par Douglas Toombs
Il y a 5 ou 6 ans, deux grands acteurs s'affrontaient autour d'une proie alléchante,
baptisée « part de marché ». Celle qui remporterait la plus grosse part serait
adorée par les richissimes habitants consensuels d'un pays mystique répondant
au nom implacable de Wall Street. A l'époque cette part était entre les griffes
de Novell et Microsoft la convoitait.
Ceux de nos lecteurs qui fréquentent l'univers de l'informatique depuis suffisamment
longtemps pour se rappeler les premiers pas de Windows NT, savent que si Microsoft
a pu glisser un pied dans la porte (y compris de certains comptes Novell purs
et durs), c'est grâce à l'ajout à NT de services inexistants sur les autres plates-formes.
A l'époque, un de ces cadeaux gratuits les plus connus fut le service d'accès
à distance RAS. Ses concurrents les plus acharnés étaient les périphériques matériels
propriétaires et Novell NetWare Connect, mais leurs coûts de licences par port
étaient très élevés.
Windows NT s'est lentement infiltré dans les organisations en introduisant l'un
après l'autre des services gratuits répondant à des besoins spécifiques des consommateurs.
Malheureusement, bon nombre de ces " plus " n'ont pas atteint la même maturité
que Windows NT au fil des ans. Malgré quelques améliorations à chaque révision
du système d'exploitation, RAS s'est avéré insuffisant dans certains domaines
importants pour entreprises, en particulier pour ce qui est de gérer quel utilisateur
peut se connecter à un serveur RAS et à quel moment. Le RAS de NT n'est pas étranger
à la sécurité des domaines et aux stratégies de comptes, mais les administrateurs
veulent souvent pouvoir contrôler davantage les utilisateurs appelant de l'extérieur.
Pour répondre à leurs attentes, Microsoft a ajouté à Windows 2000 Server des stratégies
d'accès à distance que RAS peut appliquer aux connexions entrantes.
Mettre en place des stratégies d’accès distant
Avant d’aborder les bases de la création de stratégies RAS pour un système, il
faut en comprendre les principaux composants et savoir comment les stratégies
sont appliquées par Windows 2000 aux utilisateurs qui essaient de se connecter
au serveur. Dans Windows 2000 Server, les stratégies se composent de trois composants
principaux. Le premier consiste en une ou plusieurs conditions, telles que l’heure
ou le numéro de téléphone à l’origine d’une connexion entrante. Le second consiste
à accorder ou refuser la permission en fonction de la ou des conditions. Le troisième
est un profil de paramètres à appliquer à la connexion si la permission est accordée.
Dans Windows 2000 Server, les stratégies se composent de trois composants
principaux
Lorsqu’une demande de connexion arrive au serveur RAS, celui-ci entreprend une
série de démarches pour déterminer s’il doit permettre la connexion au réseau
et comment la traiter. A cette fin, il suit une procédure prédéfinie qui n’est
pas apparente pour les interfaces Windows 2000 standards. Celles-ci n’indiquent
pas, par exemple, si l’option accorder ou refuser pour la stratégie d’accès à
distance annule les paramètres définis par les utilisateurs ou vice-versa. Heureusement,
Microsoft a documenté la logique dans son Aide en ligne, ce qui me permet de vous
résumer la procédure.
Le serveur RAS commence par comparer les conditions de la première stratégie d’accès
à distance définie sur votre système avec celles de la connexion entrante. S’il
constate une correspondance entre les deux, il applique la stratégie à la connexion
entrante. Sinon, il recherche une correspondance avec la seconde stratégie de
la liste, puis avec la troisième etc. Même s’il s’agit d’un serveur RAS nouvellement
créé et qu’il n’y a pas encore de stratégies définies, le système a une stratégie
consistant à Permettre l’accès si la permission d’appel entrant est activée. Windows
2000 la crée automatiquement comme stratégie par défaut, puisque RAS rejette toutes
les connexions avec le système s’il ne trouve pas de stratégies correspondantes.
La condition associée avec cette stratégie permet à quiconque de se connecter
au système sans exception. En raison de la permissivité de la stratégie par défaut,
je recommande de la déplacer vers le bas de la liste de stratégies ou de la supprimer
carrément. Sa suppression indique au serveur RAS de refuser tout ce qui n’est
pas explicitement permis – une bonne précaution de sécurité à prendre par tout
administrateur.
Lorsque le serveur RAS trouve une stratégie dont les conditions correspondent
à la connexion entrante, il dispose de trois actions au choix : permettre l’accès,
le refuser ou le contrôler grâce à une stratégie d’accès à distance. L’action
se détermine au moyen des options de l’onglet Appel entrant de la boîte de dialogue
Propriétés d’un utilisateur (Figure 1). Pour un serveur autonome, l’accès à la
boîte de dialogue se fait par l’option Gestion des ordinateurs du menu Outils
d’administration ; pour un serveur appartenant à un domaine, l’accès à la boîte
de dialogue se fait au moyen du composant enfichable de la MMC (Microsoft Management
Console) Utilisateurs et ordinateurs Active Directory. Bien entendu, si c’est
l’option Refuser l’accès qui est sélectionnée pour un utilisateur, le serveur
RAS rejette la tentative de connexion. Mais s’il s’agit de permettre ou de contrôler
l’accès grâce à une stratégie d’accès à distance, les choses sont un peu plus
délicates.
Si l’option Permettre l’accès est sélectionnée, le serveur RAS vérifie les propriétés
des appels entrants définies pour l’utilisateur. Si elles correspondent aux conditions
de la stratégie, il permet la connexion ; sinon, il la rejette. Supposons, par
exemple, que les propriétés des appels entrants de l’utilisateur Mary spécifient
que les appels doivent provenir seulement de son numéro de téléphone personnel,
le 703-555-1212. Si Mary appelle d’un autre numéro, le serveur RAS rejettera sa
connexion.
Si l’option Contrôler l’accès grâce à la stratégie d’accès à distancer est sélectionnée
pour un utilisateur (option disponible seulement dans les domaines Windows 2000
en mode natif ou dans les serveurs autonomes), RAS détermine si l’option Accorder
la permission d’accès à distance de la stratégie est sélectionnée ; si c’est le
cas, il accorde (enfin) l’accès à l’utilisateur.
Vous avez tout pigé du premier coup ? Personnellement j’ai dû prendre un crayon
et du papier pour dessiner l’organigramme que montre la Figure 2, avant d’être
certain d’avoir bien compris la procédure. Mais puisque vous savez à présent comment
RAS détermine à quel moment il faut appliquer une stratégie, jetons un coup d’oeil
à ce que l’on peut faire avec une stratégie d’accès à distance.
Téléchargez cette ressource
Guide inmac wstore pour l’équipement IT de l’entreprise
Découvrez toutes nos actualités à travers des interviews, avis, conseils d'experts, témoignages clients, ainsi que les dernières tendances et solutions IT autour de nos 4 univers produits : Poste de travail, Affichage et Collaboration, Impression et Infrastructure.
Les articles les plus consultés
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Une baie de stockage c’est quoi ?
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- Activer la mise en veille prolongée dans Windows 10
Les plus consultés sur iTPro.fr
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
- Intégration et utilisation de l’IA en 3 conseils clés
- CRM : quand l’IA fait dans le détail
- Baromètre cybersécurité 2023 : Top 7 des enseignements
- Sauvegarde : Comment protéger les données contre les menaces de ransomware en constante évolution ?
