IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP IMS INTERNET. Paramétrage de l offre Gateway Microsoft PPTP

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP IMS INTERNET Paramétrage de l offre Gateway Microsoft PPTP DRS/DTS/DCRT/CID/04 081 05/04/04 Page 1

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP 1. Introduction 2. Installation et paramétrage de Windows 2000 2.1 TERMINAL SERVER 2.2 ROUTAGE ET ACCÈS DISTANT 2.3 BASCULE D UN SERVEUR À L AUTRE 2.4 SÉCURISATION 3. Installation et paramétrage de Windows 2003 3.1 ACCÈS DU BUREAU À DISTANCE 3.2 ROUTAGE ET ACCÈS DISTANT 3.3 BASCULE D UN SERVEUR À L AUTRE 3.4 SÉCURISATION SOMMAIRE DRS/DTS/DCRT/CID/04 081 05/04/04 Page 2

1. Introduction IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP Ce document décrit les modalités de configuration de la Gateway Microsoft PPTP, il fait suite à la maquette IMS internet PPTP qui a permis de tester le bon fonctionnement des VPN PPTP des serveurs Microsoft Windows 2000 et 2003. Il faut préciser que les deux serveurs Microsoft sont installés sur le même serveur physique. Un dual boot permet de choisir le chargement de Windows 2000 ou Windows 2003. En prenant en compte ces considérations, il est conseillé d installer Windows 2000 Server avant Windows 2003 Server. De plus l absence d écran, clavier et souris requiert l utilisation de Terminal Server pour administrer les serveurs. DRS/DTS/DCRT/CID/04 081 05/04/04 Page 3

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP 2. Installation et paramétrage de Windows 2000 Le serveur étant un HP, il est nécessaire d utiliser le cd de préparation d installation fourni par le constructeur. En suivant les assistants, il faut sélectionner l OS Windows 2000 Server et allouer 17 GO pour cette installation. Puis le cd de Windows 2000 Server est requis avant que l ordinateur redémarre. L installation se poursuit sans nécessiter d intervention. Afin de préparer, l installation de Windows 2003 Server, il convient de partitionner le disque dur. Une deuxième partition principale de 17 GO est créée et nommée Win2003. La configuration réseau est la suivante : Configuration IP de Windows 2000 Nom de l'hôte.......... : artemis2000 Suffixe DNS principal...... : Type de noeud........... : Diffuser Routage IP activé........ : Non Proxy WINS activé........ : Non Ethernet carte Externe: Suffixe DNS spécifique à la connexion. : Description........... : HP NC7781 Gigabit Server Adapter Adresse physique......... : 00-0B-CD-D2-C4-18 DHCP activé........... : Non Adresse IP........... : 213.223.38.7 Masque de sous réseau...... : 255.255.255.240 Passerelle par défaut...... : 213.223.38.2 Serveurs DNS........... : Ethernet carte Interne: Suffixe DNS spécifique à la connexion. : Description........... : HP NC7781 Gigabit Server Adapter #2 Adresse physique......... : 00-0B-CD-D2-C4-1D DHCP activé........... : Non Adresse IP............ : 192.168.1.7 Masque de sous réseau...... : 255.255.255.0 Passerelle par défaut...... : Serveurs DNS........... : 192.168.1.1 2.1 Terminal Server Dans le panneau de configuration / Ajout suppression de programmes / Composants de Windows, suivre les deux étapes suivantes : DRS/DTS/DCRT/CID/04 081 05/04/04 Page 4

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP Une fois l application installé, on accède à la configuration du service via le menu démarrer / Programmes / Outils d administration / Configuration des services Terminal Server : Pour configurer/sécuriser les connexions au Terminal Server, un clic droit sur la connexion RDP-Tcp (volet droit) est requis : DRS/DTS/DCRT/CID/04 081 05/04/04 Page 5

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP Deux onglets doivent être modifiés : Il est important de préciser la carte réseau (correspondant au réseau interne 192.168.1.0/24) utiliser par Terminal Server afin d empêcher toutes demandes de contrôle à distance depuis Internet. 2.2 Routage et accès distant DRS/DTS/DCRT/CID/04 081 05/04/04 Page 6

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP Le VPN PPTP Microsoft est inclue dans le service routage et accès distant. Ce service est installé par défaut mais il faut vérifier qu il soit exécuté automatiquement au démarrage de Windows (configuration accessible au travers du gestionnaire de services). L administration du VPN PPTP s effectue en ouvrant la console MMC «Routage et accès distant» (Menu démarrer/programmes/outils d administration/routage et accès distant). Un clic droit sur le serveur ARTEMIS2000 exécute un assistant de configuration. Il faut alors répondre aux questions de la manière suivante : DRS/DTS/DCRT/CID/04 081 05/04/04 Page 7

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP Il reste quelques paramètres à préciser tel que le schéma d authentification utilisé. De nouveau un clic doit sur le serveur ARTEMIS2000 nous permet d accéder aux propriétés du service. DRS/DTS/DCRT/CID/04 081 05/04/04 Page 8

