AFTEC SIO 2 - btssio-christophebouthier.e-monsite.combtssio-christophebouthier.e-monsite.com/medias/files/...windows-2.pdf · Prérequis pour la mise en place du serveur Proxy - Windows

AFTEC SIO 2

Christophe BOUHIER Page 1

AFTEC SIO 2


Sommaire :

Contexte : ............................................................................................................................................ 3

Prérequis pour la mise en place du serveur Proxy .............................................................................. 3

Mise en place du proxy Squid.............................................................................................................. 3

Configuration du proxy : ..................................................................................................................... 7

Filtrage et blacklistage de certains sites et/ou mots clés. .................................................................. 9

Mise en place du DNS et de l’active Directory .................................................................................. 12

Utilisation d’une GPO pour gérer les paramètres du proxy sur les clients : ..................................... 24

Mise en place du package internet explorer: .................................................................................... 28

Mise en place du dossier de partage:................................................................................................ 46

Mise en place du déploiement du proxy sur les postes clients: ....................................................... 50

AFTEC SIO 2


Contexte :

Dans l’entreprise où je suis actuellement en préparation de mon BTS, à plusieurs moments nous

avons remarqué des abus produit par les utilisateurs en naviguant sur des sites non productifs pour

la société. Donc j’ai proposé à mon chef de service la solution du serveur proxy pour stopper tous les

abus. Je lui ai proposé une maquette après quelques semaines de mise en production, à la suite de

cela le projet a été validé puis mis en place. Si de plus en plus d’entreprise mette en place un proxy,

c’est parce qu’il y a trop d’égard produit par les employés.

Prérequis pour la mise en place du serveur Proxy

- Windows serveur 2008

- Active directory

- DNS

- Stratégie de Groupe

Mise en place du proxy Squid

1- Sur le lien suivant se trouve l’utilitaire Squid qui peut être téléchargeable.

http://squid.acmeconsulting.it/download ... DELAYP.zip

2- Une fois le fichier téléchargé vous remarquerez que le fichier est en ZIP. Pour extraire le

contenu vous n’aurez qu’à utiliser l’application Winrar ou WinZip.

Dans ce ZIP, un seul dossier (squid) qui sera à extraire à la racine de votre lecteur C:

(Attention à bien le mettre sur le C: sinon il faudra s'amuser à modifier la config de SQUID afin

de pouvoir le déplacer ailleurs.)

3- Une fois le dossier décompressé et placé à la racine de votre lecteur C: il faut se rendre dans:

squid --> etc --> et renommer les fichiers:

- "mime.conf.default" en "mime.conf"

- "squid.conf.default" en "squid.conf"

http://squid.acmeconsulting.it/download/squid-2.7.STABLE8-bin-DELAYP.zip

AFTEC SIO 2


Après la modification le fichier doitr ressembler à ça.

AFTEC SIO 2


4- Ouvrez une fenêtre de commande (Windows + R, puis taper cmd et valider)

5- Placez-vous dans le dossier "sbin" de l'installation de SQUID en tapant :

- cd C:\squid\sbin

AFTEC SIO 2


Tapez squid -i pour créer le service Squid.

(En effet SQUID s'installe sur Windows en tant que service afin de pouvoir le démarrer dès le

lancement de Windows comme n'importe quel autre service.)

Voici ce qu'il se passe dans la fenêtre de commande si tout se passe bien:

6- Toujours dans la même fenêtre de commande, tapez squid -z afin de créer le dossier de cache:

Si tout se passe bien la fenêtre de commande doit afficher cela :

Voilà SQUID est installé sur votre serveur, il ne reste plus qu'à le configurer.

AFTEC SIO 2


Configuration du proxy :

1- Rendez-vous dans le dossier C:\squid\etc afin de modifier le fichier de configuration

"squid.conf"

(Vous pouvez l'ouvrir avec n'importe quel éditeur de texte, moi j'utilise simplement Wordpad

c'est largement suffisant.)

Là, une multitude de lignes de configurations sont présentes, on va voir les plus importantes

afin de paramétrer notre Proxy au minimum afin qu'il soit utilisable.

