Utilisation de NAP + DHCP

Introduction au NAP

NAP ou « Network Access Protection » est une technologie Microsoft introduite dans Windows Server 2008 autrefois appelé « Network Access Quarantine Control » dans Windows Server 2003. NAP permet de contrôler l’accès réseau d’un hôte à partir de la conformité du système hôte en question. On détermine si un hôte est sain ou pas en fonction d’options configurées sur le serveur.

Cette fonctionnalité améliore donc la sécurité réseau des entreprises qui elles-mêmes définissent des stratégies pour les clients de leur réseau. Les machines sont définies comme étant saines et peuvent donc accéder au réseau si et seulement si, elles répondent aux exigences définies par l’administrateur (Firewall actif / mises à jours activées / antivirus activé / …). Dans le cas contraire, elles seront isolées et n’auront pas d’accès au réseau tant qu’elles ne seront pas en conformité avec les stratégies.

Une remarque importante est à souligner : bien que le NAP permet de protéger l’accès au réseau, un client dont le pc passe correctement les vérifications du service NAP et accède au réseau, peut tout à fait pirater ce dernier.

Administration des périphériques réseaux par l’intermédiaire de l’Active Directory

Introduction

De nos jours, la sécurité est une d’une grande importance dans la quasi-totalité des entreprises à haute responsabilité. Nombreux sont les outils permettant de rendre les attaques externes « impossibles ». Le problème qui se pose actuellement se passe en interne de l’entreprise. Il faut également assurer une certaine sécurité au sein de celle-ci.
Le rôle NPS (Network Policy Server) va aider à l’administration des périphériques réseaux (tel qu’un switch par exemple).

Explications

Pour mieux comprendre le but du NPS (et des notions qui en découlent), quelques définitions s’imposent :

  • Network Policy and Access Services :
    Regroupement logique de rôles présent sur Windows Serveur. Il contient entre autre le rôle Network Policy Server.
  • Network Policy Server :
    Il s’agit d’un rôle disponible sur Windows serveur 2008 et 2008 R2. Le NPS va gérer l’authentification (serveur RADIUS) par le biais de l’Active Directory mais également les autorisations selon différents modes de connexions (locale, VPN, …).Grâce à lui, nous pourrons :
  • Accéder aux ressources de l’entreprise via une connexion à distance
  • S’authentifier grâce à l’Active Directory
  • Gérer les droits grâce aux GPOs
  • RADIUS :
    Le NPS peut être utilisé comme serveur RADIUS, Remote Authentication Dial-In User Service, pour permettre l’authentification, l’autorisation et la gestion des clients RADIUS.
  • Password Authentication Protocol :
    PAP un protocole d’authentification point à point. Les données sont transmises en claires et par conséquent ce protocole est non sécurisé.
  • L’Active Directory pour débutants

    L’Active Directory, c’est quoi ? 

    L’Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, …) mais également toute sorte d’objet (serveurs, imprimantes, …).

    Il permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l’architecture réseau et a pour vocation de permettre à un utilisateur de retrouver et d’accéder à n’importe quelle ressource identifiée par ce service. 

    Active Directory est donc un outil destiné aux utilisateurs mais constitue également un outil d’administration et de gestion du réseau. Il fournit des outils permettant de gérer la répartition de l’annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l’annuaire de l’entreprise.

    La structure d’Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d’entreprises répartis sur de multiples sites.

    Préparatif

    Un laboratoire vaut mieux qu’un long discours. Nous allons en apprendre d’avantage en nous amusant.

    Vous aurez besoin d’une machine Windows Server 2008 R2 ainsi que d’une machine cliente (ici un Windows Seven).

    Le serveur aura 2 cartes réseaux, une vers Internet et l’autre vers le réseau local.
    Celle vers Internet sera en DHCP (chez moi 192.168.1.X) et celle concernant le réseau local sera en statique (10.1.X.X,  X = 1 donc l’adresse du serveur 2008 sera 10.1.1.1/24).

    Le domaine sera Namurdomain.be.

    Installation/MAJ : iTunes par GPO

    Itunes :

    Télécharger la version 32 bits ou 64 bits du logiciel iTunes (dans ce cas-ci la version 32 bits): http://www.apple.com/fr/itunes/download/

    Lorsque le téléchargement est terminé, il faut extraire l’archive en utilisant par exemple 7zip.

