Administration des périphériques réseaux par l’intermédiaire de l’Active Directory

Introduction

De nos jours, la sécurité est une d’une grande importance dans la quasi-totalité des entreprises à haute responsabilité. Nombreux sont les outils permettant de rendre les attaques externes « impossibles ». Le problème qui se pose actuellement se passe en interne de l’entreprise. Il faut également assurer une certaine sécurité au sein de celle-ci.
Le rôle NPS (Network Policy Server) va aider à l’administration des périphériques réseaux (tel qu’un switch par exemple).

Explications

Pour mieux comprendre le but du NPS (et des notions qui en découlent), quelques définitions s’imposent :

  • Network Policy and Access Services :
    Regroupement logique de rôles présent sur Windows Serveur. Il contient entre autre le rôle Network Policy Server.
  • Network Policy Server :
    Il s’agit d’un rôle disponible sur Windows serveur 2008 et 2008 R2. Le NPS va gérer l’authentification (serveur RADIUS) par le biais de l’Active Directory mais également les autorisations selon différents modes de connexions (locale, VPN, …).Grâce à lui, nous pourrons :
  • Accéder aux ressources de l’entreprise via une connexion à distance
  • S’authentifier grâce à l’Active Directory
  • Gérer les droits grâce aux GPOs
  • RADIUS :
    Le NPS peut être utilisé comme serveur RADIUS, Remote Authentication Dial-In User Service, pour permettre l’authentification, l’autorisation et la gestion des clients RADIUS.
  • Password Authentication Protocol :
    PAP un protocole d’authentification point à point. Les données sont transmises en claires et par conséquent ce protocole est non sécurisé.
  • L’Active Directory pour débutants

    L’Active Directory, c’est quoi ? 

    L’Active Directory est un annuaire référençant les personnes (nom, prénom, numéro de téléphone, …) mais également toute sorte d’objet (serveurs, imprimantes, …).

    Il permet de recenser toutes les informations concernant le réseau, que ce soient les utilisateurs, les machines ou les applications. Il constitue ainsi le noyau central de toute l’architecture réseau et a pour vocation de permettre à un utilisateur de retrouver et d’accéder à n’importe quelle ressource identifiée par ce service. 

    Active Directory est donc un outil destiné aux utilisateurs mais constitue également un outil d’administration et de gestion du réseau. Il fournit des outils permettant de gérer la répartition de l’annuaire sur le réseau, sa duplication, la sécurisation et le partitionnement de l’annuaire de l’entreprise.

    La structure d’Active Directory lui permet de gérer de façon centralisée des réseaux pouvant aller de quelques ordinateurs à des réseaux d’entreprises répartis sur de multiples sites.

    Préparatif

    Un laboratoire vaut mieux qu’un long discours. Nous allons en apprendre d’avantage en nous amusant.

    Vous aurez besoin d’une machine Windows Server 2008 R2 ainsi que d’une machine cliente (ici un Windows Seven).

    Le serveur aura 2 cartes réseaux, une vers Internet et l’autre vers le réseau local.
    Celle vers Internet sera en DHCP (chez moi 192.168.1.X) et celle concernant le réseau local sera en statique (10.1.X.X,  X = 1 donc l’adresse du serveur 2008 sera 10.1.1.1/24).

    Le domaine sera Namurdomain.be.

    Installation/MAJ : iTunes par GPO

    Itunes :

    Télécharger la version 32 bits ou 64 bits du logiciel iTunes (dans ce cas-ci la version 32 bits): http://www.apple.com/fr/itunes/download/

    Lorsque le téléchargement est terminé, il faut extraire l’archive en utilisant par exemple 7zip.

    Le fichier SetupAdmin.exe ne nous sera d’aucune utilisé, on le supprime.
    Ce qui nous laisse comme contenu du dossier (qui doit être accessible pour les utilisateurs via un dossier partagé par exemple) :

    Contenu Archive

    On peut aussi supprimer AppleSoftwareUpdate.msi.

    On doit maintenant télécharger et installer Orca MSI Editor : http://www.technipages.com/download-orca-msi-editor.html

    AppleApplicationSupport.msi ne nécessite aucune modification. On le laissera donc tel qu’il est.

    On s’occupe alors du fichier iTunes.msi, il suffit simplement de drag and drop dans ORCA :

    Orca

    On se rend dans View puis Summary Information … et on supprime l’ensemble des Languages à l’exception du 1033.

    Orca 2

    On clique sur OK et on sauvegarde les changements. Ensuite, on se rend dans Transform puis New Transform, il faut changer :

    • Dans Component trouver iTunesDesktopShortcuts et modifier le paramètre Condition de cette manière : DESKTOP_SHORTCUTS= »0″
    • Property puis IAcceptLicense mettre la valeur à Yes
    • Property puis SCHEDULE_ASUW et mettre la valeur à 0
    • Dans Shortcut, supprimer la ligne AboutiTunes  (en faisant un clic droit)

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom iTunes.mst.

