optimisation de l’architecture et de la...
TRANSCRIPT
Institut Universitaire de Technologie Nice Côte d’azur Département Génie des Télécommunications et Réseaux
Rapport de stage
�
OPTIMISATION DE L’ARCHITECTURE ET DE LA SECURITE DU RESEAU DANS UN DOMAINE
WINDOWS 2003 SERVER �
� � � � � � ������������ ���� � � Etudiant en IUT département GTR
Stage réalisé du 18 Avril au 14 Juin 2005
LAFARGE CIMENTS MAROC
Département Systèmes d’Information
�
Tuteur à Lafarge Maroc : Tuteur à l’IUT :
M. Salah-Eddine DARHOUANE Mlle Karima BOUDAOUD 6, Route de Mekka, Enseignante en Informatique à l’IUT Quartier les Crêtes –BP 7234 SOPHIA ANTIPOLIS Casablanca
1 copie à l’IUT 1 copie à M. DARHOUANE 1 copie à l’Etudiant Imprimé le 12 juin 2005
3
Remerciements
�
�
�
Je tiens tout d’abord à remercier Lafarge Maroc de m’avoir offert l’opportunité d’effectuer mon stage de fin d’études au sein du Département Systèmes d’information.
Je tiens aussi à remercier M. Salah Eddine DARHOUANE, mon tuteur en entreprise, pour son suivi qui m’a permis de réussir mon stage.
J’exprime également toute ma reconnaissance à M. Abdelali MASSANI pour son aide et la qualité de ses conseils qui ont été très enrichissant ainsi que pour le temps qui m’a consacré pour mener à bien le travail.
Je n’oublie pas également de remercier Mlle Karima BOUDAOUD, mon tuteur à l’IUT, pour ses conseils et son suivi qui m’ont été d’une très grande importance.
4
Présentation de l’entreprise
Crée il y a 172 ans (en 1833), LAFARGE occupe aujourd’hui la position de leader dans le ciment et la toiture, avec 2226 sites industriels dans le monde en 2001. Le groupe emploi 83.000 collaborateurs dans 75 pays et réalise un chiffre d’affaires approximatif de 13,7 milliard d’Euro.
Son siège social est situé à Paris et le titre du Groupe est coté sur les places de Paris, Londres, Francfort, et Madrid. Aujourd’hui, avec plus de 3 000 produits, l’offre du groupe est la plus étendue et la plus variée du secteur car il intervient à toutes les étapes de la construction.
Fig.1 Lafarge dans le monde
L’équipe du département Systèmes d’Information a pour objectifs de :
� Gérer, administrer et maintenir l’architecture et l’infrastructure des systèmes d’information, permettant aux collaborateurs de Lafarge Maroc d’accéder à tout moment à une information adéquate et de qualité pour permettre une prise de décision à tous les niveaux.
� En collaboration avec les utilisateurs du système, étudier, proposer des solutions et mettre en œuvre les composantes du système d’information de Lafarge Maroc, en veillant à l’application des politiques et des standards du Groupe Lafarge.
� Faire évoluer ce système dans le cadre du plan systèmes d’information à 3 ans.
��
5
fig2. Organigramme du siège Lafarge Maroc
6
Fig.3 Organisation du Département Systèmes d’Informations
7
Présentation du projet
Durant mon stage dans le siège LAFARGE Maroc au sein du département Systèmes
d’Information, j’ai eu la chance de pouvoir travailler en étroite collaboration avec le responsable systèmes du département afin de réussir l’optimisation du réseau Windows 2003 Server avec la définition et le paramétrage d’une stratégie de mots de passe utilisateurs et de l’audit du domaine Lafarge-Maroc, l’optimisation du DHCP (Dynamic Host Configuration Protocol) et du DNS (Domain Name Service) et la définition d’une stratégie de déploiement des patchs de sécurité via le Software Update Services (SUS).
fig.4 Bâtiment du siège Lafarge Maroc
Ayant déjà effectué la migration vers Windows 2003 Server de tous les autres serveurs
et clients de l’ensemble du réseau de LAFARGE Maroc, le département Systèmes d’Information du siège devait franchir une dernière étape très importante après cette migration. Avant de commencer le travail sur les serveurs, j’ai été amené à me renseigner et me documenter sur les configurations de la sécurité au niveau serveurs sous Windows Server 2003.
Afin d’organiser une structure hiérarchique du réseau, LAFARGE Maroc utilise les services d’Active Directory (ADS) que je vais vous présenter un peu plus loin dans ce rapport.
Lafarge Maroc dispose aujourd’hui d’un réseau Microsoft Windows 2003, il est construit en étoile avec un contrôleur de Domaine parent au siège et 8 contrôleurs de Domaine enfants sur 8 sites distants : Usines de Bouskoura, Meknès, Tanger, Tétouan I, Tétouan II, Siège Lafarge Bétons, Siège de Lafarge Plâtres et Usine de Safi. L’infrastructure matérielle et logicielle de LAFARGE Maroc est composée :
� D’un parc d’environ 60 serveurs repartis sur les différents sites de Lafarge Maroc.
8
� D’un parc d’environ 450 PC. � De Systèmes d’exploitation : Windows, Unix (AIX), Linux, AS400. � De bases de données : Oracle (8i), SQL Server. � De ERP (Entreprise Resource Planning) : People Soft, Maximo (GMAO) � D’autres logiciels : HR Access, Lotus Notes, DataWarehouse (Cognos), SAARI
Pour schématiser, la structure du réseau Lafarge Maroc est la suivante :
fig.5 Schéma réseau Lafarge Maroc
9
Abstract
Within my internship in Lafarge Morocco head office, I had the opportunity to live and see the kind of job that was done by all those engineers and computer scientists working in the Information Systems Department IS/IT.
After the migration of all the Lafarge Morocco information processing system from windows NT4 to windows Server 2003, there was still a great number of errors in the security level.
My mission in this internship was to find some adequate solutions in order to
overcome these errors. This is because the operating system of the windows Server 2003 and the management of its Active Directory administration tool are two recent notions that require some important skills in addition to the evolution and the flexibility of the System Manager. All this has required me considerable efforts, documentations and researches in order to be able to start working on my project.
What made me happier during my internship is the fact that I could give the company some concrete solutions and also that I have reached the objectives set in advance. Moreover, I’m satisfied of being able to know about windows Server 2003 and all the new different notions of Active Directory Services.
I thank first Mr DARHOUANE and Mr MASSANI for all their efforts and help. I want to thank also all the information system Department team for their confidence and of course the opportunity they have given me to learn very important things in this field, in addition to the chance I had to work in a very pleasant working environment.
10
Table des matières
Remerciements .................................................................................................................. 3 Présentation de l’entreprise............................................................................................. 4 Présentation du projet ...................................................................................................... 7 Abstract .............................................................................................................................. 9 Table des matières .......................................................................................................... 10 Etude de la configuration actuelle du réseau............................................................. 11
1. Le déploiement de Windows 2003 Server .......................................................... 12 Ce qu’est la mise à niveau de domaine : ...........................................................12 La nécessité d’utiliser Windows 2003 Server pour Lafarge Maroc : .............12
2. Paramétrage du Contrôleur de Domaine ........................................................... 14 3. Active Directory...................................................................................................... 16
Principe de fonctionnement d’Active Directory ..............................................16 Structure d’Active Directory : .............................................................................16 Les concepts de base d’Active Directory...........................................................17 La configuration d’Active Directory ..................................................................18
4. Serveurs DNS, DHCP, WINS et SUS................................................................... 20 5. Gestion du trafic réseau......................................................................................... 22
Les besoins de Lafarge Maroc....................................................................................... 24 1. L’activation de l’audit............................................................................................ 25 2. Politique de gestion des mots de passe............................................................... 28 3. Planification, optimisation et résolution des problèmes du DHCP ............... 29 4. Optimisation du DNS et résolution des problèmes .......................................... 34 5. Intégration du WINS et DNS................................................................................ 38
6. Stratégie de mise à jour serveurs avec les GPO.................................................. 41 Tests de la configuration................................................................................................ 44
1. Les différents tests effectués et les résultats ....................................................... 46 2. Remarques à prendre en considération .............................................................. 48
Tests pour le serveur DHCP :..............................................................................48 Tests pour le serveur DNS :.................................................................................48
Conclusion générale................................................................................................... 50 Liste des sigles et abréviations ................................................................................. 51
11
Première partie
Etude de la configuration actuelle du réseau Durant le premier semestre 2004, le système informatique de l’ensemble des sites de Lafarge Maroc est passé du système d’exploitation Windows NT4 à Windows Server 2003. Ce passage a entraîné un certain nombre de changements au niveau de la configuration des serveurs et bases de données afin de réussir la migration à 100%. Avant de commencer le travail sur les missions que j’ai été amené à réaliser, il fallait passer par une étude assez détaillée de la configuration des serveurs et des stratégies de sécurité du Contrôleur de Domaine et du domaine lui-même. En se basant sur des support de Microsoft et un ensemble de documents IS/IT de Lafarge, j'ai appris à me servir de l'ADS qui est un outil très complet pour l’administration d’un réseau Microsoft avec plus de sécurité.