2- Retrouvez le bloc: (Pour ma part j’utilise le système de recherche en cliquant sur « ctrl + F »)

Et dé-commenter la dernière ligne (#none) et remplacez la par:

visible_hostname Le_Nom_De_Votre_Serveur

Où bien entendu il faut remplacer "Le_Nom_De_Votre_Serveur" par le nom NetBIOS de votre

serveur qui peut être récupéré en faisant « clic droit sur Ordinateur et propriétés »

AFTEC SIO 2


(Donc pour ma part je mets visible_hostname test-proxy)

3- Si vous souhaitez changer le port d’écoute, Retrouvez le bloc ci-dessous et modifier le:

# Squid normally listens to port 3128

http_port 3128

4- Retrouvez le bloc:

Ici vous trouvez les 3 classes d'adressage IP locales (A,B et C) pour la configuration. Si votre réseau

se situe dans l'une de ces 3 classes il n'y a rien à modifier. Dans le cas inverse il faudra ajouter une

ligne concernant l'adressage IP de votre réseau, juste en dessous de la dernière ligne.

5- La configuration minimum du proxy est terminée vous pouvez enregistrer votre fichier de

conf

6- Pour que les modifications soient prises en compte il faut redémarrer le service Squid (cela

est valable à chaque modification du fichier squid.conf)

Pour cela, rien de plus simple, il suffit d'aller dans la console de gestion des services Windows

(Windows + R et taper services.msc et valider), repérer le service "squid", clic droit dessus et

"Redémarrer".

Si vous avez bien suivi ces étapes le service redémarrera normalement et sans erreur.

7- Test de l'accès au proxy: Dans IE ou n'importe quel navigateur il faudra paramétrer les options de Proxy

Pour IE, aller dans Options internet --> Onglet Connexions --> Paramètres réseau --> Dans "Serveur

proxy" cocher les 2 cases --> Dans adresse, mettre l'adresse IP locale du serveur sur lequel SQUID

est installé --> Dans Port, mettre 3128 (ou celui choisi plus haut dans le fichier de config à la ligne

http_port)

- Valider les paramètres et sortir des options internet

Voilà le serveur proxy est installé, configuré et opérationnel.

AFTEC SIO 2


Filtrage et blacklistage de certains sites et/ou mots clés.

Blacklistage Simple:

L'intérêt d'un proxy est bien évidemment la mise en cache mais surtout le filtrage du flux de données

vers internet et également le blacklistage de sites internet et de mots clés.

SQUID proxy permet bien entendu tout cela et nous allons voir comment procéder pour mettre en

place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres.

Pour le moment le proxy est installé et configuré au minimum. Intéressons-nous maintenant aux

ACL's

Nous allons commencer par bloquer l'accès de FACEBOOK aux utilisateurs.

1. Ouvrir le fichier "squid.conf" avec votre éditeur de texte favori

2- Repérez la ligne:

acl CONNECT method CONNECT

Juste après cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans mon exemple je veux bloquer FACEBOOK. Donc, après cette ligne je mets:

acl FACEBOOK url_regex -i *.facebook.com* acl = Déclare notre ACL FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url -i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse l'étoile devant .facebook signifie que dans l'url on filtre également tout ce qui se trouve avant .facebook l'étoile après .com signifie que dans l'url on filtre également tout ce qui se trouve après .com

3- Voilà notre ACL est créé, maintenant il va falloir dire à notre proxy qu'il faut refuser l'accès à cette ACL, donc à FACEBOOK Reperez la ligne: # INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS Juste après vous pouvez ajouter vos propres règles d'accès. Donc pour cette exemple, je mets: http_access deny FACEBOOK http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser)

AFTEC SIO 2


FACEBOOK = C'est le nom de notre ACL créée précédemment (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle)

4- Voilà la règle de blocage de FACEBOOK est prête. Il faut maintenant enregistrer notre fichier squid.conf et redémarrer le service Squid pour que les modifications soit prises en comptes.

5- Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page.

Nous venons de voir comment bloquer un site/domaine en créant une ACL couplé à sa règle d'accès (http_access). SQUID permet de créer des blacklist sous forme de fichier texte afin de ne pas surcharger inutilement le fichier de configuration, mais aussi et surtout pour nous faciliter la vie en ajoutant dans ces fichiers textes tous les sites, domaines ou mots clés que nous voulons blacklister les uns à la suite des autres. La méthode reste sensiblement la même:

Blacklistage avec liste dans un fichier txt:

1- Dans le dossier squid créez un fichier txt que vous nommerez par exemple Medias_Sociaux.txt (Vous pouvez mettre ce fichier à l'endroit de votre choix. Personnellement je le mets à l'endroit où se trouve squid.conf, c'est à dire ici C:\squid\etc)

2- Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez blacklister.

