IP Security protège le trafic réseau à un niveau fondamental , et donc de nombreuses applications critiques de l'entreprise nécessite cette approche de configuration avancée . Configuration de la sécurité IP ( IPsec) défie les administrateurs réseau , cependant, car il nécessite beaucoup de contrôle à la fois le client et côté serveur de la configuration réseau . Configurez IPsec avec Windows objets de stratégie de groupe (GPO ) en créant des politiques différentes pour le client et le serveur. Choses que vous devez Windows Active Directory Domain Active Directory Group Policy Editor Afficher plus Instructions 1 configurer le pare-feu de Windows contourner afin de permettre le trafic des clients de contourner l'hôte pare-feu basé . Dans le répertoire éditeur de stratégie de groupe Active Directory , cliquez-droit sur l'unité d'organisation (UO) contenant l'objet ordinateur de votre serveur cible et sélectionnez " Créer un objet GPO dans ce domaine, et le lier ici . " Donner à l'objet (GPO ) un nom significatif de groupe et cliquez sur "OK". Faites un clic droit sur le GPO et sélectionnez " Modifier". Développez l'arborescence du modèle de stratégie dans l'ordre suivant : " Configuration ordinateur ", " Modèles d'administration ", " Réseau ", " Connexions réseau " et " Pare-feu Windows " . Dans le volet de droite double-cliquez sur la politique «Pare-feu Windows: Autoriser l' authentification IPsec bypass " et cliquez sur Une politique de contournement de pare-feu pour IPsec nomme un groupe spécifique qui sera autorisé à "Enabled ". utiliser IPsec pour traverser le pare-feu basé sur l'hôte . Dans le champ intitulé "Définir homologues IPSec d'être exemptés de la politique de pare-feu :« entrer dans le Security Descriptor Definition Language ( SDDL ) chaîne pour le groupe autorisé. Le format de la chaîne SDDL pour un seul groupe est: « O: DAG : DAD: (A; ; RCGW ; ; ; SID) , " où SID est l'identificateur de sécurité (SID) d'un compte de groupe. Par conséquent, pour définir le paramètre de votre groupe , le texte de la politique dit quelque chose comme "Définir homologues IPSec d'être exemptées de la politique pare-feu: O: DAG : DAD: (A; ; RCGW ; ; ; S-1- 5-21 -4214763869-96332444560-8429442246-100290 ) . " Utilisez l'utilitaire de ligne de commande GETSID contre le nom du groupe de sécurité pour déterminer le SID si vous ne connaissez pas déjà . 2 Attribuer un côté serveur " nécessitent le cryptage " règle dans la stratégie de groupe . Pour exiger le chiffrement via IPsec , vous devez ajouter une règle de sécurité à Windows Settings du groupe politique > Paramètres de sécurité > section Stratégies de sécurité IP . Dans l'éditeur de stratégie de groupe, faites un clic droit sur l'unité d'organisation qui contient l'objet d'ordinateur de votre serveur cible et sélectionnez " Créer un objet GPO dans ce domaine , et le lier ici . " Donner à l'objet de stratégie de groupe (GPO) un nom et cliquez sur "OK". Développez l'arborescence de la politique de modèle dans l'ordre suivant : " Configuration ordinateur ", " Paramètres Windows " et " Stratégies de sécurité IP sur Active Directory ». Faites un clic droit sur la politique " serveur (nécessite la sécurité) " dans le volet de droite et sélectionnez " Assign". Si elle existe, cette politique exige que tout le trafic pour atteindre le serveur va utiliser IPsec. 3 configurer un client -side " exiger le chiffrement " règle. Afin que les clients d'utiliser le chiffrement pour atteindre le serveur , vous devez configurer une stratégie pour les clients qui permet le cryptage uniquement pour le serveur cible. Dans l'éditeur de stratégie de groupe, faites un clic droit sur l'unité d'organisation contenant l'objet groupe qui inclut tous les clients qui auront l'autorisation d'utiliser IPsec pour atteindre le serveur cible. Sélectionnez l'option " Créer un objet GPO dans ce domaine, et le lier ici . " Donnez le GPO un nom et cliquez sur "OK". Développez l'arborescence de la politique de modèle dans l'ordre suivant : " Configuration ordinateur ", " Paramètres Windows " et " Stratégies de sécurité IP sur Active Directory " . Double -cliquez sur le "Client ( en réponse seule ) " stratégie dans le volet de droite. Cliquez sur " Ajouter ..." pour lancer l'Assistant Règle de sécurité . Acceptez les valeurs par défaut pour " extrémité du tunnel " et " Type de réseau ", mais sur la page " Liste de filtres IP " cliquez sur " Ajouter ..." Sur la page " Liste de filtres IP " nom de la page la liste de filtres et cliquez sur " Ajouter ..." ajouter le serveur . Suivez l'assistant , spécifiant " N'importe quelle adresse IP" pour l'adresse source et " Un nom spécifique DNS" pour le serveur cible. Entrez le nom du serveur cible dans le champ "Nom de l'hôte: « champ . Terminez l'assistant avec les valeurs par défaut restantes et cliquez sur " OK " pour fermer la «Liste Filer IP" assistant. Dans l '"Assistant de règle de sécurité », sélectionnez «permis », comme l'action de filtrage et cliquez sur "Suivant " pour terminer l'assistant. Si elle existe, cette politique exige que tout le trafic provenant des ordinateurs clients tentant d'atteindre le serveur utiliser IPsec, mais le trafic allant vers un autre serveur ne sera pas . 4 Appliquer les mises à jour de stratégie de groupe à la fois les clients et le serveur . Sur chaque machine ouvrir un " gpupdate . " Invite de commande et tapez Si vous êtes invité à vous déconnecter , le faire.
|