14
Editions ENI Les stratégies de groupe (GPO) sous Windows Server 2008 Implémentation, fonctionnalités, dépannage Collection Expert IT Extrait

Windows Server 2008 (Extrait Du Livre)

Embed Size (px)

Citation preview

Page 1: Windows Server 2008 (Extrait Du Livre)

Editions ENI

Les stratégies de groupe (GPO) sous Windows Server 2008

Implémentation, fonctionnalités, dépannage

CollectionExpert IT

Extrait

Windows Server 2008 R2 Administration avancée

CollectionExpert IT

Extrait

Page 2: Windows Server 2008 (Extrait Du Livre)

Chapitre 6Stratégies de groupe et sécurité

1. Introduction

Dans le domaine informatique, la sécurité est un des éléments les plus sen-sibles. Le terme sécurité est large et il englobe une multitude de concepts.La sécurité physique des données de l'entreprise, l'intégrité des donnéesinformatiques, leur disponibilité et leur sauvegarde contribuent au main-tien de l'existence de l'entreprise. La majorité des réseaux d'entreprise sontaujourd'hui connectés à Internet. Il existe deux grandes catégories : la sécu-rité domestique et la sécurité extérieure.

La sécurité domestique relève de toutes les manipulations maladroites ouintentionnelles qui peuvent nuire à l'intégrité du réseau local. La sécuritéextérieure doit empêcher les attaques, virus et autres programmes malveil-lants d'agir. Ceux-ci sont majoritairement issus de l'extérieur de l'entreprise.Ces intrusions proviennent le plus souvent d'Internet ou de supportsamovibles.

Maîtriser les stratégies de groupe dans les environnements Windows, c'estaugmenter la capacité de sécurisation de l'entreprise. D'innombrables para-mètres de stratégies liées à la sécurité des postes de travail et des serveursainsi que des données du réseau sont configurables avec les GPO.

207

Page 3: Windows Server 2008 (Extrait Du Livre)

Les politiques de sécurité varient d'une organisation à une autre, selon lesbesoins définis et l'activité de celles-ci. Une fois le niveau de sécurité déter-miné, il est possible de configurer les stratégies de groupe correspondantes.

Lister et détailler toutes les options de sécurité et leur impact n'est pasl'objet de cet ouvrage. Nous allons plutôt nous concentrer sur les élémentsprincipaux inhérents à la sécurité de Windows grâce aux stratégies degroupe.

Dans ce chapitre, nous présenterons les paramètres de sécurité considéréscomme les plus importants. Nous expliquerons leurs actions et exploreronsles différents niveaux des stratégies de sécurité.

2. Création du domaine et stratégies par défaut

Dans un domaine existant, les administrateurs habilités sont seuls respon-sables de la création de nouvelles stratégies de groupe, de leurs liaisons auxsites, aux domaines ou aux unités d'organisations et des paramètres qu'ellemodifie.

Lors de la création d'un nouveau domaine, certaines opérations sont exécu-tées automatiquement dont la création des stratégies de groupe par défaut.

Initialement, lors de la promotion d'un serveur à contrôleur de domaine,l'unité d'organisation Domain Controllers est créée dans Active Directory.C'est dans cette unité d'organisation que seront hébergés les objets contrô-leur de domaine par défaut.

La stratégie de groupe Default Domain Policy est ensuite créée et liée auniveau du domaine. Cette GPO est la stratégie de domaine par défaut. Lesparamètres définis s'appliquent à tous les objets contenus dans ActiveDirectory.

Pour finir, la stratégie de groupe Default Domain Controllers Policy estcréée et liée à l'unité d'organisation Domain Controllers. Cette GPO définitles paramètres de stratégies qui s'appliquent aux contrôleurs de domaine del'entreprise.

Les stratégies de groupe (GPO)sous Windows Server 2008

208

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

Page 4: Windows Server 2008 (Extrait Du Livre)

Microsoft recommande de modifier uniquement les paramètres de sécuritéde ces stratégies de groupe. Pour toute modification n'ayant aucun lienavec la sécurité, il est préférable de créer des GPO exclusives. Il est ensuitepossible de les lier au niveau du domaine si nécessaire.