*.facebook.com* *.twitter.com* *.hotmail.com* *.msn.com* *.live.com*

Enregistrer le fichier

3- Rendez-vous maintenant dans notre fichier squid.conf

Repérez la ligne: acl CONNECT method CONNECT Juste après nous avions créé l'ACL suivante: acl FACEBOOK url_regex -i *.facebook.com* Nous allons la supprimer et la remplacer par notre blacklist: acl Medias_Sociaux url_regex -i "C:\squid\etc\Medias_Sociaux.txt"

acl = Déclare notre ACL

Medias_Sociaux = Nom de notre ACL (On peut donner n'importe quel nom, mais soyez cohérents par rapport à votre fichier texte (banlist) ) url_regex = Signifie que le proxy filtrera les expressions régulières dans l'url

AFTEC SIO 2


-i = C'est une option que l'on peut ajouter à notre ACL pour signifier que le filtrage ne sera pas sensible à la casse "C:\squid\etc\Medias_Sociaux.txt" = Chemin de notre banlist, ici elle se trouve dans le lecteur C: dans le sous-dossier nommé "etc" du dossier "squid" (Veillez à ne pas oublier les guillemets "" encadrant le chemin du fichier txt)

4- Reperez la ligne:

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS Juste après nous avions créé la règle d'accès suivante: http_access deny FACEBOOK Nous allons la supprimer et la remplacer par notre nouvelle règle: http_access deny Medias_Sociaux http_access = Signifie que la règle portera sur un accès HTTP deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut dire plutôt refuser) Medias_Sociaux = C'est le nom de notre ACL (il faut qu'il soit strictement le même sous peine de ne pas faire fonctionner notre règle)

Voilà nous avons une banlist avec l'ACL et la règle d'accès correspondantes.

5- Enregistrez le fichier squid.conf et redémarrez le service SQUID comme d'habitude pour tout changement de configuration.

6- Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou twitter, hotmail, etc, puis suivre le lien. Si tout est paramétré correctement, vous devriez recevoir une page d'erreur du proxy vous signifiant que vous ne pouvez pas avoir accès à cette page.

Maintenant que le Proxy est opérationnel, nous allons voir comment paramétrer le proxy via une GPO. Mais avant cela nous allons installer l’AD pour qu’on puisse mettre en place une GPO.

AFTEC SIO 2


Mise en place du DNS et de l’active Directory

Aller dans le gestionnaire de serveur, et dans l’onglet Rôles, sur la droite de l’écran cliquer sur

« Ajouter des rôles ».

Cliquer sur suivant au moment ou cette page apparait.

AFTEC SIO 2


Il se peut que lorsque vous sélectionner le rôle « Service de domaine active directory », l’assistant

d’ajout de rôles vous propose d’installer le Net Framework 3.5.1

Alors cliquer sur « Ajouter les fonctionnalités requises ».

Une fois que la case du service Active directory est bien sélectionner cliquer sur suivant.

AFTEC SIO 2


Cliquer de nouveau sur suivant.

Cliquer ensuite sur installer.

AFTEC SIO 2


Patienter pendant l’installation.

Cliquer sur fermer pour poursuivre l’installation de l’active directory.

AFTEC SIO 2


Pour continuer, ouvrir une commande d’exécution en allant dans démarrer et exécuter.

Puis taper « dcpromo »

Cliquer sur suivant.

AFTEC SIO 2


Dans mon cas je créer un domaine donc je choisis l’option coché ci-dessous.

Dans le cas de la forêt existante, ça va me permettre de rejoindre un domaine existant sur le réseau.

AFTEC SIO 2


Choisir un nom de domaine et cliquer sur suivant.

L’assistant d’installation se met en alerte pour signaler que les caractère mis dans notre domaine,

peuvent ne pas être pris en charge par d’autres produits du serveur DNS.

Patienté quelque seconde pendant la vérification de la disponibilité du nom de domaine.

AFTEC SIO 2


Dans le menu de sélection choisir le niveau de fonctionnalité du domaine.

Laisser l’analyse se faire. Si aucun serveur DNS n’est configuré sur votre serveur, il vous proposera de

le configurer en même temps.

AFTEC SIO 2


Vérifier que le serveur DNS est bien sélectionné et cliquer sur suivant.

Choisir l’option qui vous correspond.

AFTEC SIO 2


Mettre un mot de passe et suivant.

AFTEC SIO 2


Patienter pendant l’installation des services.

AFTEC SIO 2


Voilà l’installation du DNS et l’active directory est terminé.

AFTEC SIO 2


Utilisation d’une GPO pour gérer les paramètres du proxy sur les clients :

Nous allons créer une GPO sur le serveur afin de faire redescendre la configuration du Proxy sur les

machines du domaine et bloquer l'accès à ces paramètres afin que les utilisateurs ne puissent pas

changer la configuration pour outrepasser le Proxy.

