Sécuriser la configuration

4 juin 2018

Cet article contient les procédures à suivre pour vous assurer que les composants de la réinitialisation en libre-service des mots de passe sont déployés et configurés de manière sécurisée.

  • Créer un compte d’utilisateur de domaine pour réinitialiser le mot de passe de l’utilisateur et déverrouiller le compte utilisateur
  • Configurer les paramètres du pare-feu

Créer un compte en libre-service

Si vous utilisez les fonctionnalités Réinitialisation du mot de passe ou Déverrouillage de compte de la réinitialisation en libre-service des mots de passe, spécifiez un compte en libre-service lors de la configuration du service. Ce compte est utilisé par le module en libre-service pour exécuter les fonctionnalités Réinitialisation du mot de passe et Déverrouillage de compte. Assurez-vous que le compte dispose de privilèges suffisants, mais nous ne recommandons pas d’utiliser un compte appartenant au groupe Administrateurs de domaine pour les déploiements de production. Les privilèges de compte recommandés sont les suivants :

  • Membre du domaine
  • Autorisations de réinitialisation du mot de passe et de déverrouillage de compte accordées aux utilisateurs du domaine appropriés

Dans Utilisateurs et ordinateurs Active Directory, créez le groupe ou compte d’utilisateur afin qu’il soit autorisé à réinitialiser le mot de passe de l’utilisateur et à déverrouiller des comptes d’utilisateur.

  1. Dans Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur le domaine, puis sur Délégation de contrôle dans le menu.
  2. L’assistant Délégation de contrôle s’affiche. Dans la boîte de dialogue Bienvenue, cliquez sur Suivant.
  3. Dans la boîte de dialogue Utilisateurs et groupes, cliquez sur Ajouter. Sélectionnez le groupe dans la liste auquel vous souhaitez accorder le droit de déverrouiller des comptes, puis cliquez sur OK. Dans la boîte de dialogue Utilisateurs et groupes, cliquez sur Suivant.
  4. Sur la boîte de dialogue Tâches à déléguer, cliquez sur Créer une tâche personnalisée à déléguer, puis cliquez sur Suivant.
  5. Dans la boîte de dialogue Type d’objet Active Directory, cliquez sur Seulement des objets suivants dans le dossier > Objets USER, puis cliquez sur Suivant.
  6. Dans la boîte de dialogue Autorisations, sélectionnez les cases à cocher Général et Spécifiques aux propriétés. Dans la liste Autorisations, sélectionnez les cases à cocher Read lockoutTime, Write lockoutTime, Reset Password, Change Password, Read userAccountControl, Write userAccountControl, Read pwdLastSet et Write pwdLastSet, puis cliquez sur Suivant.
  7. Sur la boîte de dialogue Fin de l’Assistant Délégation de contrôle, cliquez sur Terminer.

Configurer les paramètres du pare-feu

Étant donné que les composants du serveur de réinitialisation en libre-service des mots de passe et du serveur de stockage central gèrent les mots de passe des utilisateurs, nous vous recommandons fortement de déployer ces composants sur un réseau fiable. Vous devez également vous assurer que ces serveurs ne peuvent être contactés que par des composants approuvés spécifiques. Cette section décrit les étapes à suivre pour vous assurer de configurer correctement le pare-feu Windows pour ces serveurs. Nous vous recommandons également de configurer l’infrastructure réseau existante pour vous assurer que ces serveurs sont isolés du trafic réseau non fiable.

Après avoir terminé ces configurations dans le déploiement, les serveurs du magasin central de réinitialisation en libre-service des mots de passe peuvent être accessibles uniquement à partir de serveurs de réinitialisation en libre-service des mots de passe utilisant SMB (Server Message Block). Les serveurs de réinitialisation en libre-service des mots de passe sont quant à eux accessibles uniquement à partir des serveurs StoreFront utilisant des connexions HTTPS.

Déploiement d’un partage de fichiers à distance pour Windows 2012 R2

image localisée

Environnement

  • Déployez les composants de réinitialisation en libre-service des mots de passe sur des serveurs dédiés. Ne les déployez pas sur les mêmes serveurs que ceux des composants StoreFront ou Delivery Controller existants. Sinon, la configuration du pare-feu affichée ci-dessous pourrait bloquer le trafic de StoreFront ou du Controller.
  • Il n’existe aucun proxy HTTP/HTTPS non-transparent entre StoreFront et le serveur de réinitialisation en libre-service des mots de passe.

Si aucun proxy non-transparent n’existe entre StoreFront et le serveur de réinitialisation en libre-service des mots de passe, configurez le serveur de réinitialisation en libre-service des mots de passe de façon à ce qu’il soit uniquement accessible à partir du serveur proxy dans les règles de pare-feu.

  • Les configurations dans ces procédures sont basées sur les règles de pare-feu Windows par défaut.