12
1. Le déploiement de Windows 2003 Server
Avant la migration vers Windows 2003 Server, le réseau Lafarge Maroc était doté d’un
système d’exploitation Windows NT4. La migration de domaine vers Windows 2003 est un processus très souple. Certaines
entreprises optent pour une simple mise à niveau, d’autres pour une mise à niveau suivie d’une restructuration. D’autres encore choisissent d’effectuer tout d’abord une restructuration.
Dans le cas de LAFARGE MAROC ils ont opté pour une mise à niveau car ils ont gardé la même structure de domaine et en plus la mise à niveau représente le parcourt le plus simple et le moins risqué pour des sites en production.
Ce qu’est la mise à niveau de domaine : Egalement appelée mise à niveau sur place ou tout simplement mise à niveau, ce processus consiste à mettre à niveau le contrôleur principal de domaine (CPD) et les contrôleurs secondaires de domaine (CSD) d’un domaine Windows NT 4.0 vers Windows 2003. La mise à niveau de domaine a pour objectif de conserver la plus grande part possible de l’environnement actuel. La mise à niveau est sans doute la procédure la plus simple est la moins risquée, puisqu’elle conserve la plupart des paramètres, des préférences et des configurations du service réseau.
La nécessité d’utiliser Windows 2003 Server pour Lafarge Maroc :
• Infrastructure robuste et évolutive • Renforcement de la sécurité stratégique des privilèges • Organisation de l’administration • Proximité du service / consolidation des serveurs • Impacte minimal sur l’utilisateur final • Impact sur le WAN : En terme de débit • Tolérance de pannes des services réseau • Facilite d’administration • Sécurisation des Postes de Travail
Et ceci afin de répondre à l’extension des différents sites de LAFARGE Maroc, car en
plus du siège qui représente le nœud central qui relie tous les sites du Maroc il existe 8 sites repartis sur tout le Royaume.
Donc la solution idéale était Windows 2003 Server et l’utilisation de Active Directory, qui permet de structurer le réseau ainsi que d’établir des relations d’approbation entre les différents objets qui le composent.
13
Résumé de la migration : La nouvelle infrastructure d’AD a été installée en utilisant tous les nouveaux serveurs Windows 2003 qui tournent en parallèle avec l’ancienne infrastructure de Windows NT4. Dans chaque foret régionale un seul domaine Windows NT4 pouvait être revalorisé (il devait être le premier domaine à migrer). Le contenu de tous les autres domaines de Windows NT4 de cette région (groupes, utilisateurs, ordinateurs et serveurs) ont été migrés en utilisant les techniques de clonage pour les conteneurs cible de Windows 2003. Une fois tous les objets sont clonés et déplacés, les anciens domaines de Windows NT4 sont déclassés. La continuité du service sera assurée pendant la migration : Les utilisateurs migrateurs peuvent avoir accès aux ressources pour la nouvelle et l’ancienne infrastructure et aussi continuer de travailler normalement. Les serveurs de fichiers, d’imprimantes et d’application ont migrés sur une base de petits sites un par un. Les sites les plus larges peuvent offrir l’opportunité de consolider les serveurs. Un travail additionnel a besoin d’être fait sur un aspect de consolidation des serveurs de fichiers, d’imprimantes et d’applications.
14
2. Paramétrage du Contrôleur de Domaine
Le Contrôleur de Domaine : Windows 2003 utilise les contrôleurs de domaine. A l’inverse de l’ancienne structure de Windows NT 3.x/4, tous les contrôleurs ont la même importance (plus de distinction CPD/CSD). Il est dorénavant possible d’appliquer des modifications à n’importe quel contrôleur de domaine de Lafarge, Windows 2003 répercute ensuite automatiquement ces modifications sur les autres contrôleurs du réseau. Le premier contrôleur (CASMACIP01) de domaine qui a été installé au siège détient des rôles qui sont uniques au niveau de la forêt de Lafarge. Dans chaque site distant on a installé un deuxième contrôleur de domaine qui contient une réplication d’Active Directory.
fig.6 Architecture cible du domaine Lafarge Maroc
15
Après l’installation de Windows 2003 Server vient l’installation du contrôleur de domaine. Cette installation est réalisable à partir de la fenêtre suivante :
Les contrôleurs de domaine fournissent le service d'annuaire Active Directory aux
utilisateurs et aux ordinateurs du réseau. Ce service stocke et réplique les données de l'annuaire, gère les interactions des utilisateurs avec le domaine, y compris les processus d'ouverture de session d'utilisateur, l'authentification et les recherches d'annuaire. Chaque domaine doit contenir au moins un contrôleur de domaine. L'installation d'un contrôleur de domaine s'effectue avec l'installation d'Active Directory sur un serveur membre ou autonome (excepté les serveurs dotés de contrats de licence restrictifs).
16
3. Active Directory
Principe de fonctionnement d’Active Directory :
Active Directory Services (ADS) a été la grande nouveauté de Windows 2000,
consolidé dans Windows Server 2003, il s'agit en fait d'un service d'annuaires. Ce service d'annuaires permet l'enregistrement hiérarchique des informations à l'aide d'entités telles que les domaines, les arborescences, les forêts, les relations d'approbation, les unités d'organisation et les sites.
L'objectif d'ADS est de fournir un service ouvert et interconnectable à d'autres produits, souvent appelé par Microsoft l'interopérabilité. ADS est très étroitement lié à DNS, et par conséquent les conventions de nommage des PC et ressources réseau utilisent la même structure : à chaque domaine AD corresponds un domaine DNS (ex: organisation.com) et tous les PC aussi (monPC.organisation.com). Active Directory utilise des requêtes LDAP (Lightweight Directory Access Protocol) pour communiquer.
Active Directory permet de représenter et de stocker ses éléments constitutifs du réseau (les ressources informatiques mais également les utilisateurs) sous formes d'objets, c'est-à-dire un ensemble d'attributs représentant un élément concret. Les objets sont organisés hiérarchiquement selon un schéma (lui-même stocké dans l'annuaire) définissant les attributs et l'organisation des objets.
Le service d'annuaire Active Directory permet de mettre ces informations à disposition des utilisateurs, des administrateurs et des applications selon les droits d'accès qui leur sont accordés.
Structure d’Active Directory :
Les objets d'Active Directory (Utilisateurs, Groupes, Ordinateurs, Imprimantes, Partage) correspondent à des classes, c'est-à-dire des catégories d'objets possédant les mêmes attributs. Ainsi un objet est une « instanciation » d'une classe d'objet, c'est-à-dire un ensemble d'attributs avec des valeurs particulières.
