Microsoft Forefront : protection des groupes de travail avec Forefront

Vous pouvez utiliser Microsoft Forefront Threat Management Gateway avec Active Directory ou l’utiliser pour sécuriser la mise en place d’un groupe de travail.

Brien Posey

La connectivité entraîne la collaboration, elle peut aussi exposer à des risques. Avec Microsoft Forefront Threat Management Gateway (Forefront TMG) 2010, vous pouvez configurer vos employés dans un groupe de travail tout en les protégeant, ainsi que vos données et votre réseau d’entreprise.

Même si elle est généralement considérée comme une application d’entreprise conçue pour une utilisation dans un environnement Active Directory, vous n’êtes pas tenu de déployer Forefront dans Active Directory. Vous pouvez déployer efficacement Forefront TMG dans différentes topologies et pour divers objectifs.

Dans un environnement de groupe de travail, vous voudrez installer Forefront TMG dans le périmètre du réseau afin qu’il puisse inspecter les paquets entrants HTTP et HTTPS et détecter les contenus malveillants. Vous pouvez également l’utiliser pour filtrer les types de sites Web que vos utilisateurs peuvent visiter.

Puisque le serveur Forefront TMG sera dans le périmètre du réseau, il doit avoir au moins deux cartes réseau. Une carte sera connectée au réseau privé, tandis que l’autre sera connectée au monde extérieur. Microsoft recommande que ces deux cartes soient configurées avec une adresse IP statique.

Microsoft a conçu Forefront pour être déployé dans un domaine Windows. Bien qu’il soit utilisable dans le contexte d’un groupe de travail d’entreprise, il y a certaines limites que vous ne devriez normalement pas rencontrer dans un environnement de domaine.

Par exemple, si vous déployez Forefront dans un environnement de groupe de travail, vous ne pourrez pas utiliser la détection automatique de proxy Web. De la même manière, sans un domaine Active Directory, vous ne pourrez pas configurer Forefront avec les paramètres de stratégie de groupe. En revanche, vous devrez utiliser les stratégies de sécurité locales sur chaque ordinateur exécutant Forefront.

D’autres restrictions requièrent une attention particulière. Par exemple, les ordinateurs exécutant Forefront TMG Standard sont généralement rattachés à un serveur EMS (Enterprise Management Server). Cependant, vous ne pouvez pas effectuer de réplications EMS dans un environnement de groupe de travail.

Autorité de certification

L’un des impératifs pour l’installation de Forefront dans un environnement de groupe de travail est qu’un certificat serveur soit installé sur le serveur Forefront TMG. Puisque vous n’utiliserez ce certificat qu’en interne, Microsoft conseille de créer votre propre autorité de certification d’entreprise afin d’éviter les coûts liés à l’achat d’un certificat commercial.

Windows Server a tout ce qu’il vous faut pour le configurer comme autorité de certification. Considérant la nature sensible des certificats serveurs, vous devriez néanmoins déployer les services de certification sur un serveur autre que celui qui servira de passerelle Forefront dans le périmètre du réseau.

Une fois que vous avez choisi un serveur devant servir d’autorité de certification, ouvrez le Gestionnaire de serveur. Allez au conteneur de rôles et cliquez sur le lien Ajouter des rôles. Windows lancera l’Assistant d’ajout de rôles. Ignorez l’écran de bienvenue de l’Assistant et vous serez dirigé vers un écran qui vous demandera de choisir les rôles que vous voulez installer.

Choisissez le rôle Services de certificat Active Directory et cliquez sur Suivant. Vous verrez un message d’avertissement vous disant qu’une fois installés les services de certificat Active Directory, vous ne pourrez pas changer le nom du serveur ou le statut du domaine.

Vous serez invité à choisir les services de rôle que vous souhaitez déployer. Choisissez Autorité de certification et Services d’inscription de l’autorité de certification via le Web et cliquez sur Suivant.