Configurer le pare-feu pour le magasin central de réinitialisation en libre-service des mots de passe

Après avoir terminé la configuration, le service SMB fourni par magasin central de réinitialisation en libre-service des mots de passe est accessible uniquement à partir de serveurs de réinitialisation en libre-service des mots de passe entrants. De plus, le serveur du magasin central de réinitialisation en libre-service des mots de passe peut accéder au service se trouvant sur le réseau d’entreprise uniquement pour le trafic sortant.

1. Ouvrez le Gestionnaire de serveur, et à partir du menu Outils sur la barre de navigation supérieure, sélectionnez Pare-feu Windows avec sécurité avancée.

2. Dans la boîte de dialogue Pare-feu Windows avec sécurité avancée, sélectionnez Propriétés du Pare-feu Windows dans le panneau central. Il existe trois profils de pare-feu : domaine, privé et public. Sélectionnez l’onglet Profil de domaine. Vérifiez que État du pare-feu est défini sur Activé, que Connexions entrantes est défini sur Bloquer et que Connexions sortantes est défini sur Autoriser.

image localisée

3. Sélectionnez les onglets Profil privé et Profil public. Vérifiez que État du pare-feu est défini sur Activé et que Connexions entrantes et Connexions sortantes sont définis sur Bloquer. Appliquez et enregistrez les modifications.

4. À partir de Règles de trafic entrant, choisissez Partage de fichiers et d’imprimantes (SMB-Entrée) et assurez-vous que cette règle est Activée, et que Action est défini sur Autoriser la connexion.

image localisée

5. Dans Propriétés du partage de fichiers et d’imprimantes (SMB-Entrée), passez à l’onglet Étendue. Choisissez Ces adresses IP, et ajoutez toutes les adresses IP du serveur de réinitialisation en libre-service des mots de passe à la liste. Par exemple, le serveur de réinitialisation en libre-service des mots de passe A (192.168.1.10) et le serveur de réinitialisation en libre-service des mots de passer B (192.168.1.11).

6. Sur Propriétés du partage de fichiers et d’imprimantes (SMB-Entrée), sur l’onglet Avancé, sélectionnez les profils Domaine, Privé et Public, et enregistrez les modifications apportées à cette règle.

7. Répétez cette procédure pour les règles de trafic entrant pour Administration à distance du serveur de fichiers (SMB-Entrée) et Partage de fichiers et d’imprimantes (NB-Session-Entrée).

Configurer le pare-feu pour le serveur de réinitialisation en libre-service des mots de passe

Une fois la configuration terminée, le service Web fourni par les serveurs de réinitialisation en libre-service des mots de passe est accessible uniquement à partir des serveurs StoreFront utilisant HTTPS. Les serveurs de réinitialisation en libre-service des mots de passe peuvent accéder au service se trouvant sur le réseau d’entreprise.

1. Ouvrez le Gestionnaire de serveur, et à partir du menu Outils sur la barre de navigation supérieure, sélectionnez Pare-feu Windows avec sécurité avancée.

2. Dans la boîte de dialogue Pare-feu Windows avec sécurité avancée, sélectionnez Propriétés du Pare-feu Windows dans le panneau central. Il existe trois profils de pare-feu : domaine, privé et public. Sélectionnez l’onglet Profil de domaine. Vérifiez que État du pare-feu est défini sur Activé, que Connexions entrantes est défini sur Bloquer et que Connexions sortantes est défini sur Autoriser.

image localisée

3. Sélectionnez les onglets Profil privé et Profil public et vérifiez que État du pare-feu est défini sur Activé et que Connexions entrantes et Connexions sortantes sont définis sur Bloquer. Appliquez et enregistrez les modifications.

4. À partir de Règles de trafic entrant, choisissez Services World Wide Web (trafic HTTP). Assurez-vous que cette règle est Activée, et que Action est défini sur Bloquer la connexion.

5. Sur Propriétés des services World Wide Web (trafic HTTPS), passez à l’onglet Avancé. Sélectionnez les profils Domaine, Privé et Public, et enregistrez les modifications apportées à cette règle.

6. À partir de Règles de trafic entrant, choisissez Services World Wide Web (trafic HTTPS). Assurez-vous que cette règle est Activée, et que Action est défini sur Autoriser la connexion.

image localisée

7. Sur Propriétés des services World Wide Web (trafic HTTPS), passez à l’onglet Étendue. Choisissez Ces adresses IP et ajoutez toutes les adresses IP du serveur StoreFront à la liste. Par exemple, StoreFront A (192.168.1.50) et StoreFront B (192.158.1.51).

8. Sur Propriétés des services World Wide Web (trafic HTTPS), passez à l’onglet Avancé. Sélectionnez les profils Domaine, Privé et Public, et enregistrez les modifications apportées à cette règle.

Sécuriser la configuration