Lorsqu'un objet contient d'autres objets, on le qualifie de conteneur. Les conteneurs permettent de regrouper les objets dans une optique d'organisation. A l'inverse si l'objet est au plus bas niveau de la hiérarchie, il est qualifié de feuille. La hiérarchie composée de l'ensemble des conteneurs (nœuds) et des feuilles est appelée arbre. La notion d'arbre est étroitement liée à la notion de domaine, permettant de circonscrire des ressources informatiques dans un même périmètre de sécurité. Un domaine est ainsi constitué d'un ensemble défini d'éléments et possède une politique de sécurité (contrôles d'accès) qui lui est propre. Deux domaines (ou plus) possédant le même schéma peuvent établir entre eux des relations d'approbation (relations de confiance) bidirectionnelles et transitives basées sur le protocole Kerberos. L'ensemble des domaines reliés entre eux hiérarchiquement par des
17
relations d'approbation constituant un arbre de domaines (appelé arbre). Le domaine situé au sommet de la hiérarchie est appelé « domaine racine » et les domaines situés en dessous sont des sous-domaines. Les domaines d'un même arbre partagent nécessairement le même espace de noms. On appelle « forêt » le regroupement (par relations d'approbation) de plusieurs arbres possédant le même schéma mais ne possédant pas nécessairement le même espace de noms, afin par exemple de joindre les annuaires de deux entreprises.
Les groupes en résumé :
Permettent de simplifier et de fiabiliser la gestion d’accès aux ressources • Le groupe global représentant les utilisateurs • Le groupe de domaine local représentant les accès aux ressources • Le groupe universel
- Représente des utilisateurs dans un environnement multi domaine - Inclut des groupes globaux
Les stratégies de groupes : � Définissent les paramètres de configuration des machines clientes de façon centralisée
et distante -> facilite la mise en place d’une stratégie de sécurité globale � Propriétés paramétrables à distance :
• Windows Update • Les options du menu démarrer • Le déploiement des applications • Les modèles de sécurité • …
� Agit sur l’environnement de l’utilisateur afin de verrouiller certaines fonctionnalités Comment ça marche ?
• Les stratégies de groupes modifient la base de registre des clients à distance • La description des paramètres à modifier se trouve dans des fichiers .ADM, par
défaut : %SYSTEMROOT%\inf • Les stratégies de groupes sont rafraîchies régulièrement sur le système
- Pour forcer sous Windows 2000 : secedit /refreshpolicy machine_policy - Pour forcer sous Windows 2003 : gpupdate
Les concepts de base d’Active Directory :
� Base contenant tous les éléments de sécurité : • Compte utilisateur • Compte d’ordinateur • Groupes de sécurité • Stratégies de groupes
� Utilise des protocoles standards : • Domain Name System (DNS) • Lightweight Directory Access Protocol (LDAP)
� Approbations entre domaine • Même forêt: Transitive bidirectionnel
18
• Forêt différente : - Windows 2000 – non transitive unidirectionnel - Windows 2003 – transitive bidirectionnel entre forêts
� Intégration avec d’autres logiciels • Sécurité intégrée à Active Directory • Schéma extensible
� Sauvegarde et restauration adaptée à la base ADS • NTBACKUP : Etat du système • NTDSUTIL : Restauration autoritaire
La configuration d’Active Directory : La configuration consiste à définir les différentes stratégies de l’Active Directory qui vont s’appliquer sur le domaine du site Lafarge Maroc. Les différentes stratégies qu’on peut définir avec l’Active Directory sont :
� Stratégies de comptes : � Stratégies de mot de passe
- Conserver l’historique des mots de passe : détermine le nombre de nouveaux mots de passe uniques qui doivent être associes à un compte d’utilisateur avant qu’un ancien mot de passe puisse être réutilisé. La valeur doit être comprise entre 0 et 24.
- Durée de vie maximale du mot de passe : détermine la période de temps (en jours) durant laquelle un mot de passe peut être utilisé avant que le système demande à t’utilisateur de le modifier.
- Durée minimale du mot de passe : détermine la période de temps (en jours) durant laquelle un mot de passe doit être utilisé avant que l’utilisateur puisse le modifier.
- Respecter des exigences de complexité : détermine si les mots de passe doivent respecter des exigences de complexité qui sont les suivantes :
• Ne pas contenir tout ou partie du nom du compte de l’utilisateur • Avoir une longueur d’au moins 6 caractères • Contenir des caractères de trois des quatre catégories suivantes : A à Z, a à z, 0
à 9 ou caractères non alphabétiques. - Longueur minimale du mot de passe : détermine le nombre minimal de caractères
que peut contenir un mot de passe pour un compte d’utilisateur. � Stratégies de verrouillage du compte
- Durée de verrouillage des comptes : détermine le nombre de minutes durant lesquelles un compte reste verrouillé avant d’être déverrouillé automatiquement. La plage disponible s’étend de 0 à 99 999 minutes.
- Réinitialiser le compteur de verrouillage du compte après : détermine le nombre de minutes qui doivent s’écouler après une tentative d’ouverture de session infructueuse pour que le compteur de tentatives d’ouverture de session infructueuses soit remis à zéro. La plage disponible s’étend de 1 minute à 99 999 minutes.
19
- Seuil de verrouillage du compte : détermine le nombre de tentatives d’ouverture de session infructueuses qui provoque le verrouillage d’un compte d’utilisateur.
� Stratégies locales :
� Stratégie d’audit : détermine pour chaque stratégie s’il faut auditer la réussite, l’échec ou les deux.
Les différentes stratégies qu’on peut auditer sont : la gestion des comptes, l’accès au service d’annuaire, l’accès aux objets, le suivi des processus, les événements de connexion, les événements de connexion aux comptes, les événements système, les modifications de stratégie ou l’utilisation des privilèges.
� Attribution des droits utilisateur : - Arrêter le système : détermine les utilisateurs connectés localement à l’ordinateur et
qui peuvent arrêter le système d’exploitation à l’aide de la commande Arrêter.
- Modifier l’heure système : détermine les utilisateurs et les groupes qui peuvent changer la date et l’heure de l’horloge interne de l’ordinateur.
- Gérer le journal d’audit et de sécurité : détermine les utilisateurs qui peuvent spécifier des options d’audit de l’accès aux objets pour des ressources individuelles telles que des fichiers, des objets Active Directory et des clés de Registre.
- Restaurer des fichiers et des répertoires : détermine les utilisateurs qui peuvent outrepasser les autorisations sur les fichiers, les répertoires, le registre et autres objets permanents lors de la restauration de fichiers et de répertoires sauvegardés et il détermine les utilisateurs qui peuvent définir une entité de sécurité valide en tant que propriétaire d’un objet.
� Les options de sécurité : - Modèle de partage et de sécurité pour les comptes locaux : ce paramètre détermine
la façon dont les ouvertures de session sur le réseau utilisant des comptes locaux sont authentifiées.
- Permettre au système d’être arrêté sans avoir à se connecter : détermine si un ordinateur peut être arrêté sans avoir a se connecter à Windows.
- Etat du compte d’administrateur : détermine si le compte Administrateur local est activé ou désactivé.
- Autoriser l’ouverture de session d’administration automatique : détermine si le mot de passe du compte Administrateur doit être donné avant que l’accès au système soit accordé.
� Journal des événements :
- Durée de stockage du journal de sécurité, des applications ou système : détermine le nombre de jours d’événements à conserver dans le journal de sécurité si la méthode de conservation du journal est par jours.
- Empêcher le groupe d’invités locaux d’accéder au journal des événements de sécurité ou au journal système : détermine si les invites sont autorisés ou non à accéder au journal.
- Méthode de conservation du journal de sécurité, des applications ou système : détermine la méthode de conservation du journal.
- Taille maximale du journal de sécurité, des applications, système : spécifie la taille maximale du journal, dont la valeur maximale est de 4 Go.
20
4. Serveurs DNS, DHCP, WINS et SUS
Serveur DNS :
Domain Name Server ou Domain Name System. Service essentiel de l'Internet assurant la conversion des noms de domaine en adresse IP. L'intérêt essentiel est de disposer de noms de machines plus faciles à mémoriser.
