> Tech > Mettre en place des stratégies d’accès distant

Mettre en place des stratégies d’accès distant

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Douglas Toombs
Il y a 5 ou 6 ans, deux grands acteurs s'affrontaient autour d'une proie alléchante, baptisée « part de marché ». Celle qui remporterait la plus grosse part serait adorée par les richissimes habitants consensuels d'un pays mystique répondant au nom implacable de Wall Street. A l'époque cette part était entre les griffes de Novell et Microsoft la convoitait. Ceux de nos lecteurs qui fréquentent l'univers de l'informatique depuis suffisamment longtemps pour se rappeler les premiers pas de Windows NT, savent que si Microsoft a pu glisser un pied dans la porte (y compris de certains comptes Novell purs et durs), c'est grâce à  l'ajout à  NT de services inexistants sur les autres plates-formes. A l'époque, un de ces cadeaux gratuits les plus connus fut le service d'accès à  distance RAS. Ses concurrents les plus acharnés étaient les périphériques matériels propriétaires et Novell NetWare Connect, mais leurs coûts de licences par port étaient très élevés.
Windows NT s'est lentement infiltré dans les organisations en introduisant l'un après l'autre des services gratuits répondant à  des besoins spécifiques des consommateurs. Malheureusement, bon nombre de ces " plus " n'ont pas atteint la même maturité que Windows NT au fil des ans. Malgré quelques améliorations à  chaque révision du système d'exploitation, RAS s'est avéré insuffisant dans certains domaines importants pour entreprises, en particulier pour ce qui est de gérer quel utilisateur peut se connecter à  un serveur RAS et à  quel moment. Le RAS de NT n'est pas étranger à  la sécurité des domaines et aux stratégies de comptes, mais les administrateurs veulent souvent pouvoir contrôler davantage les utilisateurs appelant de l'extérieur. Pour répondre à  leurs attentes, Microsoft a ajouté à  Windows 2000 Server des stratégies d'accès à  distance que RAS peut appliquer aux connexions entrantes.

Avant d’aborder les bases de la création de stratégies RAS pour un système, il
faut en comprendre les principaux composants et savoir comment les stratégies
sont appliquées par Windows 2000 aux utilisateurs qui essaient de se connecter
au serveur. Dans Windows 2000 Server, les stratégies se composent de trois composants
principaux. Le premier consiste en une ou plusieurs conditions, telles que l’heure
ou le numéro de téléphone à  l’origine d’une connexion entrante. Le second consiste
à  accorder ou refuser la permission en fonction de la ou des conditions. Le troisième
est un profil de paramètres à  appliquer à  la connexion si la permission est accordée.

Dans Windows 2000 Server, les stratégies se composent de trois composants
principaux

Lorsqu’une demande de connexion arrive au serveur RAS, celui-ci entreprend une
série de démarches pour déterminer s’il doit permettre la connexion au réseau
et comment la traiter. A cette fin, il suit une procédure prédéfinie qui n’est
pas apparente pour les interfaces Windows 2000 standards. Celles-ci n’indiquent
pas, par exemple, si l’option accorder ou refuser pour la stratégie d’accès à 
distance annule les paramètres définis par les utilisateurs ou vice-versa. Heureusement,
Microsoft a documenté la logique dans son Aide en ligne, ce qui me permet de vous
résumer la procédure.

Le serveur RAS commence par comparer les conditions de la première stratégie d’accès
à  distance définie sur votre système avec celles de la connexion entrante. S’il
constate une correspondance entre les deux, il applique la stratégie à  la connexion
entrante. Sinon, il recherche une correspondance avec la seconde stratégie de
la liste, puis avec la troisième etc. Même s’il s’agit d’un serveur RAS nouvellement
créé et qu’il n’y a pas encore de stratégies définies, le système a une stratégie
consistant à  Permettre l’accès si la permission d’appel entrant est activée. Windows
2000 la crée automatiquement comme stratégie par défaut, puisque RAS rejette toutes
les connexions avec le système s’il ne trouve pas de stratégies correspondantes.
La condition associée avec cette stratégie permet à  quiconque de se connecter
au système sans exception. En raison de la permissivité de la stratégie par défaut,
je recommande de la déplacer vers le bas de la liste de stratégies ou de la supprimer
carrément. Sa suppression indique au serveur RAS de refuser tout ce qui n’est
pas explicitement permis – une bonne précaution de sécurité à  prendre par tout
administrateur.

Lorsque le serveur RAS trouve une stratégie dont les conditions correspondent
à  la connexion entrante, il dispose de trois actions au choix : permettre l’accès,
le refuser ou le contrôler grâce à  une stratégie d’accès à  distance. L’action
se détermine au moyen des options de l’onglet Appel entrant de la boîte de dialogue
Propriétés d’un utilisateur (Figure 1). Pour un serveur autonome, l’accès à  la
boîte de dialogue se fait par l’option Gestion des ordinateurs du menu Outils
d’administration ; pour un serveur appartenant à  un domaine, l’accès à  la boîte
de dialogue se fait au moyen du composant enfichable de la MMC (Microsoft Management
Console) Utilisateurs et ordinateurs Active Directory. Bien entendu, si c’est
l’option Refuser l’accès qui est sélectionnée pour un utilisateur, le serveur
RAS rejette la tentative de connexion. Mais s’il s’agit de permettre ou de contrôler
l’accès grâce à  une stratégie d’accès à  distance, les choses sont un peu plus
délicates.
Si l’option Permettre l’accès est sélectionnée, le serveur RAS vérifie les propriétés
des appels entrants définies pour l’utilisateur. Si elles correspondent aux conditions
de la stratégie, il permet la connexion ; sinon, il la rejette. Supposons, par
exemple, que les propriétés des appels entrants de l’utilisateur Mary spécifient
que les appels doivent provenir seulement de son numéro de téléphone personnel,
le 703-555-1212. Si Mary appelle d’un autre numéro, le serveur RAS rejettera sa
connexion.

Si l’option Contrôler l’accès grâce à  la stratégie d’accès à  distancer est sélectionnée
pour un utilisateur (option disponible seulement dans les domaines Windows 2000
en mode natif ou dans les serveurs autonomes), RAS détermine si l’option Accorder
la permission d’accès à  distance de la stratégie est sélectionnée ; si c’est le
cas, il accorde (enfin) l’accès à  l’utilisateur.

Vous avez tout pigé du premier coup ? Personnellement j’ai dû prendre un crayon
et du papier pour dessiner l’organigramme que montre la Figure 2, avant d’être
certain d’avoir bien compris la procédure. Mais puisque vous savez à  présent comment
RAS détermine à  quel moment il faut appliquer une stratégie, jetons un coup d’oeil
à  ce que l’on peut faire avec une stratégie d’accès à  distance.

Téléchargez cette ressource

Sécuriser votre système d’impression

Sécuriser votre système d’impression

Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.

Tech - Par iTPro.fr - Publié le 24 juin 2010