> Tech > Configurer la stratégie d’accès à  distance

Configurer la stratégie d’accès à  distance

Tech - Par Renaud ROSSET - Publié le 24 juin 2010
email

Jusqu'ici, la quarantaine n'a pas encore été appliquée. Ca ne va pas tarder. Bien que votre serveur VPN soit en mesure d'imposer la quarantaine, votre serveur IAS doit demander au serveur VPN la quarantaine pendant l'authentification. Voici comment configurer le serveur IAS pour qu'il demande la quarantaine :

Configurer la stratégie d’accès à  distance

Sur le menu Start du serveur IAS,
sélectionnez All Programs, Internet
Authentication Service.

  • Faites un clic droit sur Remote
    Access Policies et sélectionnez New
    Remote Access Policy pour lancer
    le New Remote Access Policy
    Wizard. Cliquez sur Next pour sauter
    la page Welcome.

  • Dans la boîte de dialogue d’ouverture,
    tapez Quarantine Policy dans
    le champ Policy Name. Cliquez sur
    Next. Assurez-vous que le bouton
    radio VPN est sélectionné et cliquez
    sur Next à  nouveau. (Si vous voulez
    créer des quarantaines séparées
    pour les clients dial-up et sous-fichier,
    vous pouvez répéter ce wizard
    pour les autres types de
    connexion.)

  • Dans la boîte de dialogue User or
    Group Access qui apparaît, vous
    devez préciser quels groupes vous
    voulez que la stratégie d’accès à 
    distance affecte. En option, vous
    pouvez créer un groupe d’utilisateurs
    qui seront soumis à  quarantaine.
    Pour cet exemple, cliquez sur
    Add et tapez Domain Users dans le
    champ Object Names pour soumettre
    tous les utilisateurs du domaine
    à  la quarantaine. Cliquez sur
    OK puis deux fois sur Next.

  • Vous voulez que vos clients distants
    utilisent toujours la méthode de
    cryptage la plus rigoureuse possible.
    Il faut donc que seule la case
    Strongest Encryption soit cochée
    dans la boîte de dialogue Policy
    Encryption Level. Mais ne choisissez
    pas cette option si vous avez
    d’anciens clients pratiquant d’anciennes
    méthodes de cryptage.
    Cliquez sur Next et sur Finish. Vous
    disposez désormais d’une nouvelle
    Stratégie d’accès à  distance appelée
    Stratégie de quarantaine.

  • Pour configurer les attributs spécifiques
    qui créeront l’environnement
    sous quarantaine, faites un
    clic droit sur la stratégie de quarantaine
    nouvellement créée et sélectionnez
    Properties. Cliquez sur Edit
    Profile et sélectionnez l’onglet
    Advanced. Dans la boîte de dialogue
    Add Attribute, défilez jusqu’à 
    la section qui liste Microsoft dans la
    colonne Vendor, comme dans la figure
    3
    . Parmi les attributs qui apparaîtront,
    deux seulement vous intéressent
    :MS-Quarantine-Session-Ti
    meout (qui vous permet de préciser
    le nombre de secondes accordées
    aux clients pour exécuter le
    script) et MS-Quarantine-IPFilter
    (pour ajouter de multiples filtres
    en entrée et sortie).

  • Sélectionnez l’attribut MS-Quarantine-
    Session-Timeout et cliquez
    sur Add pour obtenir la boîte de
    dialogue Attribute Information.
    (Vous pouvez aussi double-cliquer
    sur le nom de l’attribut.) Pour la valeur
    de l’attribut MS-Quarantine-
    Session-Timeout, choisissez une
    période qui laisse aux clients suffisamment
    de temps pour exécuter
    le script de quarantaine. Pour cet
    exemple, entrez 60 dans le champ
    Attribute value, pour autoriser 60
    secondes pour l’exécution du
    script de quarantaine. Cliquez sur
    OK.

  • Sélectionnez l’attribut MS-Quarantine-
    IPFilter et cliquez sur Add.
    Cliquez sur Input Filters dans la
    boîte de dialogue IP Filter Attribute
    Information pour afficher la boîte
    de dialogue Inbound Filters. Au minimum,
    il vous faudra deux filtres
    d’entrée : un filtre d’entrée pour la
    communication entre rqc.exe et
    rqs.exe et un autre pour la communication
    DHCP. Donc, pour cet
    exemple, configurons les filtres
    d’entrée pour le port TCP 7250, qui
    est le port par défaut sur lequel
    rqs.exe écoute la communication
    provenant de rqc.exe et les ports
    UDP 67 et 68 que DHCP utilise.
    Vous pourriez aussi autoriser la
    communication DNS sur le port
    UDP 53 et la communication WINS
    sur le port UDP 137, si cela correspond
    aux besoins de votre réseau.
    Si vous voulez que les utilisateurs
    puissent se connecter à  un serveur
    Web, vous pourrez toujours ajouter un filtre au port TCP 80.

  • Dans la boîte de dialogue Inbound
    Filters, cliquez sur New. Dans la
    boîte de dialogue Add IP Filter qui
    apparaît, sélectionnez TCP dans la
    boîte de liste déroulante Protocol.
    Dans le champ Destination Port,
    entrez la valeur 7250. Laissez les
    autres champs vierges et cliquez
    sur OK.

  • Pour ajouter le second filtre pour
    DHCP, cliquez à  nouveau sur New
    dans la boîte de dialogue Inbound
    Filters. Dans la boîte de liste déroulante
    Protocol, sélectionnez UDP.
    Dans le champ Destination Port,
    entrez la valeur 67. Dans le champ
    Source Port, entrez la valeur 68.
    Cliquez sur OK. Vous venez de
    créer l’environnement mis en quarantaine.
    Cliquez deux fois sur OK
    pour fermer la boîte de dialogue
    Inbound Filters et la boîte de dialogue
    IP Filter Attribute Information.
    Cliquez sur Close pour fermer
    la boîte de dialogue Add
    Attribute.

  • Cliquez une fois sur Apply et deux
    fois sur OK pour appliquer la nouvelle
    remote access policy. Tout
    client qui se connecte doit désormais
    exécuter CheckFile.bat et rester
    en quarantaine pendant l’exécution
    du script. Lors de la connexion
    du client, le serveur VPN appliquera
    les filtres IP appropriés à  la
    nouvelle connexion.
  • Téléchargez cette ressource

    Comment sécuriser une PME avec l’approche par les risques ?

    Comment sécuriser une PME avec l’approche par les risques ?

    Disposant de moyens financiers et humains contraints, les PME éprouvent des difficultés à mettre en place une véritable stratégie de cybersécurité. Opérateur de services et d’infrastructures, Naitways leur propose une approche pragmatique de sécurité « by design » en priorisant les risques auxquelles elles sont confrontées.

    Tech - Par Renaud ROSSET - Publié le 24 juin 2010