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP L étape suivante consiste à créer des utilisateurs disposant des droits nécessaires pour l accès distant. La console MMC accessible via le menu démarrer / Programmes / Outils d'administration permet de gérer les utilisateurs. Après la création d un utilisateur (user01), les propriétés associées à cet utilisateur permettent de spécifier les droits liés à l accès distant. DRS/DTS/DCRT/CID/04 081 05/04/04 Page 9

IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP 2.3 Bascule d un serveur à l autre L absence d écran et de clavier sur le serveur oblige la modification des paramètres du dual BOOT Windows afin de passer du serveur Windows 2000 au serveur Windows 2003. Il est ainsi nécessaire de suivre la procédure suivante : Cliquer avec le bouton droit sur l icône «Poste de travail» du bureau. Sélectionner propriétés. Accéder à l onglet Avancé puis bouton «Démarrage et récupération» Sélectionner «Microsoft Windows 2003 Standard» comme Système d exploitation par défaut. Il ne reste plus qu à redémarrer le serveur. DRS/DTS/DCRT/CID/04 081 05/04/04 Page 10

2.4 Sécurisation IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP 2.4.1 Stratégies génériques, droit des utilisateurs Les droits d'utilisateurs sont bien paramétrés par défaut. Seules deux modifications sont nécessaires (Par l intermédiaire des polices de sécurité local) :? Ouvrir une session localement : retirez ce droit à "Invités". DRS/DTS/DCRT/CID/04 081 05/04/04 Page 11

2.4.2 Options de sécurité IMS INTERNET /Paramétrage de l offre / Gateway Microsoft PPTP Quelques modifications doivent être apportées aux polices de sécurité locales :? Ne pas afficher le dernier nom d utilisateur dans l écran d ouverture de session : Activé? Nombre d ouverture de session précédente dans le cache : 0? Ne permettre l acc ès au cd-rom qu aux utilisateurs connectés localement : activé. 2.4.3 Gestion des partages r Supprimez les partages administratifs. Lancer l éditeur de stratégie système (POLEDIT) Editez le registre. Sélectionnez Ordinateur Local\Réseau Windows NT\Partage. Cochez l'option "Créer des partages de lecteur caché (server)". Enregistrez les modifications dans le registre. Décochez l'option "Créer des partages de lecteur caché (server)". Enregistrez les modifications dans le registre. 2.4.4 Sécuriser les services En ne prenant pas en compte les services propres aux applications installées (attention aux dépendances), seuls les services suivant doivent être démarré pour un bon fonctionnement du système : - Appel de procédure distant (RPC) - Connexion réseau - Emplacement protégé - Gestionnaire de disque logique - Gestionnaires des comptes de sécurité Le service routage et accès distant nécessite quelques services supplémentaires : service d accès distant au registre, station de travail, Serveur, Téléphonie et Gestionnaire de connexion d accès distant. DRS/DTS/DCRT/CID/04 081 05/04/04 Page 12 - Journal des évènements - Plug and Play Voici la liste des services démarrés sur la passerelle VPN PPTP Windows 2000 : - Système d évènements COM+ Nom État Type de démarrage Appel de procédure distante (RPC) Démarré Automatique Client DNS Démarré Automatique Connexions réseau Démarré Manuel Emplacement protégé Démarré Automatique Gestionnaire de comptes de sécurité Démarré Automatique Gestionnaire de connexions d'accès distant Démarré Manuel Gestionnaire de disque logique Démarré Automatique Journal des événements Démarré Automatique Plug-and-Play Démarré Automatique Routage et accès distant Démarré Automatique Serveur Démarré Automatique Service d'accès à distance au Registre Démarré Automatique Service d'application d'assistance TCP/IP NetBIOS Démarré Automatique Services Terminal Server Démarré Automatique Station de travail Démarré Automatique Système d'événements de COM+ Démarré Manuel Téléphonie Démarré Manuel 2.4.5 Sécuriser l observateur d événement Augmenter la taille de tous les journaux à 5120 Ko. Changer la permission à écraser si nécessaire. (pour éviter que le journal cesse de logger s'il venait à être saturé).