À ce stade, Windows va vous demander si vous souhaitez déployer une autorité de certification autonome ou d’entreprise. Dans la mesure où vous configurez un environnement de groupe de travail, choisissez l’option Autonome. Cliquez sur Suivant et vous serez invité à choisir le type d’autorité de certification. Comme c’est la première autorité de certification de l’entreprise, choisissez l’option Autorité de certification racine et cliquez sur Suivant.

L’Assistant va maintenant vous demander si vous souhaitez créer une nouvelle clé privée ou utiliser une clé privée existante. Créez une nouvelle clé privée et cliquez sur Suivant.

Lorsque Windows affiche l’Assistant de chiffrement, cliquez sur Suivant pour accepter les valeurs par défaut. Vous serez ensuite invité à donner un nom commun pour l’Autorité de certification. Entrez le nom de votre choix et notez-le. Vous avez besoin de retenir ce nom pour plus tard lorsque vous déploierez Forefront.

Vous serez ensuite invité à sélectionner une période de validité du certificat. Cliquez sur Suivant pour accepter les valeurs par défaut. L’Assistant va maintenant vous demander d’indiquer un emplacement pour la base de données du certificat. Utilisez l’emplacement de votre choix, mais vous devez vous assurer de sauvegarder l’emplacement que vous avez choisi.

L’Assistant va ensuite afficher une présentation à IIS. Cliquez encore sur Suivant et vous pourrez installer des services de rôles supplémentaires pour IIS. Les services de rôles requis étant déjà sélectionnés, cliquez sur Suivant, puis sur Installer pour déployer les services de rôles requis. Lorsque le processus est fini, cliquez sur Fermer.

Préparation de votre serveur

Il vous faut préparer votre serveur avant d’installer Forefront TMG. Commencez par installer tous les correctifs récents Windows Server sur votre serveur. C’est important. Forefront n’a pas été correctement installé lorsque j’ai par mégarde sauté cette étape.

Une fois le serveur mis à jour, insérez le support d’installation de Forefront TMG 2010. Lorsque Windows affiche l’écran de démarrage Forefront, cliquez sur le lien Exécuter l’outil de préparation. Windows lancera l’Assistant Outil de préparation Forefront TMG.

Ignorez l’écran de bienvenue de l’Assistant et vous serez invité à accepter le contrat de licence. Vous verrez l’écran présenté Figure 1, qui vous demandera quel type d’installation Forefront vous voulez réaliser. Choisissez l’option Gestion et services Forefront TMG et cliquez sur Suivant.

Figure 1 Choisissez l’option Gestion et services Forefront TMG pour l’installation

Windows va maintenant installer tous les rôles et les fonctionnalités nécessaires. Lorsque le processus est terminé, assurez-vous que la case à cocher Lancer l’Assistant d’installation Forefront TMG est sélectionnée, puis cliquez sur Terminer.

Installation de Forefront TMG

Windows va ensuite lancer l’Assistant d’installation d’entreprise Forefront TMG. Après l’écran de bienvenue et l’acceptation du contrat de licence, cliquez sur Suivant et entrez la clé du produit. Cliquez une fois encore sur Suivant. L’Assistant va vous demander de confirmer le chemin d’installation. Si tout se déroule normalement, cliquez sur Suivant pour aller à l’écran Définir le réseau interne.

Forefront TMG est conçu pour être déployé dans le périmètre du réseau. Il doit donc savoir quelles adresses IP font partie de votre réseau interne. Vous pouvez fournir votre plage d’adresses internes en cliquant sur Ajouter.

La boîte de dialogue Adresses s’affiche. Cliquez sur Ajout de cartes, puis sélectionnez la carte connectée à votre réseau interne, comme affiché à la Figure 2. Si la carte utilise une adresse IP dynamique, il faudra peut-être retourner à la boîte de dialogue Adresses et préciser manuellement votre plage d’adresses.