�Remarque

Attention : si l'intégrité des stratégies de groupe Default Domain Policy et

Domain Controllers Policy est altérée, il est très difficile de revenir en

arrière !

2.1 La stratégie Default Domain Policy

La stratégie Default Domain Policy est par défaut liée au domaine ActiveDirectory.

Le but principal de cette stratégie est de définir les politiques utilisées pourles comptes utilisateurs du domaine.

Voici les trois paramètres de stratégie qui nous intéressent :- Politiques de mot de passe- Stratégies de verrouillage du compte- Stratégies des comptes Kerberos

Ces trois paramètres définissent la façon dont les comptes utilisateurs vontfonctionner dans le réseau. Vous pouvez modifier directement la stratégiede groupe Default Domain Policy ou créer une nouvelle GPO pour configu-rer les paramètres de comptes utilisateurs de votre organisation. Une fois laGPO terminée, il suffit de la lier au domaine pour qu'elle fonctionne de lamême façon que la stratégie par défaut Default Domain Policy.

L'utilisation de cette option garantit l'intégrité de la stratégie DefaultDomain Policy et ne prend pas plus de temps à configurer. Dans ce cas, ilest impératif de prendre en compte les principes de précédence des GPO.

Stratégies de groupe et sécuritéChapitre 6

209

Page 5: Windows Server 2008 (Extrait Du Livre)

2.1.1 Les paramètres de stratégie du domaine

Il existe cinq paramètres de stratégie qui, une fois modifiés, ne prennenteffet que si la GPO est liée au niveau du domaine. Voici la liste de ces para-mètres et leurs fonctions :- Forcer la déconnexion des comptes… : il est possible de définir les plages

horaires pendant lesquels les comptes Active Directory des utilisateursfonctionnent. Passée la limite, les utilisateurs sont automatiquementdéconnectés de leurs sessions.

- Comptes : Renommer le compte administrateur local : vous pouvezrenommer le nom du compte administrateur local du poste.

- Comptes : Renommer le compte invité : vous pouvez l'utiliser pourrenommer le compte invité sur les postes de travail.

- Comptes : Statut du compte administrateur : cette option fonctionne àpartir des versions Windows Server 2003 et supérieures. Vous pouvezdésactiver le compte administrateur local sur les postes de travail.

- Comptes : Statut du compte invité : cette option fonctionne à partir desversions Windows Server 2003 et supérieures. Vous pouvez désactiver lecompte invité sur les postes de travail.

�Remarque

Ces paramètres de stratégie ne fonctionnent que s'ils sont appliqués au

domaine entier.

2.1.2 Modifier la Default Domain Policy ou en créer une nouvelle

Il est possible de modifier directement la Default Domain Policy pourconfigurer le comportement des comptes utilisateurs du domaine ou decréer une stratégie à part entière et de la lier au niveau du domaine.

Si vous choisissez de créer une nouvelle GPO pour configurer les comptesutilisateurs, le problème de la précédence des GPO se pose. Or, dans le cha-pitre Gérer les stratégies avec la console GPMC 2.0 (Gérer les GPO avec laconsole de gestion des stratégies de groupes - GPMC 2.0), nous avons indi-qué que la dernière GPO qui s'applique "gagne". Il faudra donc changer laprécédence de la stratégie des comptes utilisateurs pour qu'elle s'appliqueen dernier, après la Default Domain Policy. Sinon, les paramètres de confi-guration des comptes utilisateurs ne prendront pas effet sur les postes de

Les stratégies de groupe (GPO)sous Windows Server 2008

210

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

Page 6: Windows Server 2008 (Extrait Du Livre)

travail car ils seront annulés et remplacés par ceux de la Default DomainPolicy.

