Connexion WIFI WPA2 Entreprise sur un AD 2012R2 + NPS Windows 2012R2

4 Comments

Le but est présenter comment faire en sortie que les bornes Wifi de votre entreprise permettent à vos salariés de se connecter aux ressources réseaux, avec le login+mot de passe Windows de l’utilisateur, en authentification automatique et transparente pour lui.

Le contexte du tuto :

  • 1 serveur Windows 2012 R2 avec le rôle AD DS.
  • 1 serveur Windows 2012R2 avec NPS
  • 1 serveur Windows 20xx de certificats Active Directory intégré au domaine (si possible configuré en Autorité de certification d’entreprise, racine ou secondaire).
  • 1 portable sous Windows 7 Pro.
  • 1 borne Wifi qui supporte l’authentification RADIUS (peu importe du 802.11 a, b, n ou ac…)

Quelques préalables :

Principalement si vous êtes sur des fréquences en 2.4 Ghz, faites en sorte que les canaux utilisés ne se chevauchent pas entre eux si vous avez plusieurs bornes, idem si d’autres bornes Wifi  sont présentes dans votre voisinage proche. Cette question ne s’applique pas réellement en 5 Ghz.

canaux

Source : http://reseau-wifi.blogspot.fr/

Configuration du serveur Network Policy Server

Via l’Assistant Ajout de rôles et fonctionnalités, ajoutez le rôle Service de stratégie et d’accès réseau

Capture1

Puis le service de rôles Serveur NPS

Capture2

La configuration du NPS se fera via l’outil Serveur NPS

La première chose est d’inscrire votre serveur dans l’AD

Capture5

Puis de déclarer vos clients RADIUS (vos bornes Wifi en l’occurrence).

Un click droit sur le conteneur Clients RADIUS puis d’ajouter un nouveau client. Donnez un nom à ce client, son IP et spécifiez un secret partagé  (qu’il faudra renseigner sur ce client).

Capture6

L’étape suivante consiste à déclarer les stratégies de connexion et d’accès pour vos utilisateurs.

Dans le conteneur Stratégies Réseau, créez une nouvelle stratégie.

Donnez lui un nom significatif, laissez le type de serveur à Non spécifié

Capture8

Précisez les conditions qui détermineront à qui et sur quels critères cette stratégie s’appliquera. En version simple, ajoutez la condition Groupes Windows et donnez votre groupe d’utilisateurs autorisés à se connecter aux bornes WIFI.

Capture9

Dans l’étape suivante, accordez l’accès. Il est possible de laisser les propriétés individuelles des utilisateurs (onglet Accès Distant) surcharger les celles de cette stratégie réseau, en cochant la case.

Etape suivante, précisez les protocoles d’authentification autorisés :

Capture10

Puis spécifiez d’éventuelles contraintes supplémentaires (horaires, durée de session, jours de connexion, média de connexion) : ici spécifiez le Sans-Fil.

Capture11

Une fois validée, vérifiez que la stratégie soit bien en priorité.

Capture12

C’est fini pour la partie NPS.

Côté borne WIFI, un exemple de configuration :

Le mode d’authentification (WPA2 Entreprise) avec AES, puis l’adresse IP de votre serveur NPS , ainsi que le secret partagé plus haut.

Capture13

Filtrage de fichiers sous Windows 2008, Windows 2012, Windows 2016

Leave a comment

Sous Windows Server 2008R2+, le filtrage de fichiers est l’une des nouvelles fonctionnalités permettant de gérer efficacement la nature des fichiers stockés sur votre serveur de fichiers.

Dit autrement, vous pouvez contrôler le type d’extensions autorisé sur un volume ou un répertoire : le contrôle peut être soit un verrou quant à l’écriture de fichiers non conformes aux extensions autorisées, soit le déclenchement d’une alerte (notamment par mail) si un nouveau fichier comportant une existant explicite est créé.