L’intégration du système DNS et d’Active Directory présente plusieurs avantages, notamment celui de pouvoir intégrer des zones DNS dans la base de données d’Active Directory. Les zones intégrées Active Directory sont des zones DNS principales stockées en tant qu’objets dans la base de données d’Active Directory. Une zone est partie de l’espace de noms de domaine définie par les enregistrements de ressources stockés dans un fichier de base de données de zone. Ce fichier stocke des informations utilisées pour résoudre des noms d’hôtes en adresse IP, et inversement. Ainsi, lorsque vous configurez des zones intégrées Active Directory, le fichier de base de données de zone est dupliqué lors de la duplication d’Active Directory plutôt que lors des transferts de zones DNS.
Serveur DHCP :
DHCP (Dynamic Host Configuration Protocol). Il s'agit d'un protocole qui permet à un ordinateur qui se connecte sur un réseau d'obtenir dynamiquement (c'est-à-dire sans intervention particulière) sa configuration (principalement, sa configuration réseau). Vous n'avez qu'à spécifier à l'ordinateur de se trouver une adresse IP tout seul par DHCP. Le but principal étant la simplification de l'administration d'un réseau.
fig.7 Serveurs DNS et DHCP
Un serveur DHCP dispose d'une plage d'adresses à distribuer à ses clients. Il tient à
jour une base de données des adresses déjà utilisées et utilisées il y a peu (C'est ce qui explique que l'on récupère souvent la même adresse, le DHCP ayant horreur des changements.
Lorsqu'il attribue une adresse, il le fait par l'intermédiaire d'un bail. Ce bail a normalement une durée limitée dans le temps. Sur un réseau d'entreprise où l'on dispose largement d'assez d'adresses pour le nombre de postes et que ces derniers sont en service toute la journée, le bail peut être d'une semaine ou plus encore.
21
Serveur WINS :
WINS (Windows Internet Name Service) permet à des machines Windows de mettre en relation les noms NetBios des machines et leur adresse IP. Mais il va plus loin ; il permet également la mise en relation de services NetBios (comme le service d'authentification réseau pour ouverture de session ou le service d'exploration des domaines et groupes de travail) avec l'adresse IP de la machine qui les supporte. WINS est donc un élément très important dans un réseau Windows utilisant uniquement le protocole IP. Sa nécessité disparaîtra avec Windows 2000, pour autant que le réseau soit homogène ; tous les clients et serveurs devront alors utiliser ADS (Active Directory Services) et le DNS dynamique (DDNS) supportant non seulement la mise à jour dynamique des enregistrements de machines mais aussi des enregistrements de ressources de type service (SRV RR = SeRVices Resource Records). Serveurs SUS :
Microsoft SUS (Software Update Services) permet aux clients d’installer sur un serveur interne exécutant Microsoft Windows 2000 un service en mesure de télécharger toutes les mises à jour critiques dés leur publication sur le serveur public Microsoft Windows Update. Une fois ces mises à jour approuvées par les administrateurs, SUS les mettent automatiquement à disposition pour les serveurs Windows 2000 et les systèmes équipés de Windows 2000 Professional et de Windows XP Professional.
SUS assure le téléchargement et l’installation des mises à jour critiques pour les systèmes d’exploitation et des packages de sécurité SRP (Security Rollup Packages). Tous les autres correctifs, notamment les mises à jour d’applications et les SP (Service Packs) ou les mises à jour à caractère non essentiel, qui doivent être installes avant d’être publies sous forme de packages sécurité SRP, passent par le processus de distribution et de déploiement.
22
5. Gestion du trafic réseau
La gestion du trafic réseau de Lafarge Maroc passe par un processus de régulation de charge entre les différents Contrôleurs de Domaine (DC) se trouvant sur des sites distants. L’élément principal qui évite au réseau de Lafarge de subir une saturation est sa configuration. En effet la configuration Active Directory fait que les liens de réplication des données concernant les comptes utilisateurs et les Mises à Jour entre les sites soient directs, entre chaque site et le siège, car souvent quand les liens sont multiples entres tous les sites et en cas de recherche d’informations les requêtes passent par n’importe quel DC. La topologie du réseau étant étoilée, tous les sites sont reliés au hub central qui se situe au niveau du siège de Casablanca. fig.7 équipements d’interconnexion
fig.8 Baie de brassage
fig.9 Schéma représentatif du réseau Lafarge Maroc et des Liaisons entre sites distants
23
Après étude, il a été recommandé que la réplication de l’ADS entre le siège et les
autres sites doit être programmée la nuit pour minimiser le trafic réseau et donner la priorité aux applications sollicités pendant la journée et qui demandent un débit réseau correct.
Conclusion L’étude de l’état du réseau et de sa configuration actuelle m’a permis de bien mesurer le niveau de sécurité du domaine. Active Directory ainsi que Windows Server 2003 sont deux nouvelles notions que je devais bien maîtriser car comme on a pu le remarquer, Active Directory et tous les autres outils d’administration de Windows Server 2003 sont très riches en informations nouvelles et complexes.
24
Seconde Partie
Les besoins de Lafarge Maroc
Jusqu'à aujourd’hui le département Systèmes d’Information a toujours oeuvré afin que
le système informatique de Lafarge Maroc puisse suivre l’évolution des nouvelles technologies en matière de performance que ça soit du matériel ou des logiciels. Opter pour un système d’exploitation tel que Windows 2003 Server demande une formation particulière et beaucoup de temps à consacrer afin que le système puisse être à jour.
C’est dans le but de répondre aux besoins du département Systèmes d’Information de l’entreprise au niveau d’optimisation des configurations du domaine Lafarge Maroc que j’ai consacré mon temps à me renseigner sur les différentes solutions qui peuvent s’appliquer au réseau Lafarge.
25
1. L’activation de l’audit
L’audit est le processus qui consiste à suivre les activités des utilisateurs et du système d’exploitation en enregistrant des types d’événements dans le journal de sécurité d’un serveur ou d’un poste de travail. Afin d’optimiser l’audit de sécurité du réseau de notre site, on est parti d’une synthèse des résultats de l’analyse des serveurs Lafarge Maroc qui est basée sur les rapports générés par ESM (Entreprise Security Manager) de Symantec. Ce rapport de synthèse contient des évaluations par module d’analyse :
- Intégrité de compte - Paramètres d’accès - Intégrité du réseau - OS patches - Intégrité des objets - Stratégie des mots de passe - Registre - Systèmes Auditing
Les non conformités majeures qui ont été identifiées sont les suivantes : - Changement de l’heure Système - Droit d’arrêter le Système - Verrouillage des comptes - Comptes inactifs - Répertoires partagés - Ports ouverts non utilisés - Patches de sécurité OS Manquants - Stratégies de longueur des mots de passe - Age minimum et maximum ainsi que les critères de complexité des mots de passe - Cryptage des mots de passe - Historique des mots de passe - Droit de changer le mot de passe pour les utilisateurs - Mots de passe vide - Accès des invites aux journaux des événements - Activation Audit Sécurité - La taille maximale du journal de sécurité
Les résultats de cette analyse ont constitués pour nous une base afin de corriger et remédier aux failles qui existaient sur les serveurs de l’entreprise.
26
L’activation de l’audit peut concerner plusieurs éléments : - Des fichiers et dossiers - Des objets Active Directory - Des unités d’organisation
Cette activation permet d’enregistrer dans un journal d’événements les informations suivantes concernant les utilisateurs :
� L’action effectuée � L’utilisateur qui a effectué l’action � La réussite ou l’échec de l’événement et le moment auquel il s’est produit � Des informations complémentaires, telles que l’ordinateur sur lequel l’événement s’est
produit
La méthode suivie pour l’activation de l’audit avec Active Directory :
- Dans Stratégie d’audit on configure la Réussite et l’Echec qui vont être enregistrés dans le journal des événements.
fig.10 configurations des stratégies d’audit
27
Il faut ensuite configurer la durée de stockage du journal de sécurité, des applications et système, la taille max et min, la méthode et la durée de conservation du journal des événements qui va contenir les réussites et échecs des différentes stratégies auditées.
fig.11 paramétrage du journal d’événements
Conclusion: L’activation de l’audit de sécurité a permit au département Systèmes d’Information de pouvoir suivre de très près en enregistrant les réussites et les échecs des actions des utilisateurs qui se connectent au réseau Lafarge Maroc.