Il est recommandé de modifier la Default Domain Policy directement pourles paramètres de stratégies des comptes utilisateurs. Il faut penser à luiattribuer le niveau de précédence le plus élevé, et éviter l'apparition de con-flit car elle aura la priorité sur les autres GPO du domaine.

2.2 Stratégie Default Domain Controllers Policy

Dans un domaine Active Directory, tous les serveurs promus au rang decontrôleurs de domaine sont automatiquement intégrés à l'Unité d'Organi-sation Domain Controllers.

La stratégie Default Domain Controllers Policy créée par défaut à la miseen place du domaine définit les paramètres de stratégie qui s'appliquent àtous les contrôleurs de domaine contenus dans l'Unité d'OrganisationDomain Controllers.

Vous pouvez également créer une nouvelle GPO pour configurer les contrô-leurs de domaine et lui attribuer le plus haut niveau de précédence pourqu'elle s'applique après la stratégie par défaut. Mais il est recommandéd'utiliser la Default Domain Controllers Policy disponible à cet effet.

2.3 Réparer les stratégies par défaut (Default Domain Policyet Default Domain Controllers Policy)

Il arrive que les stratégies de groupe soient corrompues et ne fonctionnentplus correctement. Il est recommandé d'utiliser les sauvegardes des straté-gies par défaut faites idéalement avant les premières modifications.

Si aucune sauvegarde n'a été effectuée, Windows Server 2008 propose desoutils en ligne de commande qui permettent de restaurer les stratégies degroupe à leur état initial. Ces commandes fonctionnent à partir de la ver-sion 2003 de Windows Server et offre les fonctionnalités suivantes : restau-ration de la stratégie Default Domain Policy ou de Default DomainControllers Policy ou les deux ensembles.

Stratégies de groupe et sécuritéChapitre 6

211

Page 7: Windows Server 2008 (Extrait Du Livre)

Pour effectuer une restauration des stratégies de domaine par défaut, il fautêtre connecté au serveur contrôleur de domaine principal avec les droitsd'administration requis.

Une fois authentifié, éditez une fenêtre de commande DOS et tapez lacommande DCGPOFIX en choisissant un des paramètres suivants :

DCGPOFIX /Target:Domain pour restaurer la Default Domain Policy.

DCGPOFIX /Target:DC pour restaurer la Default Domain ControllersPolicy.

DCGPOFIX /Target:BOTH pour restaurer les deux.

Toutefois, DCGPOFIX ne fonctionne pas si le schéma Active Directory asubi des modifications depuis l'installation du contrôleur de domaine.

Dans ce cas, utilisez la commande suivante :

GPOFIX /ignoreschema pour ignorer les modifications du schéma.

�Remarque

Astuce : pour restaurer les GPO par défaut d'un contrôleur de domaine

Windows Server 2000, vous pouvez télécharger l'outil RecreateDefPol sur le

site de Microsoft.

3. Configurer la Default Domain Policy

Comme évoqué précédemment dans ce chapitre, la Default Domain Policycomporte trois paramètres principaux qu'il est intéressant de configurer.Nous rappelons que ces paramètres concernent la sécurité et plus particu-lièrement la gestion des comptes utilisateurs du domaine.

Les objets de stratégie sont localisés dans le nœud Configuration ordina-teur - Stratégies - Paramètres Windows - Stratégie de comptes.

Dans ce paragraphe, nous allons définir et mettre en place une politique degestion des comptes utilisateurs du domaine.

Les stratégies de groupe (GPO)sous Windows Server 2008

212

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

Page 8: Windows Server 2008 (Extrait Du Livre)

Les stratégies de groupe (GPO) sous Windows Server 2008

Implémentation, fonctionnalités, dépannage

CollectionExpert IT

Extrait

Editions ENI

Windows Server 2008 R2 Administration avancée

CollectionExpert IT

Extrait

Page 9: Windows Server 2008 (Extrait Du Livre)

Chapitre 5Mise en place des services

réseaux d'entreprise

1. Introduction

Ce chapitre est consacré à la définition et la configuration des composants néces-saires au bon fonctionnement d'un réseau d'entreprise basé sur Windows2008/2008 R2.Les composants IP, DNS, DHCP, WINS, ainsi que la mise en place de la quaran-taine réseau sur DHCP, IPSEC et 802.1x seront abordés.