Sous Windows 2008 R2

Installation.

Prérequis trivial : si ce n’est déjà le cas, il est nécessaire que votre serveur de fichiers, et donc le Rôle Service de Fichiers

Capture

Il faut ensuite installer le service de rôle Gestion de ressources du serveur de fichiers

  • Dans la console Gestionnaire de Serveur, et sur le service Serveur de fichiers, choisir ajouter des services de rôle.

Capture

Capture

Sélectionnez le volume auquel s’appliquera ce service :

Capture

Par défaut, une alerte est pré configurée à 85% du volume global et deux rapports d’utilisation de fichiers sont pré-cochés, le bouton Options vous permet d’accéder à nombre d’autres rapport pertinents :Capture

  • Laissez les options de stockage de rapport et d’envoi de mail par défaut puis lancez l’installation.

Configuration des alertes

Dans la console de gestion du serveur, vous avez désormais le module Gestionnaire de ressources du serveur de fichiers.

Capture

  • Click droit – Configurer les options
  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

CaptureAttention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

 

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers.

  • Créer un nouveau Groupe de Fichiers

Capture

  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.

Capture

  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Capture

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

Capture

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Selon l’exemple ci-dessus, vous recevrez un mail de ce type :

Capture

Sous Windows 2012R2

Installation.

Dans l’assistant Ajout de rôles et de fonctionnalités,  développez le Services de fichiers et de stockage puis Services de fichiers et iSCSI. Sélectionnez ensuite le Gestionnaire de ressource du serveur de fichiers.

Capture

 

Une fois installé, l’outil Gestionnaire de ressources du serveur de fichiers sera fonctionnel (sans redémarrage du serveur).

 

Configuration des alertes

Sur la racine de l’arborescence, click droit / Configurer les options :

Capture

La page Notifications par courrier électronique est la même que pour Windows 2008R2

  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

Attention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers. (Toutes les boites de dialogues sont similaires à Windows 2008R2)

  • Créer un nouveau Groupe de Fichiers
  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.
  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Vous recevrez un mail similaire à celui envoyé avec Windows 2008R2.

 

Sous Windows 2016

Installation.

Dans l’assistant Ajout de rôles et de fonctionnalités,  développez le Services de fichiers et de stockage puis Services de fichiers et iSCSI. Sélectionnez ensuite le Gestionnaire de ressource du serveur de fichiers.

Capture

Une fois installé, l’outil Gestionnaire de ressources du serveur de fichiers sera fonctionnel.

Configuration des alertes

Sur la racine de l’arborescence, click droit / Configurer les options comme pour Windows 2012.

La page Notifications par courrier électronique est la même que pour la version antérieure.

  • Spécifiez le nom de votre serveur smtp, à qui vous souhaitez envoyer les alertes et quelle adresse email émettrice sera affichée.

Attention, cette page ne permet de faire de l’envoi SMTP sur autre chose que du SSL ni en mode authentifié.

Création d’alerte sur des fichiers de type Ransomware

Il faut commencer par construire le modèle qu’on appellera « Ransomware ». Ce modèle contiendra l’extension ou les extensions connues générées par les ransomwares sur un serveur de fichiers. (Toutes les boites de dialogues sont similaires à Windows 2012)

  • Créer un nouveau Groupe de Fichiers
  • Lui donner un nom  puis ajouter la ou les extensions pour lesquelles vous envisagerez de bloquer la création de fichiers ou d’être alerté.
  • Il faut ensuite définir un modèle de filtrage basé sur le modèle des extensions ci-dessus. Autrement dit cela revient à définir les actions qui seront menées en cas de détection des extensions du modèle de groupe de fichiers.
  • il faut donner un nom à votre filtre, puis choisir le type de filtrage. Actif = blocage immédiat des fichiers, Passif = les fichiers sont autorisés mais cela génère une alerte.
  • Il est indispensable de sélectionner le modèle de fichiers à surveiller (ici Ransomware).
  • Dans l’onglet Message electronique, vous avez au minimum à cocher la case Envoyer un courrier.