Figure 2 Choisissez la carte connectée à votre réseau interne

Une fois spécifiées votre carte et toutes les plages d’adresses IP internes, cliquez sur Suivant. Un message d’avertissement peut s’afficher vous demandant de redémarrer certains services. Si vous voyez un tel avertissement, cliquez sur Suivant.

À ce stade, un message qui vous indique que la gestion à distance est en train d’être activée à partir de votre adresse IP. Si vous voyez un tel message, assurez-vous de noter l’adresse IP avant de cliquer sur Suivant.

Vous devriez maintenant voir un message disant que vous êtes prêt à installer Forefront. Cliquez sur le bouton Installer et le processus d’installation va commencer. Comme vous pouvez le voir Figure 2, l’Assistant vous donne une estimation de la durée du processus d’installation. Une fois le processus d’installation terminé, cliquez sur Terminer.

Configuration de Forefront TMG

Maintenant que vous avez installé Forefront TMG, ouvrez la console de gestion Forefront TMG et sélectionnez le nœud supérieur dans l’arborescence de la console. Cliquez sur le lien de l’Assistant Lancer Mise en route, situé dans le volet Actions. Forefront lancera l’Assistant de mise en route, affiché à la Figure 3.

Figure 3 L’Assistant de mise en route vous guide dans le processus de configuration

Cliquez sur le bouton des Configurer les paramètres réseau pour commencer le processus de configuration, tel qu’affiché à la Figure 3. L’Assistant Configuration du réseau est lancé. Ignorez l’écran de bienvenue de l’Assistant pour accéder à un écran qui vous demande de sélectionner le modèle de réseau qui représente le mieux votre topologie. Dans la mesure où nous allons configurer le serveur Forefront pour protéger le périmètre, sélectionnez Pare-feu de périmètre, tel qu’affiché à la Figure 4.

Figure 4 Sélectionnez l’option Pare-feu de périmètre

Vous serez invité à sélectionner la carte réseau connectée à votre réseau interne. Cela vous permet de préciser les itinéraires supplémentaires, mais cela sera rarement nécessaire dans un environnement de groupe de travail.

Après avoir fait votre sélection, cliquez sur Suivant et il vous sera demandé de choisir la carte réseau connectée à Internet. Faites votre sélection, puis cliquez sur Suivant et sur Terminer.

Configuration des paramètres système

Il est temps de configurer vos paramètres système. Cliquez sur le bouton Configurer les paramètres système affiché à la Figure 3. Windows lancera l’Assistant Configuration système.

Ignorez l’écran de bienvenue et vous verrez un écran similaire à celui présenté à la Figure 5. Dans un environnement de domaine, vous devrez fournir un nom de domaine et un suffixe DNS. Dans la mesure où nous configurons Forefront dans un groupe de travail, nous n’avons rien à faire. Cliquez sur Suivant, puis sur Terminer pour terminer la configuration système.

Figure 5 Vérifiez que Forefront est configuré pour un déploiement de groupe de travail

Définition des options de déploiement

La dernière étape du processus de configuration consiste à définir les options de déploiement. Cliquez sur le bouton Définir les options de déploiement, tel qu’affiché à la figure 3. Lorsque Windows démarre l’Assistant de déploiement, cliquez sur Suivant pour ignorer l’écran de bienvenue.

Il faudra ensuite spécifier si vous voulez utiliser Microsoft Update pour vérifier les mises à jour antivirus. Il est vivement recommandé de choisir Oui. Cliquez sur Suivant pour accéder à l’écran présenté à la Figure 6.

Figure 6 Activer la licence gratuite et l’inspection des logiciels malveillants

Comme vous le voyez figure 6, vous devez activer votre licence Forefront. Activez Network Inspection System qui va rechercher les codes malveillants au niveau du paquet HTTP/HTTPS. Il est également conseillé de sélectionner la case à cocher Activer l’inspection des logiciels malveillants. Vous pouvez aussi activer le filtrage d’URL si vous voulez.