28
2. Politique de gestion des mots de passe
Pour des raisons de sécurité des connexions au réseau local de l’entreprise, il a été nécessaire de définir une politique de gestion des mots de passe d’accès aux comptes utilisateurs. J’ai été chargé par mon encadrant afin de définir les stratégies qui vont s’appliquer au domaine Lafarge Maroc. En s’aidant d’un rapport d’analyse fait par une société de service spécialisée dans le domaine de l’infrastructure Système, réseaux et télécoms, je suis arrivé aux résultats suivants :
� Conserver l’historique des mots de passe : 10 mots de passe mémorisés � Durée de vie maximale du mot de passe : 90 jours � Durée de vie minimale du mot de passe : 14 jours � Enregistrer les mots de passe en utilisant un cryptage réversible : Désactivé � Le mot de passe doit respecter des exigences de complexité : Désactivé � Longueur minimale du mot de passe : 8 Caractères
fig.15 configuration stratégie de mot de passe
L’intérêt de planifier de telles stratégies est d’assurer un contrôle de sécurité permanent sur l’ensemble du domaine Lafarge Maroc. L’accès au réseau représente pour l’entreprise un point très sensible dans la protection des données et de la confidentialité des informations car c’est le moyen le plus facile pour un intrus d’accéder au réseau.
29
3. Planification, optimisation et résolution des problèmes du DHCP
Réservation d’étendues : Les réservations DHCP permettent de s'assurer qu'un périphérique matériel spécifique d'un sous réseau utilisera toujours la même adresse IP. Grâce aux réservations clients, on peut réserver une adresse IP spécifique pour qu'elle soit utilisée de façon permanente par un client DHCP. Une réservation permet aux autres serveurs DHCP d'honorer la réservation de l'adresse IP faite pour le client réservé. Bien que la réservation client ne soit traitée que par le serveur DHCP lorsque l'adresse réservée fait partie du pool d'adresses disponibles, on pouvait créer la même réservation sur d'autres serveurs DHCP qui excluent cette adresse. Il faut créer une réservation basée sur un client dans le cas suivant : Le client utilise une adresse IP qui avait été affectée en utilisant une autre méthode de configuration TCP/IP (Transmission Control Protocol/Internet Protocol). Il fallait s’assurer qu'un ordinateur client DHCP reçoit toujours le même bail d'adresse IP au démarrage. Plusieurs serveurs DHCP peuvent être atteints par un client réservé et il faut ajouter la réservation sur chacun des autres serveurs DHCP. Lors de la planification d’une infrastructure DHCP, il est important de prendre en compte la topologie du réseau qui doit être géré. L'évaluation de la topologie du réseau permet de déterminer, sur les serveurs DHCP, les emplacements où la charge pourrait être importante et aussi d'identifier les défaillances qui pourraient provoquer une perturbation des services DHCP. Je devais évaluer à la fois la disposition physique du réseau et le nombre d'utilisateurs dans chaque emplacement physique. Une fois que j’ai évalué la topologie du réseau, je pouvais déterminer l'infrastructure qui a été utilisée. Voici les différentes infrastructures qui existent :
• Infrastructure centralisée : Dans une infrastructure DHCP centralisée, les serveurs DHCP sont positionnés dans un emplacement central.
• Infrastructure distribuée : Dans un plan d'infrastructure DHCP distribuée, un serveur
DHCP est placé dans chaque sous-réseau. Les serveurs DHCP sont distribués à travers le réseau près des emplacements des clients.
30
• Infrastructure mixte : Une infrastructure mixte tire parti des forces à la fois des stratégies centralisées et des stratégies distribuées, en utilisant chaque stratégie là où elle est la plus appropriée.
Pour le réseau Lafarge Maroc on a choisi de mettre en place une infrastructure distribuée car ce plan réduit le trafic sur les liaisons lentes et fournit la source d'allocation d'adresse IP (Internet Protocol) proche du remplissage. Sécurisation du service DHCP : La sécurité du service DHCP dans Windows Server 2003 s'obtient grâce à l'intégration du service DHCP dans Active Directory. On peut sécuriser le service DHCP en :
� autorisant les serveurs DHCP dans Active Directory; � utilisant les groupes Windows Server 2003 pour contrôler l'accès à la configuration du
serveur DHCP.
Modification de la durée du bail : Le volume du trafic sur le réseau Lafarge Maroc avait un impact négatif sur les performances de DHCP. Les sous-réseaux des différents sites de Lafarge Maroc dépendent du serveur DHCP qui est placé sur un site distant du réseau et qui rencontrait des problèmes de performances en début de journée, lorsque les utilisateurs allument leurs ordinateurs et qu'une charge importante de requêtes est envoyée sur le réseau. Le trafic DHCP n'utilise pas une bande passante importante en période d'utilisation normale. Cependant, les phases de bail et de renouvellement des adresses IP de la configuration du client DHCP génèrent une certaine charge de trafic réseau. Lors de la création d'une étendue, la durée par défaut du bail est fixée à huit jours. Dans la plupart des cas, cette valeur est suffisante. Cependant, étant donné que le renouvellement est un processus continu qui peut affecter les performances des clients DHCP et du réseau, il est parfois utile de modifier la durée du bail.
31
Options de renouvellement et de durée du bail :
Déterminer combien de clients sont affectés : L'une des premières choses qu’on a du faire est de déterminer le nombre de clients qui sont affectés. Il s'agit ici d'un processus d'élimination et de simple déduction, qui sont les compétences principales en matière de résolution de problèmes. Le nombre de clients affectés détermine l'orientation à suivre en matière de résolution de problèmes, et ce de la façon suivante :
� Si un nombre important de clients est affecté, cela indique probablement un problème d'infrastructure au niveau du serveur.
� Si seul un client est affecté et que les autres fonctionnent normalement, cela indique probablement un problème au niveau du client.
Problèmes au niveau du client : Si on détermine que le problème provient du client, on vérifie les points suivants :
� Le client est correctement connecté au réseau. � Aucun bail n’est obtenu en utilisant ipconfig /all. � Identifier la provenance du bail.
IPconfig, avec toutes ses sous-commandes liées, est utilisé pour résoudre ce problème.
32
Problèmes d'infrastructure Si le problème est lié à l'infrastructure au niveau du serveur :
• Il faut examiner l'agent de relais et les routeurs et s’assurer que la configuration est appropriée ;
• S’assurer que le routage des paquets est assuré entre les sous-réseaux (si applicable) en utilisant ping, pathping, tracert ou des commandes similaires.
Problèmes au niveau du serveur Si le problème provient du serveur il faut:
• Examiner les journaux pour s’assurer que le service DHCP est en cours d'exécution • S’assurez que les étendues sont correctement configurées ; • S’assurer que les baux sont disponibles dans l'étendue appropriée ; • S’assurer que le serveur a bien été autorisé.
Il faut effectuer un suivi des paquets si aucune des actions présentées ci-dessus ne permet de résoudre le problème. Outils de résolution de problèmes DHCP Le service DHCP enregistre les événements de démarrage et d'arrêt ainsi que les erreurs critiques dans le journal système Windows. Il est possible de contrôler les informations détaillées provenant des opérations DHCP en activant la journalisation détaillée des événements. Lorsque la journalisation est activée, le serveur DHCP crée un journal détaillé de ses activités dans des fichiers nommés DhcpSrvLog.xxx (où xxx représente les trois premières lettres du jour de la semaine), journal qu'il place dans le répertoire de base de données DHCP. On peut passer en revue ces fichiers afin de consulter toutes les erreurs éventuellement rencontrées par le serveur DHCP. On peut spécifier les fonctions d'audit suivantes :
• Le chemin du répertoire dans lequel le serveur DHCP stocke les fichiers des journaux d'audit. Les journaux d'audit DHCP sont situés par défaut dans racinesystème\System32\Dhcp (le dossier qui contient les fichiers système Windows 2003).