    On s’occupe maintenant du Bonjour.msi. Comme précédemment, on ne laisse que le 1033 et on fait un New Transform. On modifie :

    • Property puis IAcceptLicense, on met la valeur à Yes
    • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, on supprime la ligne
    • Shortcut et on supprime toutes les lignes

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom Bonjour.mst.

    Au tour du fichier AppleMobileDeviceSupport.msi à être modifié. Même procédé qu’avant, il faut modifier :

    • Property puis IAcceptLicense, mettre la valeur à Yes
    • LaunchCondition puis NOT BNEWERPRODUCTISINSTALLED, il faut supprimer cette ligne

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom AppleMobileDeviceSupport.mst.

    On peut quitter Orca.

    On s’occupe maintenant de la GPO. Comme pour Adobe : Computer Configuration –> Policies –> Software Settings –> Software Installation.

    On ajoute comme Package, les différents .msi sans oublier les .mst correspondants.

    Pour iTunes.msi, il faut sélectionner l’option suivante :

    iTunes

    Dans Computer Configuration à Preferences à Windows Settings à Registry, on va créer un nouveau Registry

    Registry

    – Hive: HKEY_LOCAL_MACHINE
    – Key Path: SOFTWARE\Apple Computer, Inc.\iTunes\Parental Controls\Default
    – Value name: AdminFlags (do not tick Default)
    – Value type: REG_DWORD
    – Value data: Please see the next step to work out your particular value.
    – Base: Decimal

    Tableau des valeurs : 

    Item Value
    kParentalFlags_Locked 1
    kParentalFlags_DisablePodcasts 2
    kParentalFlags_DisableMusicStore 4
    kParentalFlags_DisableSharing 8
    kParentalFlags_DisableExplicitContent 16
    kParentalFlags_DisableRadio 32
    kParentalFlags_RestrictMovieContent 64
    kParentalFlags_RestrictTVShowContent 128
    kParentalFlags_DisableCheckForUpdates 256
    kParentalFlags_RestrictGames 512
    kParentalFlags_DisableMiniStore 1024
    kParentalFlags_DisableAutomaticDeviceSync 2048
    kParentalFlags_DisableGetAlbumArtwork 4096
    kParentalFlags_DisablePlugins 8192
    kParentalFlags_DisableOpenStream 16384
    kParentalFlags_DisableAppleTV 32768
    kParentalFlags_DisableDeviceRegistration 65536
    kParentalFlags_DisableDiagnostics 131072
    kParentalFlags_AllowITunesUAccess 262144
    kParentalFlags_RequireEncryptedBackups 524288
    kParentalFlags_DisableHomeSharing 1048576
    kParentalFlags_DisableCheckForAppUpdates 2097152
    kParentalFlags_DisableCheckForDeviceUpdates 4194304
    kParentalFlags_DisablePing 8388608
    kParentalFlags_DisableFirstRunWelcomeWindow 16777216

    Ce qui est utilisé ici :

    • kParentalFlags_Locked: You must include this or users will be able to override your settings.
    • kParentalFlags_DisableSharing
    • kParentalFlags_DisableExplicitContent
    • kParentalFlags_DisableHomeSharing
    • kParentalFlags_DisableCheckForAppUpdates
    • kParentalFlags_DisablePing
    • kParentalFlags_DisableFirstRunWelcomeWindow

    Valeur :  1 + 8 +16 + 1048576 + 2097152 + 8388608 + 16777216 = 28311577.

    QuickTimes

    Après l’avoir téléchargé, on fait pareil pour QuickTimes.msi et on modifie:

    • Dans InstallExecuteSequence, on met PreventDowngrade à 0
    • Dans Properties, on ajoute DESKTOP_SHORTCUTS avec la valeur  0 et on change SCHEDULE_ASUW de 1 à 0

    On génère le fichier .mst : Transform -> Generate Transform. On l’enregistre sous le nom QuickTimes.mst.

    On place maintenant le .msi (avec le .mst) dans notre GPO.

    Il faudra également ajouter un WMI Filter :

    WMI Filter

    Script pour fixer l’ordre d’installation des éléments :

    Via une autre GPO, on va fixer l’exécution d’un script au démarrage de l’ordinateur (Computer Configuration à Policies à Windows Settings à Script à Startup).

    Le script .bat :

    @echo off
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleApplicationSupport.msi" /qn
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\AppleMobileDeviceSupport.mst" /qn 
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\Bonjour.mst" /qn
    
    start /wait msiexec /i "\\WINGPO\quicktime_quicktime_7.71.80.42_francais_anglais_9524\QuickTime.msi" TRANSFORMS="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\QuickTime.mst" /qn
    
    start /wait msiexec /i "\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.msi" TRANSFORM="\\WINGPO\itunes_itunes_11.0.2_32_bits_francais_11140\iTunes.mst" /qn

    Il faut que cette GPO s’exécute avant celle concernant iTunes + QuickTimes:

    Ordre GPO

    Un petit gpupdate /force pour éventuellement accélérer le processus et c’est terminé.

