiateur) vers divers ordinateurs des autres groupes d'isolation et groupes d'accès réseau.

Tableau C.26 : Résultats attendus pour le test fonctionnel d'IPS-UT-XP-03

Ordinateur cible

Résultat

Raison

SA négociée

IPS-SQL-DFS-01

Échec

Le répondeur ne prend pas en charge la communication en clair ni le relais entrant. Le répondeur fait partie du groupe Accès aux ressources chiffrées.

Aucun

IPS-ST-XP-05

Échec

Le répondeur ne prend pas en charge la communication en clair ni le relais entrant.

Aucun

IPS-TZ-XP-01

Échec

Le répondeur ne prend pas en charge la communication en clair ni le relais entrant.

Aucun

IPS-PRINTS-01

Réussite

Le répondeur prend en charge la communication en clair et le relais entrant.

SA logicielle

Pour tester la connectivité à partir d'ordinateurs cibles

  1. Connectez-vous à IPS-UT-XP-03 en tant qu'administrateur du domaine Amériques.

  2. Lancez le composant logiciel enfichable MMC Moniteur de sécurité IP, développez Moniteur de sécurité IP, IPS-UT-XP-03, Mode rapide, puis cliquez sur Associations de sécurité.

  3. Lancez une invite de commande, puis exécutez la commande suivante :

    net view \\<Target Computer>
    

    Remarque : pour tous les ordinateurs basés sur le domaine, veillez à transmettre les informations d'identification de l'administrateur local avec la commande net view.

  4. Utilisez le composant logiciel enfichable MMC Moniteur de sécurité IP pour vérifier le champ Associations de sécurité pour chaque connexion réussie afin de confirmer que la SA appropriée a été négociée.

  5. Répétez les étapes 3 à 4 pour chaque <Ordinateur cible> répertorié dans le tableau précédent.

Résumé

Une fois les tâches de cette annexe terminées, vous avez accompli les opérations suivantes :

  • Création des listes de filtres, actions de filtrage, règles et stratégies IPSec dans Active Directory

  • Configuration des objets GPO dans Active Directory pour appliquer correctement les stratégies IPSec

  • Exécution d'un déploiement par étapes du groupe d'isolation Limite et du domaine d'isolation dans l'ensemble de l'entreprise

  • Configuration de plusieurs groupes d'isolation pour contrôler l'accès Répondeur

  • Activation et test du domaine d'isolation

  • Activation et test du groupe d'isolation Sans basculement

  • Activation et test du groupe d'isolation de chiffrement

  • Activation et test du groupe d'isolation Limite

Télécharger la solution complète

Isolation de serveurs et de domaines à l'aide d'IPSec et de stratégies de groupesite en anglais