• Une restriction (en mégaoctets [Mo]) de la quantité totale d'espace disque disponible pour tous les fichiers journaux d'audit créés et stockés par le service DHCP.
• Un intervalle pour la vérification de disque ; il sert à déterminer le nombre d'enregistrements d'événements de journal d'audit effectués par le serveur DHCP dans le fichier journal avant de vérifier l'espace disque disponible sur le serveur.
• Une spécification (en Mo) de l'espace disque utilisé au minimum par le serveur lors de la vérification de disque afin de déterminer s'il y a suffisamment d'espace pour que le serveur continue l'enregistrement d'audit.
33
Exemple de journal d’audit DHCP :
Conclusion L’optimisation du DHCP va permettre à l’entreprise d’éviter dans le futur certains problèmes liés aux connexions des utilisateurs et de gérer mieux le trafic réseau et les étendues des adresses IP dont elle dispose.
34
4. Optimisation du DNS et résolution des problèmes
Désactivation de la récursivité sur un serveur DNS : Désactivation de la récursivité sur le serveur DNS La désactivation de la récursivité empêche le serveur DNS de communiquer avec d'autres serveurs DNS pour résoudre des requêtes en dehors de notre zone. La désactivation de la récursivité peut être motivée par les raisons suivantes : - limiter la portée de la résolution de noms sur un serveur ; - limiter les clients DNS à la résolution de noms vers un serveur spécifique ; - le serveur DNS ne peut pas résoudre les noms DNS externes. Raison justifiant la désactivation de la récursivité dans le cas Lafarge On devait désactiver la récursivité sur les serveurs DNS orientés Internet qui font autorité sur une ou plusieurs zones. Ainsi, le serveur DNS va pouvoir répondre aux requêtes d'autres serveurs DNS sur les informations de notre zone, mais empêchera les clients Internet d'utiliser le serveur DNS de l’entreprise pour la résolution d'autres noms de domaine sur Internet. Avantages et conséquences de la désactivation de la récursivité Le principal avantage de la désactivation de la récursivité est la réduction de la charge d'un serveur DNS, car celui-ci n'essaie pas de résoudre des noms extérieurs à notre propre zone. L'avantage supplémentaire est que la probabilité de détournement ou d'attaque du serveur DNS est réduite. La récursivité peut être exploitée par des pirates pour lancer une attaque par refus de service sur le serveur DNS. Toutefois, si on désactive la récursivité, on ne pourra pas résoudre de noms à l'extérieur de notre propre zone à l'aide de la récursivité ou de la redirection. Recommandations Il est recommandé de désactiver la récursivité sur tous les serveurs DNS qui ne sont pas censés recevoir de requêtes récursives. Les indications de racine représentent une liste d'enregistrements de ressources préliminaires, utilisable par le service DNS pour localiser d'autres serveurs DNS qui font autorité sur la racine de l'arborescence de l'espace de noms du domaine DNS. Par défaut, les serveurs DNS Microsoft Windows® utilisent un fichier d'indications de racine, nommé Cache.dns, qui est situé dans le dossier racinesystème\System32\Dns du serveur (où racinesystème représente le dossier contenant les fichiers système de Windows 2003). Le contenu de ce fichier est préchargé dans la mémoire du serveur au démarrage du service et contient des informations sur les pointeurs vers les serveurs racine sur Internet. Ainsi, chaque serveur DNS peut résoudre des requêtes de ressources Internet au nom de clients Internet.
35
Les indications de racine dans le cas Lafarge Maroc se font dans le réseau Intranet de Lafarge, ainsi pour résoudre les requêtes on spécifie aux serveurs DNS les adresses IP des différents serveurs DNS qui font autorité sur la racine de l’arborescence du groupe Lafarge et de Lafarge Maroc au serveur DHCP et ceci en appliquant la configuration suivante : Dans la console de configuration DHCP, clique droit sur Options d’étendues et Configurer les options :
Résultat de la configuration :
36
Suppression du fichier d'indications de racine Si on supprime le fichier d'indications de racine d'un serveur DNS, ce serveur n'est plus en mesure de contacter directement un serveur faisant autorité sur la racine de l'infrastructure DNS et dans ce cas il faut configurer les serveurs pour qu'ils redirigent les requêtes vers un autre serveur qui possède un fichier d'indications de racine. Cette opération constitue une bonne pratique car elle permet de définir un chemin d'accès spécifique à Internet et d'utiliser un pare-feu qui empêche les serveurs DNS internes de communiquer directement avec Internet. Mise à jour des indications de racine sur le serveur DNS Les indications de racine représentent la liste des ressources préliminaires utilisable par le service DNS pour localiser d'autres serveurs DNS qui font autorité sur la racine de l'arborescence de l'espace de noms du domaine DNS. On met à jour les indications de racine une fois qu’on a déterminé le mode d'utilisation du serveur DNS sur le réseau.
37
Conclusion : Dans l’optimisation du service DNS et comme on a pu le voir dans cette partie, elle concerne surtout la façon avec laquelle les serveurs DNS de Lafarge Maroc communiquent entre eux et avec ceux du groupe Lafarge. Grâce a la technique de suppression de la récursivité et d’indication de racine, on a réussi a mieux contrôler la charge au niveau de la résolution des requêtes DNS en structurant les sens et liens de réplication.
38
5. Intégration du WINS et DNS
Le service DNS donne la possibilité d'utiliser les serveurs WINS pour rechercher des noms qui ne figurent pas dans l'espace de noms du domaine DNS en vérifiant l'espace de noms NetBIOS administré par WINS. Deux types particuliers d'enregistrements de ressource, les enregistrements WINS et WINS-R, sont utilisés pour intégrer DNS et WINS. Désignation d'un sous-domaine pour la résolution WINS Pour intégrer la résolution WINS dans la conception DNS, j’ai désigné un sous-domaine dans l'espace de noms de l'organisation que je devais utiliser comme espace réservé pour les noms WINS. Je devais ensuite spécifier que le sous-domaine ne contient pas d'entrées, sauf pour les enregistrements de ressource WINS et WINS-R. Délégation des requêtes DNS non résolues à un sous-domaine Pour les noms de domaine à l'intérieur de l'espace de noms de Lafarge Maroc, j’avais le choix entre : - Ou bien résoudre des noms à l'intérieur du service WINS avant les autres domaines, et dans ce cas je devais spécifier que les requêtes DNS allaient être redirigées vers un sous-domaine délégué pour WINS en premier lieu. - Ou bien résoudre les noms dans les autres domaines avant de les résoudre dans WINS, et dans ce cas la spécifier que les requêtes DNS allaient être redirigées vers un sous-domaine délégué pour WINS en dernier. Après avoir étudiés les deux possibilités avec mon encadrant on a choisi la deuxième car par rapport aux deux serveurs DNS et WINS dont dispose le siège de Lafarge Maroc il fallait passer d’abord par le serveur DNS qui lui peut résoudre la plus grande partie des noms et adresses IP du réseaux et dans le cas où il n’aurait pas la résolution de la requête on passe au serveur WINS. Spécification du serveur WINS dans la configuration de la zone Dans l’outil d’administration DNS on trouve :
o Zones de recherche directes : se base sur la résolution nom vers adresse IP. Les types de ressource sont variés (échangeurs de courrier, adresses d’hôtes,…).
o Une zone de recherche inversée : arrière s’appuie sur la résolution adresse IP vers ressource.
o Observateur d’événements : permet de surveiller les événements enregistrés dans le journal d’événements.
o Indications de racine : sont utilisées pour préparer des serveurs de référence associés à des zones non-racine afin qu'ils puissent connaître et découvrir les serveurs de référence qui gèrent des domaines situés à un niveau supérieur ou dans d'autres sous-arbres de l'espace de noms de domaine DNS.
o Redirecteurs
39
Afin de pouvoir intégrer le WINS et DNS dans l’Active Directory de Windows 2003 Server on a suivi la procédure suivante : Dans l’outil d’administration DNS :
fig.12 fenêtre de configuration DNS
40
Dans Redirecteurs : On spécifie le nom du domaine ou se trouve le serveur WINS ainsi que son adresse IP vers laquelle vont êtres redirigées les requêtes DNS non résolues.
fig.13 configuration du redirecteur DNS Utiliser les redirecteurs est la solution la plus simple à mettre en place pour intégrer les serveurs DNS et WINS car elle permet de rediriger les requêtes DNS non résolus vers le serveur WINS en spécifiant simplement l’adresse IP de ce dernier. Dans cette configuration on n’a pas utilisé la récursivité pour des raisons de sécurité qu’on a pu voir en détail précédemment dans l’optimisation du DNS pour l’accès aux données confidentielles du domaine Lafarge Maroc. Conclusion : Le travail que j’ai pu effectuer sur les deux serveurs DNS et WINS afin de les intégrer m’a permit de comprendre les différences qui existent entre les deux serveurs. Pour le siège de Lafarge Maroc cette intégration a permit d’organiser la résolution des requêtes DNS afin qu’elles soient d’abord dirigées vers le DNS puis redirigées vers le WINS dans le cas où le DNS n’arrive pas à les résoudre.