Il vous faudra définir une option pour contrôler la fréquence de vérification des mises à jour antivirus. Par défaut, la vérification se fera toutes les 15 minutes. Vous pouvez aussi configurer une notification dans les cas où les vérifications de mise à jour sont interrompues pendant une période prolongée.

L’Assistant vous demandera si vous souhaitez participer au Programme d’amélioration de l’expérience utilisateur de Microsoft. Faites votre sélection, puis cliquez sur Suivant, puis sur Terminer pour finaliser le processus de configuration. Cliquez sur Fermer pour fermer l’Assistant de mise en route.

Windows va maintenant lancer automatiquement l’Assistant Stratégie d’accès au Web. Cet Assistant vous permet de contrôler les types de filtrage Web que Forefront réalise. Cliquez sur Suivant pour ignorer l’écran de bienvenue et afficher un écran qui vous demande si vous souhaiteriez créer une règle par défaut qui bloque les URL potentiellement malveillantes. Cliquez sur Oui, puis sur Suivant.

Un écran s’affiche et vous devrez spécifier les types de sites Web dont vous souhaitez bloquer l’accès. Par exemple, vous pouvez bloquer l’accès des sites contenant des propos haineux ou des contenus obscènes. La liste des contenus bloqués est automatiquement générée, mais vous pouvez l’adapter comme vous le souhaitez.

L’Assistant va vous demander si vous voulez appliquer les règles d’inspection des logiciels malveillants à la Stratégie d’accès au Web. Il est conseillé de choisir Oui. Il est également recommandé de sélectionner la case à cocher bloquant les fichiers ZIP cryptés qui peuvent potentiellement contenir des fichiers malveillants.

Vous devrez préciser si vous souhaitez permettre aux utilisateurs d’utiliser les sessions HTTP cryptées SSL (HTTPS). L’inspection du contenu HTTPS est recommandé, mais Forefront vous prévient que cela peut avoir des conséquences légales. Réfléchissez avant de prendre cette décision.

Si vous choisissez les inspections HTTPS, il vous sera demandé si vous souhaitez le faire savoir aux utilisateurs. Il vous sera également signifié qu’un certificat est requis pour effectuer ces inspections.

Vous pouvez soit générer un certificat autosigné avec Forefront, soit utiliser un certificat personnalisé. Le certificat autosigné n’est pas possible dans un environnement de groupe de travail, il vous faudra donc choisir l’option Certificat personnalisé. Il vous faudra ensuite indiquer le nom de votre autorité de certification. Il s’agit du nom convivial que vous avez défini lorsque vous avez créé l’autorité de certification. Ce n’est pas nécessairement le nom de machine du serveur.

Enfin, un message vous indiquera que vous devez exporter et déployer manuellement le certificat. Indiquez dans l’Assistant le dossier de destination vers lequel le certificat peut être téléchargé, puis cliquez sur Suivant. Lorsque vous y serez invité, activez la règle de mise en cache Web par défaut pour finaliser le processus.

Cette procédure installe Forefront TMG de façon à ce qu’il puisse inspecter les paquets HTTP/HTTPS au fur et à mesure qu’ils arrivent dans votre périmètre réseau. Gardez à l’esprit que Forefront TMG offre de nombreuses autres fonctionnalités, telles que l’inspection des messages électroniques. Il s’agit d’un déploiement plus simple qui convient parfaitement à la sécurisation des groupes de travail.

Brien Posey*, MVP, est un auteur technique indépendant avec des milliers d’articles et des dizaines de livres à son actif. Vous pouvez consulter le site Web de Brien à l’adresse brienposey.com.*

Contenu associé :

• Considérations sur les domaines et les groupes de travail
• Préparation à l’installation
• Configuration de Forefront TMG pour le déploiement de groupes de travail