Notez bien dans l’objet du message, le texte et les variables qui vont construire le mail : si un fichier interdit est détecté, vous recevrez un mail avec le nom de login de l’utilisateur, le répertoire concerné, la date et l’heure de la création de fichiers.

Dernière étape, indiquer sur quelle arborescence de votre volume vous souhaitez appliquer ce filtre.

Dans l’option Filtres de Fichiers, il faut en créer un nouveau :

  • Sélectionner le répertoire à risque car partagé, puis le filtre qui s’applique au répertoire.

Pour tester : il suffit de tenter de créer un fichier avec l’extension .locky. Vous recevrez un mail similaire à celui envoyé avec Windows 2012.

 

Fini. En quelques clic, vous avez un filer qui vous alerte ou/et qui vous bloque si un fichier ayant une extension non désirée qui tente de se créer sur votre volume ; en supplément cela vous permet d’identifier rapidement quel poste et utilisateur en est à l’origine et est donc probablement infecté.

 

 

 

 

Chiffrer vos données dans le Cloud avec CryptSync

Les usages et pratiques  nous « invitent » à stocker nos données sur le « Cloud », ou plus précisément sur ces espaces de stockages proposés aux professionnels comme aux particuliers tels que OneDrive, Google Drive, DropBox and co… Les espaces proposées se comptent en dizaine de giga disponibles ; en complément les bandes passantes sont toujours plus confortables…. sauf que les données stockées « là-bas » sont à la merci :

– de l’hébergeur

– d’un accès frauduleux à votre compte Cloud

– ..

Un outil aussi simple que puissant permet de répliquer ou sauvegarder ses données sur le Cloud avec un peu plus de sécurité : en les chiffrant.

CryptSync fait cela très bien , il réplique une arborescence locale non chiffrée vers une arborescence distante chiffrée. Un inconvénient, le volume local des données sera multiplié par 2…

 

CryptSync

 

Ce soft est sous licence GNU GPL v2, disponible pour Windows Vista et supérieur .

il est téléchargeable en version 32 ou 64 bits : http://stefanstools.sourceforge.net/CryptSync.html

Les explications ci-dessous sont pour un OS Windows 7 32 bits, un accès OneDrive (le client installé sur le poste) et la version CryptSync 1.2

L’installation est basique et sans difficultés :

c1

A la fin de l’installation, un raccourci est ajouté dans le menu :

C2

 

Le lancement de CryptSync ouvre cette fenêtre de configuration :

C3

Commencez par cocher « Start with windows » afin que l’outil permette une synchro auto entre vos données locales et celle du cloud.

Puis déclarer une « paire » de répertoires que vous souhaitez synchroniser. Autrement dit, spécifiez l’arborescence des données à répliquer sur One Drive, puis indiquez le chemin distant vers lesquelles les données doivent répliquées/chiffrées :

C4

Spécifiez un mot de passe complexe, et cochez « use GnuGPG » pour renforcer le chiffrage mis en œuvre.

 

Validez par OK, puis sur la fenêtre principale, cliquez sur « Run in Background ».

 

CryptSync se retrouve dans la barre des tâches : un click droit « Sync Now » sur l’icône pour activer la synchro+chiffrement avec le cloud.

C5

Vous pourrez ensuite vérifier vos fichiers sur One Drive, ils se retrouvent avec l’extension .gpg :

C6

 

C’est presque tout. CryptSync peut être piloté en ligne de commande ; des options sont nombreuses, comme crypter également le nom des fichiers etc….

Reste à s’intéresser à un point pas encore testé mais qui a une issue : votre système d’exploitation est réinitialisé et vos données locales sont perdues, comment retrouvez-vous vos données sauvegardées et chiffrées sur le Cloud ?!