41
6. Stratégie de mise à jour serveurs avec les GPO
Le siège de Lafarge Maroc utilise un serveur SUS qui sert à stocker les mises à jour puis à les distribuer ensuite aux différents postes de travail qui y sont reliés.
fig.14 Emplacement du Serveur SUS dans le réseau
Ces mises à jour sont téléchargées sur le site de Microsoft puis installées et sur les PC et sur les serveurs.
La majorité de ces mises à jour font redémarrer le poste après la fin de l’installation ce qui est intolérable dans le cas des serveurs.
Il peut être intéressant donc de déployer automatiquement les mises à jour approuvées sur les stations de travail, mais d’obliger une intervention humaine sur les serveurs, afin qu’ils ne redémarrent pas automatiquement en pleine nuit à la suite de l’installation d’une mise à jour. Pour cela, il faut organiser son réseau Active Directory pour pouvoir appliquer différentes GPO (Group Policy Objects) suivant les types de machines. Par exemple, il pourrait y avoir une unité d’organisation (OU) « Serveurs » et une autre « stations ». Ainsi, il est facile de configurer les mises à jour différemment suivant les types de machines.
Pour configurer une GPO qui prend en charge le paramétrage pour les clients SUS, il faut s’assurer que les éléments de configuration propres à SUS sont dans la stratégie. Sous Windows 2000, les GPO ne sont pas dotées par défaut de la configuration de SUS. Pour ajouter le modèle d’administration, il suffit de l’importer dans une GPO existante, à partir du fichier %windir%\inf\wuau.adm, où %windir% est le répertoire d’installation de Windows
42
(généralement C:\WINNT sous Windows 2000). Il suffit ensuite de se rendre dans la stratégie de groupe, dans le conteneur suivant : Configuration Ordinateur, Modèles d’administration, Composants Windows, Windows Update. Dans le dossier Windows Update, se trouvent quatre éléments de configuration. Ces éléments vont permettre de choisir le type de mise à jour à réaliser, de donner l’adresse du serveur SUS, et aussi de paramétrer le comportement des machines après une mise à jour qui nécessite un redémarrage. Le premier élément de configuration est Configuration du service de Mises à jour automatiques. Il permet de spécifier le type de mises à jour à réaliser :
- Notification de la disponibilité de mises à jour - Téléchargement des mises à jour disponibles et notification à un administrateur - Téléchargement des mises à jour disponibles et installation automatique
Dans le cas de stations de travail, la dernière option est souvent la meilleure, puisque les mises à jour se feront automatiquement, souvent la nuit, donc sans intervention de la part d’un utilisateur qui n’est pas administrateur de la machine.
Dans le cas de serveurs, la deuxième option est intéressante puisque les mises à jour
sont rapatriées depuis le serveur SUS jusqu’au serveur concerné, mais l’intervention d’un administrateur est requise pour installer les mises à jour. Le contrôle de l’installation, ainsi que la vérification du redémarrage du serveur si nécessaire peuvent ainsi être faits en temps réel.
Dans le cas où l’option Téléchargement automatique et planification (dernière option) est choisie, il faut préciser à quel moment les mises à jour disponibles seront installées. Il faut spécifier le jour de la semaine, ou tous les jours, ainsi que l’heure où la mise à jour se fera. Par défaut, la configuration est paramétrée à Tous les jours, à 3h00.
Le paramètre suivant à configurer est Spécifier l’emplacement intranet du service de
mises à jour Microsoft. Ici, il suffit de renseigner le nom du serveur SUS. Il faut préférer le nom DNS si le nom NetBIOS ne peut pas être résolu par toutes les machines. Par exemple, on mettra http://MonServeurSUS.test.local/ dans les deux champs présents. Le deuxième champ permet de nommer un serveur qui servira pour établir des statistiques sur les mises à jour des clients SUS. Dans le cas où plusieurs serveurs SUS sont présents, il peut être intéressant de rassembler les statistiques sur un même serveur. Afin d’éviter tout problème de configuration, et aussi pour simplifier l’étape de configuration, il est conseillé d’utiliser un serveur SUS pour rassembler les statistiques, puisqu’un serveur IIS sans SUS peut aussi se charger de rassembler les statistiques, mais requiert une longue étape de configuration.
Le troisième paramètre est Replanifier les installations planifiées des mises à jour
automatiques. Il est ici possible de donner le temps en minutes après lequel une installation planifiée, mais qui n’a pas été appliqué pour une raison ou une autre, est automatiquement installée après le redémarrage de la machine.
43
Le paramètre Pas de redémarrage planifié des installations planifiées permet de choisir le comportement du système à la suite de l’installation de mises à jour qui nécessitent un redémarrage. Si l’administrateur ne souhaite pas que les ordinateurs redémarrent automatiquement à la suite d’une mise à jour via SUS, il suffit de choisir Désactivé. Avec la configuration de ces paramètres, il est facilement possible de configurer les machines présentes dans un domaine Active Directory. En s’appuyant sur différentes unités d’organisation, il est possible de paramétrer des serveurs SUS différents, et les modes de mises à jour différents, de manuel à automatique.
Toutes les options ne sont pas nécessaires. La seule réellement requise est Spécifier l’emplacement intranet du service de mises à jour Microsoft. Les autres ne servent qu’à forcer la configuration des mises à jour automatiques dans Windows. En ne paramétrant que ce paramètre, l’administrateur s’assurera que toutes les machines qui obtiennent les paramètres de la GPO utilisent SUS et non pas Windows Update pour vérifier la présence de mises à jour.
Conclusion
La documentation que j’ai pu consulter et les recherches que j’ai pu effectuer m’ont
permis de bien comprendre le fonctionnement des serveurs SUS ainsi leur utilité pour un grand réseau d’entreprise comme celui de Lafarge Maroc.
La solution que j’ai présenté au responsable systèmes a été très appréciée et elle a permit de résoudre le problème des mises à jour pour les serveurs de l’entreprise.
44
Troisième Partie
Tests de la configuration
Afin de tester notre configuration, j’ai mis en place une liaison entre deux PC, l’un qui est contrôleur de domaine sous Windows 2003 Server et l’autre qui représente un client du domaine sous Windows XP Professional. La plateforme installée, j’ai crée un nouvel utilisateur client du domaine LAFARGE-MAROC de la façon suivante :
� Avec l’outil d’administration « Utilisateurs et Ordinateurs Active Directory » Dans Users -> Nouveau -> Utilisateur
fig.16 ajouter un nouvel utilisateur dans l’AD On spécifie le nom et prénom de l’utilisateur ainsi que le nom d’ouverture de session qui doit être sous la forme Prénom.Nom et le domaine d’appartenance.