    Le fichier SetupAdmin.exe ne nous sera d’aucune utilisé, on le supprime.
    Ce qui nous laisse comme contenu du dossier (qui doit être accessible pour les utilisateurs via un dossier partagé par exemple) :

    Contenu Archive

    On peut aussi supprimer AppleSoftwareUpdate.msi.

    On doit maintenant télécharger et installer Orca MSI Editor : http://www.technipages.com/download-orca-msi-editor.html

    AppleApplicationSupport.msi ne nécessite aucune modification. On le laissera donc tel qu’il est.

    On s’occupe alors du fichier iTunes.msi, il suffit simplement de drag and drop dans ORCA :

    Orca

    On se rend dans View puis Summary Information … et on supprime l’ensemble des Languages à l’exception du 1033.

    Orca 2

    On clique sur OK et on sauvegarde les changements. Ensuite, on se rend dans Transform puis New Transform, il faut changer :

    • Dans Component trouver iTunesDesktopShortcuts et modifier le paramètre Condition de cette manière : DESKTOP_SHORTCUTS= »0″
    • Property puis IAcceptLicense mettre la valeur à Yes
    • Property puis SCHEDULE_ASUW et mettre la valeur à 0
    • Dans Shortcut, supprimer la ligne AboutiTunes  (en faisant un clic droit)

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom iTunes.mst.

    On s’occupe maintenant du Bonjour.msi. Comme précédemment, on ne laisse que le 1033 et on fait un New Transform. On modifie :

    • Property puis IAcceptLicense, on met la valeur à Yes
    • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, on supprime la ligne
    • Shortcut et on supprime toutes les lignes

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom Bonjour.mst.

    Au tour du fichier AppleMobileDeviceSupport.msi à être modifié. Même procédé qu’avant, il faut modifier :

    • Property puis IAcceptLicense, mettre la valeur à Yes
    • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, il faut supprimer cette ligne

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom AppleMobileDeviceSupport.mst.

    On peut quitter Orca.

    On s’occupe maintenant de la GPO. Comme pour Adobe : Computer Configuration –> Policies –> Software Settings –> Software Installation.

    On ajoute comme Package, les différents .msi sans oublier les .mst correspondants.

    Pour iTunes.msi, il faut sélectionner l’option suivante :

    iTunes

    Dans Computer Configuration à Preferences à Windows Settings à Registry, on va créer un nouveau Registry

    Registry

    – Hive: HKEY_LOCAL_MACHINE
    – Key Path: SOFTWARE\Apple Computer, Inc.\iTunes\Parental Controls\Default
    – Value name: AdminFlags (do not tick Default)
    – Value type: REG_DWORD
    – Value data: Please see the next step to work out your particular value.
    – Base: Decimal

    Tableau des valeurs : 

    Item Value
    kParentalFlags_Locked 1
    kParentalFlags_DisablePodcasts 2
    kParentalFlags_DisableMusicStore 4
    kParentalFlags_DisableSharing 8
    kParentalFlags_DisableExplicitContent 16
    kParentalFlags_DisableRadio 32
    kParentalFlags_RestrictMovieContent 64
    kParentalFlags_RestrictTVShowContent 128
    kParentalFlags_DisableCheckForUpdates 256
    kParentalFlags_RestrictGames 512
    kParentalFlags_DisableMiniStore 1024
    kParentalFlags_DisableAutomaticDeviceSync 2048
    kParentalFlags_DisableGetAlbumArtwork 4096
    kParentalFlags_DisablePlugins 8192
    kParentalFlags_DisableOpenStream 16384
    kParentalFlags_DisableAppleTV 32768
    kParentalFlags_DisableDeviceRegistration 65536
    kParentalFlags_DisableDiagnostics 131072
    kParentalFlags_AllowITunesUAccess 262144
    kParentalFlags_RequireEncryptedBackups 524288
    kParentalFlags_DisableHomeSharing 1048576
    kParentalFlags_DisableCheckForAppUpdates 2097152
    kParentalFlags_DisableCheckForDeviceUpdates 4194304
    kParentalFlags_DisablePing 8388608
    kParentalFlags_DisableFirstRunWelcomeWindow 16777216

    Ce qui est utilisé ici :

    • kParentalFlags_Locked: You must include this or users will be able to override your settings.
    • kParentalFlags_DisableSharing
    • kParentalFlags_DisableExplicitContent
    • kParentalFlags_DisableHomeSharing
    • kParentalFlags_DisableCheckForAppUpdates
    • kParentalFlags_DisablePing
    • kParentalFlags_DisableFirstRunWelcomeWindow

    Valeur :  1 + 8 +16 + 1048576 + 2097152 + 8388608 + 16777216 = 28311577.