2. L’implémentation d'un système d'adressage IP

La mise en place de toute architecture réseau passe par l’analyse des réseaux exis-tants. Il est souvent difficile de modifier l’ensemble en une seule fois. La migrationse fait donc souvent en implémentant un nouvel adressage réseau et une cohabita-tion avec les réseaux existants. La modification de l’adressage IP est souvent vuecomme une modification coûteuse, n’apportant que peu d’avantagessupplémentaires.Le changement d’un domaine DNS est encore plus compliqué, surtout lorsque cedomaine DNS sert de support à un domaine Active Directory. Dans ce cas, unemigration représente une étude particulière qui sort du cadre de cette présentation.

201

Page 10: Windows Server 2008 (Extrait Du Livre)

2.1 Le choix de l'architecture réseaux

Deux point précis sont à étudier à ce niveau :- le choix de la zone DNS ;- le choix de la classe réseau.

2.1.1 La zone DNS

Deux aspects sont importants lors du choix de la zone DNS.Le nom de la zone DNS choisi doit correspondre à l’intégralité de l’entité (Entre-prise, Groupe, etc.) que l’on souhaite gérer. Ce nom doit pourvoir être accepté partoutes les entités dépendantes qui vont se retrouver dans cette zone. Le problèmeest beaucoup plus politique que technique !Si une entité n’entre pas dans ce cadre, cela veut dire qu’une zone DNS spécifiquedevra lui être affectée.Si la zone DNS doit être utilisée sur Internet, le domaine DNS sera forcément pu-blic et enregistré, c'est-à-dire utilisant une extension reconnue de type " .FR, .COM.INFO... " !En revanche, pour un réseau interne, le domaine peut être public ou privé. Lechoix le plus courant est alors d’utiliser un domaine DNS local avec une extensioninconnue sur Internet. L’extension .local est très souvent utilisée sous la formeMaSociete.local. Le découpage entre ce qui est interne ou externe est plus facile àsécuriser. En revanche, l’utilisation d’un même nom suppose une double adminis-tration, donc plus complexe, de serveurs DNS différents pour ne rendre visible surInternet que ce qu’il est souhaitable de montrer.

2.1.2 La classe réseau

Pour tous les réseaux internes, le choix se portera évidemment toujours sur lesclasses réseaux privées. Si l’on ne peut pas toujours modifier l’intégralité desréseaux existants pour des raisons souvent historiques, on peut au moins créertous les nouveaux réseaux en suivant cette règle.La classe du réseau se choisit en fonction du nombre de machines présentes sur leréseau, du nombre de sites, etc. Un réseau de classe C (192.168.0.X) représentesouvent le bon choix initial. Il est toujours possible de changer de classe, de réseauou même surtout d’utiliser plusieurs réseaux en fonction des besoins.L’usage de TCPIPv6 n’est pas encore bien développé mais deviendra nécessairedans les 2 ou 3 années qui suivent, principalement sur Internet. Sur le réseau local,il reste encore de nombreux logiciels qui ne sont pas compatibles, mais ceci devraitévoluer très rapidement !

Windows Server 2008 R2Administration avancée

202

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

Page 11: Windows Server 2008 (Extrait Du Livre)

2.2 L’installation d’un serveur DHCP

Si le service DHCP permet de mettre en place rapidement le réseau choisi, il per-met aussi de modifier rapidement et globalement une série de paramètres. Il resteencore quelques irréductibles qui n’utilisent pas ce service, c’est maintenantrarissime.Parmi les nombreux composants de Windows 2008/2008 R2, le service DHCP estun rôle.