    Une erreur pourrait s’afficher (Apple Application Support is required to run iTunesHelper – Error 2) lorsque l’utilisateur ouvre sa session, mais lorsqu’il cliquera sur l’icône d’iTunes, il va s’exécuter sans problème.

    Erreur

    Lorsqu’une nouvelle version sera disponible, on enlèvera les anciens .msi et on refera la même procédure pour les nouveaux.

    Installation/MAJ : Adobe Reader par GPO

    Adobe Reader

    Attention : Il faut impérativement avoir demandé pour obtenir la licence gratuite (http://www.adobe.com/fr/products/reader/distribution.html) sinon ça ne fonctionne pas.

    Après avoir téléchargé Acrobat Reader, nous devons  télécharger l’outil fourni par Adobe afin de personnaliser le package MSI : Adobe Customization Wizard XI.

    Ouvrons Acrobat Reader avec un outil comme 7zip pour extraire l’archive.

    7zip

    On va alors chercher le .msi qui a été extrait et on l’ouvre avec l’outil pour le personnaliser.

    On peut via cet outil modifier les paramètres comme souhaité. Par exemple :

    • Personalization Options

    Suppress display of End User Agreement (EULA)

    • Installation Options

    Make Reader the default PDF viewer
    Remove all versions of Reader
    Enable Optimization
    Enable Caching of installer files on local hard drive
    Run Silently (no interface)
    Supress Reboot

    • Security

    Protected View – Off

    • Online and Adobe online

    Online

    Lorsque ce que l’on désirait modifier a été fait, on sauvegarde via l’icône prévu à cet effet. Cette sauvegarde aura pour effet de créer un fichier .mst contenant les préférences d’installation.

    On crée maintenant un dossier qui sera accessible pour tous les utilisateurs de l’AD avec comme contenu celui d’Acrobat Reader.

    On peut maintenant créer la GPO :

    GPO

    Il faut maintenant l’éditer :

    GPO Soft

    On clique droit sur Software installation puis New et ensuite Package…

    On se rend alors dans l’emplacement partagé et on sélectionne le .msi. On choisit la méthode « Advanced » pour le déploiement.
    On se rend alors dans l’onglet « Modifications » pour y ajouter le .mst :

    Fichier mst

    Ne pas oublier de lier la GPO !

    L’installation aura lieu après un ou 2 redémarrages de l’ordinateur et se passera avant l’ouverture de session.

    De cette manière, lorsqu’une nouvelle version sortira, la même opération devra être exécutée. Il suffira de supprimer le Package existant et d’ajouter un nouveau correspondant à la dernière version.

    Note : La procédure reste la même pour Adobe Flash Player (et pour Java aussi).

    DFS et RFS

    Distributed File System

    1.   Introduction

    DFS va permettre de fournir aux utilisateurs un moyen simple d’accéder à des données réparties et distribuées sur un réseau.  Un dossier partagé DFS va servir de point d’accès pour d’autres dossiers sur le réseau.

    Il va organiser les ressources partagées (sur plusieurs ordinateurs) pour fournir une arborescence logique.

    Il y a plusieurs avantages à l’utiliser :

        • Transparence vis-à-vis des utilisateurs
        • Equilibrage de charge (dans un domaine)
        • Tolérance de pannes (si un serveur tombe, on est redirigé vers un autre qui assure le service)

    2.   Mise en pratique

    Tout d’abord, il faudra faire un dcpromo car DFS nécessite d’être dans un environnement Active Directory correctement configuré.

    Ensuite, on installe le rôle File Services et on coche Distributed File System.

    On utilisera le nom de domaine pour accéder aux partages : 

    On doit ensuite rentrer le login et le mot de passe d’un compte membre du groupe Administrateurs du domaine :

    Il faut ensuite se rendre dans Server Manager et aller dans l’option File Services afin d’ajouter pour le chemin \\pixie.local\Pixie  un nouveau dossier.

    On donne un nom à notre dossier (ici data) et on le lie à un dossier créé physiquement sur notre serveur (ici donnees) et qui est partagé.

    On teste si on a bien accès à \\pixie.local\ : 

    Remote File Sharing

    1.   Introduction

    RFS est basé sur un modèle client/serveur.  La réplication du dossier ciblé se fera sur la machine cliente.

    Pour y arriver, il faudra installer DFS sur les 2 serveurs (sur le 2ème rien de spécial à faire, juste l’installer).

    2.   Mise en pratique

    On se rend dans Server Manager et dans File Services pour cliquer droit sur Replication.
    On clique ensuite sur New Replication Group… :

    On coche Multipurpose replication group (puisque l’on souhaite avoir une réplication de contenu entre 2 serveurs). 

                    On donne un nom à notre groupe de réplication ainsi que le domaine ciblé. 

    On sélectionne les 2 serveurs : PixServ2k8 et PixServ2

    On choisit l’option Full mesh afin de répliquer pour chaque membre du groupe. C’est-à-dire que chaque membre répliquera aux autres les données. 

    On décide de répliquer continuellement et on ne fixe pas de limite pour la bande passante.