    QuickTimes

    Après l’avoir téléchargé, on fait pareil pour QuickTimes.msi et on modifie:

    • Dans InstallExecuteSequence, on met PreventDowngrade à 0
    • Dans Properties, on ajoute DESKTOP_SHORTCUTS avec la valeur  0 et on change SCHEDULE_ASUW de 1 à 0

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom QuickTimes.mst.

    On place maintenant le .msi (avec le .mst) dans notre GPO.

    Il faudra également ajouter un WMI Filter :

    WMI Filter

    Script pour fixer l’ordre d’installation des éléments :

    Via une autre GPO, on va fixer l’exécution d’un script au démarrage de l’ordinateur (Computer Configuration à Policies à Windows Settings à Script à Startup).

    Le script .bat :

    @echo off
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleApplicationSupport.msi" /qn
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.mst" /qn 
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.mst" /qn
    
    start /wait msiexec /i "\\WINGPO\quicktime_quicktime_7.71.80.42_francais_anglais_9524\QuickTime.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\QuickTime.mst" /qn
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.mst" /qn

    Il faut que cette GPO s’exécute avant celle concernant iTunes + QuickTimes:

    Ordre GPO

    Un petit gpupdate /force pour éventuellement accélérer le processus et c’est terminé.

    Une erreur pourrait s’afficher (Apple Application Support is required to run iTunesHelper – Error 2) lorsque l’utilisateur ouvre sa session, mais lorsqu’il cliquera sur l’icône d’iTunes, il va s’exécuter sans problème.

    Erreur

    Lorsqu’une nouvelle version sera disponible, on enlèvera les anciens .msi et on refera la même procédure pour les nouveaux.

    Installation/MAJ : Adobe Reader par GPO

    Adobe Reader

    Attention : Il faut impérativement avoir demandé pour obtenir la licence gratuite (http://www.adobe.com/fr/products/reader/distribution.html) sinon ça ne fonctionne pas.

    Après avoir téléchargé Acrobat Reader, nous devons  télécharger l’outil fourni par Adobe afin de personnaliser le package MSI : Adobe Customization Wizard XI.

    Ouvrons Acrobat Reader avec un outil comme 7zip pour extraire l’archive.

    7zip

    On va alors chercher le .msi qui a été extrait et on l’ouvre avec l’outil pour le personnaliser.

    On peut via cet outil modifier les paramètres comme souhaité. Par exemple :

    • Personalization Options

    Suppress display of End User Agreement (EULA)

    • Installation Options

    Make Reader the default PDF viewer
    Remove all versions of Reader
    Enable Optimization
    Enable Caching of installer files on local hard drive
    Run Silently (no interface)
    Supress Reboot

    • Security

    Protected View – Off

    • Online and Adobe online

    Online

    Lorsque ce que l’on désirait modifier a été fait, on sauvegarde via l’icône prévu à cet effet. Cette sauvegarde aura pour effet de créer un fichier .mst contenant les préférences d’installation.

    On crée maintenant un dossier qui sera accessible pour tous les utilisateurs de l’AD avec comme contenu celui d’Acrobat Reader.

    On peut maintenant créer la GPO :

    GPO

    Il faut maintenant l’éditer :

    GPO Soft

    On clique droit sur Software installation puis New et ensuite Package…

    On se rend alors dans l’emplacement partagé et on sélectionne le .msi. On choisit la méthode « Advanced » pour le déploiement.
    On se rend alors dans l’onglet « Modifications » pour y ajouter le .mst :

    Fichier mst

    Ne pas oublier de lier la GPO !

    L’installation aura lieu après un ou 2 redémarrages de l’ordinateur et se passera avant l’ouverture de session.

    De cette manière, lorsqu’une nouvelle version sortira, la même opération devra être exécutée. Il suffira de supprimer le Package existant et d’ajouter un nouveau correspondant à la dernière version.

    Note : La procédure reste la même pour Adobe Flash Player (et pour Java aussi).