45
fig.17 configuration du nouvel utilisateur
46
1. Les différents tests effectués et les résultats
Les différents tests que j’ai effectué sont:
� Tests sur la stratégie de mot de passe - Conserver l’historique des mots de passe : 10 mots de passe mémorisés - Durée de vie maximale du mot de passe : 90 jours - Durée de vie minimale du mot de passe : 14 jours - Enregistrer les mots de passe en utilisant un cryptage réversible : Désactivé - Le mot de passe doit respecter des exigences de complexité : Désactivé - Longueur minimale du mot de passe : 8 Caractères
Résultat :
Test réussi sur le poste client local de la plateforme de test sans aucune erreur pour chacune des six configurations.
� Tests sur la stratégie de verrouillage du compte
- Durée de verrouillage des comptes : 15 minutes - Réinitialiser le compteur de verrouillage du compte après : 15 minutes - Seuil de verrouillage du compte : 3 tentatives d’ouvertures de session non valides
Résultat :
Test réussi sur le poste client local de la plateforme de test sans aucune erreur pour chacune des trois configurations.
� Tests sur la solution de mises à jour pour les serveurs
Résultat :
Ce test a été effectué sur un serveur réel faisant partie du domaine du siège de Lafarge Maroc mais qui n’a aucune influence sur le reste du réseau. Le résultat de ce test est concluant et permet de télécharger les mises à jour de Microsoft sur le serveur SUS de l’entreprise puis de notifier la fin du téléchargement sans faire l’installation laissant ainsi le choix à l’administrateur réseau de le faire manuellement.
� Tests sur la stratégie du Journal d’événements
- Durée de stockage du journal de sécurité : 182 jours - Durée de stockage du journal des applications : 182 jours - Durée de stockage du journal système : 182 jours - Empêcher le groupe d’invités locaux d’accéder au journal de sécurité : Activé - Empêcher le groupe d’invités locaux d’accéder au journal système : Activé
47
- Interdire au groupe local Invite l’accès au journal des applications : Activé - Méthode de conservation du journal de sécurité : Par jours - Méthode de conservation du journal des applications : Par jours - Méthode de conservation du journal système : Par jours - Taille maximale du journal de sécurité : 299968 kilo-octets - Taille maximale du journal des applications : 299968 kilo-octets - Taille maximale du journal système : 299968 kilo-octets Résultat :
Testes réussis et résultats positifs pour tous les paramètres configurés pour cette stratégie.
48
2. Remarques à prendre en considération
Tests pour le serveur DHCP : Problèmes au niveau du client
Voici certains des problèmes les plus courants rencontrés au niveau du client : � Le client n'est pas correctement connecté au réseau.
Il faut s’assurer que le matériel câblé ou sans fil est correctement connecté au réseau et qu’on dispose au minimum d'une connexion de couche liaison.
� Le client utilise une adresse APIPA (Automatic Private IP Addressing). On doit peut-être désactiver l'APIPA pour mieux résoudre ce problème. Les commandes ipconfig /release et ipconfig /renew devaient nous permettre d'effectuer des recherches plus approfondies.
� Le serveur ne peut pas être atteint à partir du réseau client. Dans le cas où un autre ordinateur ne dispose pas d'une adresse appropriée, on peut essayer d'appliquer la commande Ping à l'adresse du serveur DHCP.
Problèmes au niveau du serveur
Voici certains des problèmes les plus courants que l'on rencontre au niveau du serveur : • Options mal configurées
Si un routeur n'est pas correctement configuré ou si l'option du serveur de noms n'est pas correcte, le client ne pourra peut-être pas se connecter aux ressources. On vérifie alors que la configuration des options est appropriée.
• Chevauchement d'étendues Si plusieurs serveurs DHCP sont mal configurés avec des étendues qui se chevauchent, il est possible que les clients reçoivent des adresses IP en double et ne parviennent pas à initialiser leurs services réseau. Il faut examiner les étendues à la recherche d'un éventuel chevauchement.
Tests pour le serveur DNS :
Les trois problèmes DNS les plus courants sont les suivants : � Impossibilité de résoudre certains noms de l'espace de noms � Impossibilité de résoudre les noms extérieurs à la zone DNS � Configuration incorrecte des serveurs DNS principal et secondaire du client DNS
Impossibilité de résoudre certains noms de l'espace de noms
49
L'impossibilité pour un serveur DNS de résoudre certains noms de l'espace de noms est souvent due à une délégation incorrecte ou manquante. Chaque serveur qui fait autorité sur la zone déléguée doit avoir un enregistrement NS et un enregistrement A (hôte) valides. Vous pouvez utiliser l'Assistant Nouvelle délégation pour faciliter la délégation. Vous pouvez également utiliser DNSLint ou Nslookup pour le diagnostic des délégations incorrectes. Impossibilité de résoudre les noms extérieurs à la zone DNS La raison principale pour laquelle les serveurs sont incapables de résoudre des noms extérieurs à la zone DNS est l'absence de redirecteurs. Ceci peut être dû à un manque de compréhension de la fonction des redirecteurs de leur mode d'utilisation. Si vous êtes dans un environnement Active Directory, vous devez garantir la fonctionnalité du réseau en dehors du domaine Active Directory (comme les requêtes de navigateur pour les adresses Internet) et configurer le serveur DNS pour qu'il redirige les requêtes DNS vers les serveurs DNS appropriés du fournisseur de services Internet ou de l'entreprise.
50
Conclusion générale
�
�Après avoir pris connaissance de toutes les possibilité qu’offre Windows 2003 Server
en matière de sécurité surtout avec la console de gestion des GPO chose qui n’existait pas dans Windows NT4 ou Windows 2000, Lafarge Maroc a décidée de se lancer dans la migration vers Windows 2003 Server. L’ADS a été une grande nouveauté dans la gestion de la sécurité pour les réseaux informatiques des grandes entreprise. Lafarge Maroc avec son siège de Casablanca et ses 8 sites distants repartit sur tout le royaume Marocain s’est basée sur l’ADS afin de hiérarchiser son domaine et ainsi mieux gérer ses ressources. Ceci étant déjà était réalisé à mon arrivée au siège de Lafarge Maroc, l’équipe du département Systèmes d’Information devait se pencher sur l’optimisation de la sécurité. En étudiant en détail la configuration de l’ADS et en s’aidant de cours et documents propres à l’entreprise j’était à même d’utiliser les services d’Active Directory. Le travail que j’ai réussi à accomplir pour la sécurité du réseau du siège Lafarge Maroc a été réalisé en grande partie grâce aux configurations que propose l’ADS, aussi en utilisant des outils de configurations comme celui du DNS et du DHCP. Ces solutions vont sans doute être exploitées et mises en production par l’équipe IS/IT de Lafarge Maroc. Sur le plan personnel, ce stage a été pour moi une très bonne expérience enrichissante qui m’a permit de se former sur un sujet très intéressant ainsi que d’avoir une idée sur ce qu’est le travail en entreprise et surtout dans une multinationale comme LAFARGE. Pour finir, je dirait que même si le sujet sur lequel j’ai travaillé durant mon stage a été une nouveauté pour moi, l’esprit GTR ainsi que la rigueur et la persévérance dans le travail que j’ai acquise à l’IUT mon permit de le réussir et de me conforter dans l’idée de poursuivre mes études en vue d’approfondir mes connaissances.
51
Liste des sigles et abréviations
ESM: Enterprise Security Manager
ADS: Active Directory Services
APIPA: Automatic Private IP Addressing
CPD : Contrôleur Principal de Domaine
CSD : Contrôleur Secondaire de Domaine
DC: Domain Controller
DHCP: Dynamic Host Configuration Protocol
DNS: Domain Name Service
DNSLint: utilitaire Microsoft Windows qui aide à diagnostiquer des problèmes de résolution
de noms DNS fréquents.
GPO: Group Policy Objects
IP: Internet Protocol
LDAP: Lightweight Directory Access Protocol
NS: Name Server
OS: Operating System
OU: Organizational Unit
SP: Service Packs
SRP: Security Rollup Packages
SUS: Software Update Services
TCP/IP: Transmission Control Protocol/Internet Protocol
WAN: Wild Area Network
WINS: Windows Internet Name Service
WINS-R: entrée de recherche indirecte de WINS