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP 2.4.6 Permissions sur l observateur d événements Créer la valeur suivante pour éviter que des utilisateurs non authentifiés viennent accéder aux différents journaux d événements de la machine à travers le réseau. HKLM\SYSTEM\CurrentControlSet\Services\EventLog\<NomDuLog> Valeur : RestrictGuestAccess, REG_DWORD, 1 (0=désactivé). 2.4.7 Optimiser la pile TCP/IP Il existe beaucoup de paramètres à modifier pour augmenter la sécurité et la fiabilité du protocole. Celui présenté ci-dessous n est pas trop restrictif et peut donc être appliqué dans la plupart des cas : r KeepAliveTime : ce paramètre définit la durée d inactivité d une connexion avant de vérifier si le système distant est toujours joignable. Ajouter dans le registre : HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters Valeur: KeepAliveTime, REG_DWORD, 300 000 (décimal) (5 min au lieu de 2 heures par défaut) 2.4.8 Interdire les «null connections» Modifier la valeur suivante pour éviter que des utilisateurs non authentifiés viennent énumérer les partages, users et groupes. HKLM\SYSTEM\CurrentControlSet\Control\LSA\ Valeur : RestrictAnonymous, REG_DWORD, 1 (et non 0 2.4.9 Restriction du service planning Le service Planning (également nommé commande AT) est utilisé pour déclencher, à l'heure qu'il convient, l'exécution automatique de tâches. Etant donné que la tâche à programmer est exécutée dans le contexte du service Planning (typiquement le contexte du système d'exploitation), ce service ne devrait pas être mis en œuvre dans un environnement hautement sécurisé. Par défaut, seuls les administrateurs peuvent soumettre au système des commandes AT. Pour que les opérateurs système puissent également le faire, lancez l'éditeur de registre et créez ou affectez la valeur de clé de registre suivante : Clé : HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa Valeur : Submit Control, REG_DWORD, 1. Il n'existe aucun moyen d'autoriser qui que ce soit d'autre à soumettre des commandes AT. Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 13 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP 3. Installation et paramétrage de Windows 2003 Une fois l installation de Windows terminée et les drivers du constructeur (HP) installés, il est nécessaire d activer en ligne Windows 2003. Cette activation est proposée au démarrage du système via un assistant (une modification de la configuration du routeur rc-bzgifi01 s est imposée nécessaire afin que Windows 2003 puisse contacter les serveurs de Microsoft sur Internet). La configuration réseau est la suivante : Configuration IP de Windows Nom de l'hôte.......... : artemis2003 Suffixe DNS principal...... : Type de nœud.......... : Inconnu Routage IP activé........ : Non Proxy WINS activé........ : Non Liste de recherche du suffixe DNS.: corpo.net Carte Ethernet Interne : Suffixe DNS propre à la connexion : corpo.net Description........... : HP NC7781 Gigabit Server Adapter #2 Adresse physique......... : 00-0B-CD-D2-C4-1D DHCP activé............ : Non Adresse IP............ : 192.168.1.7 Masque de sous-réseau...... : 255.255.255.0 Passerelle par défaut...... : Serveurs DNS.......... : 192.168.1.1 Carte Ethernet Externe : Suffixe DNS propre à la connexion : Description........... : HP NC7781 Gigabit Server Adapter Adresse physique......... : 00-0B-CD-D2-C4-18 DHCP activé............ : Non Adresse IP............ : 213.223.38.7 Masque de sous-réseau...... : 255.255.255.240 Passerelle par défaut...... : 213.223.38.2 3.1 Accès du bureau à distance Pour administrer à distance un serveur Microsoft Windows 2003, il n est plus nécessaire d installer Terminal Server qui se concentre désormais sur le partage d application. Cliquer avec le bouton droit sur l icône «Poste de travail» du bureau. Sélectionner propriétés. Accéder à l onglet «Utilisation à distance» Cocher «Autoriser les utilisateurs à se connecter à distance à cet ordinateur» Avec le bouton «Choisir les utilisateurs distants», sélectionner les utilisateurs autorisés à prendre le contrôle à distance (ici : Administrateur). Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 14 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP Il est ensuite nécessaire de paramétrer le service Terminal Server même s il n est pas installé! (menu démarrer / Programmes / Outils d administration / Configuration des services Terminal Server) Avec un clic droit sur la connexion RDP-TCP, on reproduit le paramétrage illustré dans le paragraphe 2.1 Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 15 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP 3.2 Routage et accès distant La configuration du VPN PPTP est quasiment identique à celle décrite dans le paragraphe dédié à Windows 2000 server. Il faudra donc vérifier que le service «Routage et accès distant» soit démarrer automatiquement au démarrage, puis accéder à la console MMC de configuration. Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 16 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP De même un clic droit sur le serveur ARTEMIS2003 exécutera un assistant de configuration. Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 17 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 18 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP L authentification et les options PPP sont configurées comme pour le serveur Windows 2000 (MS-chapv2 et non prise en charge des connexions à liaisons multiples). Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 19 sur 20

IMS INTERNET /Paramétrage de l offre / Gateway Microsof PPTP Un utilisateur user01 disposant des droits nécessaires est également créé. 3.3 Bascule d un serveur à l autre La procédure pour basculer du serveur Windows 2003 au serveur Windows 2000 est similaire à celle décrite dans le paragraphe 2.3 : Cliquer avec le bouton droit sur l icône «Poste de travail» du bureau. Sélectionner propriétés. Accéder à l onglet Avancé puis bouton «Paramètre» de la section «Démarrage et récupération» Sélectionner «Microsoft Windows 2000 Server» comme Système d exploitation par défa ut. 3.4 Sécurisation Microsoft a développé cette nouvelle version de son système d exploitation serveur en prenant particulièrement soin à la sécurité du système. Ainsi aucune action particulière n a été entreprise pour renforcer la sécurité du serveur. Référence Edition Date de Diffusion Page DRS/DTS/DCRT/CID/04 081 05/04/04 Page 20 sur 20