2.2.1 Définition

Le protocole DHCP (Dynamic Host Configuration Protocol) a pour but de fournir uneadresse IP et un masque à tout périphérique réseau (station, serveur ou autre) quien fait la demande. Selon la configuration, d’autres paramètres tous aussi impor-tants seront transmis en même temps : les adresses IP de la route par défaut, desserveurs DNS à utiliser, des serveurs WINS et le suffixe de domaine, pour ne citerque les principaux.DHCP est souvent réservé aux stations, aux imprimantes et ne devrait servirqu’exceptionnellement aux serveurs.

2.2.2 L’installation

Comme pour tous les composants Windows, l’installation peut se faire graphique-ment ou en mode commande sans avoir besoin d’insérer le moindre média.servermanagercmd –install DHCP

�Remarque

Attention, le service devra être mis en démarrage automatique !

sc \\%COMPUTERNAME% config DHCPServer start= auto

Le service peut ensuite être démarré de manière classique :NET START DHCPSERVER

Le démarrage du service permet de le rendre accessible et configurable.Pour que le service DHCP commence à distribuer des adresses, il est indispensablede configurer et d’activer une étendue.Attention, si le serveur qui héberge DHCP fait partie d’une forêt Active Directory,il doit en plus avoir été autorisé par des administrateurs membres du groupe« Administrateurs de l’entreprise » ou ayant reçu les droits d’administrationDHCP.

Mise en place des services réseaux d'entrepriseChapitre 5

203

Page 12: Windows Server 2008 (Extrait Du Livre)

Le service DHCP comme les autres services réseaux de références (DNS, WINS)devraient toujours être installés sur des serveurs disposant d’adresses IP fixes.

2.2.3 La configuration

La console d’administration DHCP est automatiquement installée en même tempsque le service, mais peut aussi être lancée à partir de toute autre machine possé-dant cette console.Même sur le serveur lui-même, sélectionnez le serveur DHCP (ou les serveurs) quevous souhaitez gérer. La liste des serveurs déjà autorisés s’affiche automatique-ment.

s Pour autoriser un serveur DHCP, utilisez l’option Gérer les serveurs autori-sés, puis cliquez sur le bouton Autoriser, et saisissez le nom ou l’adresse IP.Les serveurs autorisés apparaissent avec une flèche verte.

Chaque serveur DHCP peut servir de nombreuses étendues, mais une seule pourchaque réseau IP.

Windows Server 2008 R2Administration avancée

204

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e

Page 13: Windows Server 2008 (Extrait Du Livre)

Voici une étendue classique pour un réseau 192.168.2.X de classe C utilisant lemasque standard 255.255.255.0 !

La plage utilisée ne doit pas forcément utiliser la totalité de la classe réseau afin delaisser de la place pour les serveurs, les adresses IP réservées pour les imprimantes.La route par défaut fait partie des paramètres habituels liés à l’étendue.Les options au niveau du serveur contiennent les paramètres qui sont valables glo-balement sur toutes les étendues.

Mise en place des services réseaux d'entrepriseChapitre 5

205

Page 14: Windows Server 2008 (Extrait Du Livre)

Les options Serveurs (005,006,015,046) servent de valeur par défaut, mais sontremplacées par les options de l’étendue qui ont priorité.- La zone Nom de domaine DNS ne permet pas de spécifier plusieurs suffixes de

recherche DNS. Si nécessaire, les stratégies proposent d’ajouter des suffixes derecherche.

- Le Type de Nœud avec la valeur 0x8 configure le mode de résolution hybride.C'est-à-dire qu’une interrogation des serveurs DNS/WINS sera faite en premier,avec bascule en mode Broadcast en cas d’échec.

Certaines propriétés avancées du serveur DHCP peuvent être très intéressantes àconfigurer.Par exemple, lorsque la zone Tentatives de détection de conflit est configuréeavec une valeur supérieure à zéro, DHCP utilisera l’instruction ping pour détermi-ner l’existence éventuelle d’une machine sur cette adresse.

La mise à jour dynamique des DNS est un élément particulièrement important àgérer.

Windows Server 2008 R2Administration avancée

206

©Edit

ions

EN

I-

Toute

repro

ducti

on

inte

rdit

e