1- Sur le serveur, rendez-vous dans la console Active Directory (Démarrer --> Outils

d'administration --> Utilisateurs et Ordinateurs Active Directory) 2- Puis faire clic droit sur le nom de domaine puis créer une nouvelle unité d’organisation. Pour ma

part je l’appelerais SquidProxy.

Après cela fermer la fenêtre et ouvrir celle qui va permettre la gestion de stratégie de groupe

AFTEC SIO 2


Comme on peut le voir, l’unité d’organisation que l’on vient de créer est présente.

Faire clic droit sur l’unité d’organisation et cliquer sur « nouveau ».

AFTEC SIO 2


La nommer comme vous le souhaitez.

Faire clic droit sur l’objet de stratégie de groupe qui vient d’être créée puis cliquer sur « Modifier ».

AFTEC SIO 2


Aller dans « Configuration ordinateur » « modèles d’administration » « composants Windows »

« Internet Explorer » et à cette endroit ci 2 options sont possible pour bloquer les paramètres du

proxy.

- Désactiver la modification des paramètres de connexions.

- Empêcher la modification des paramètres de proxy.

Double clic sur l’option souhaitée, puis activer la stratégie de groupe et l’appliquer.

AFTEC SIO 2


Mise en place du package internet explorer:

Pour commencer, je tiens à préciser que cette solution de mise en place est fonctionnelle pour ceux

qui utilisent internet explorer 10 ou 11. Car pour les versions antérieurs à celle-là, la solution est

différente, elle ce gère directement dans la console de stratégie de groupe.

1- Aller télécharger « Internet Explorer Administration Kit 11 » sur le lien suivant :

http://www.microsoft.com/en-us/download/details.aspx?id=40903

2- Une fois cette étape passé lancer le fichier qui vient d’être téléchargé et suivre l’installation.

Cocher la case « J’accepte les termes du contrat de licence » et continuer.

http://www.microsoft.com/en-us/download/details.aspx?id=40903

AFTEC SIO 2


Dans mon cas je choisis la deuxième option car je mets ce projet en interne.

Mettez l’organisation de votre choix.

AFTEC SIO 2


Voilà l’installation est terminée. Nous allons maintenant voir pour le configurer pour le rendre

fonctionnel.

AFTEC SIO 2


Dans le menu démarrer, une assistance à la personnalisation d’internet explorer est normalement

présente. Cliquer dessus et suivez les étapes.

AFTEC SIO 2


Sélectionner le type de plate-forme de destination.

Sélectionner la langue et continuer.

AFTEC SIO 2


Choisir si vous voulez le :

- Pack qui contient l’installation d’internet explorer 11 + configuration

Ou

- Le pack de configuration seulement.

AFTEC SIO 2


Patienter une fenêtre d’installation doit apparaitre quelque seconde plus tard.

Cliquer sur exécuter. Ensuite Synchroniser vas apparaitre. Cliquer dessus pour récupérer la dernière

version d’internet explorer mise à jour compris.

Ensuite poursuivez les étapes.

AFTEC SIO 2


Pour ma part je mets internet explorer comme navigateur par défauts car Mozilla Firefox ainsi que

Google Chrome est bloqué par le proxy pour éviter de passer outre le proxy en utilisant un autre

navigateur.

AFTEC SIO 2


Choisir « installation entièrement sans assistance », qui permettra à l’utilisateur de se soucier de rien

car toute l’installation sera prise en charge par l’administrateur. En plus de choisir cette option cela

permet à l’utilisateur de ne rien voir pendant l’installation.

Et choisir forcer le redémarrage pour que le proxy soit bien pris en compte dès la première

utilisation.

AFTEC SIO 2


Choisir la page de démarrage du navigateur.

AFTEC SIO 2


Cette étape permet d’importer des favoris qui seront alors disponible pour tous les utilisateurs.

AFTEC SIO 2


Laissez par défaut sauf si vous désirez personnalisée une page d’accueil.

AFTEC SIO 2


Cocher « utiliser l’affichage de compatibilité (mode internet explorer 7) ». Cela permettra d’éviter les

bugs fréquents en entreprise.

AFTEC SIO 2


Nous voilà à la configuration du proxy.

Cocher « importer les paramètres de connexion actuels à partir de cet ordinateur » et cliquer sur

« Modifier les paramètres ».

Cliquer sur « paramètres réseau »

AFTEC SIO 2


Cocher les 2 cases dans la partie « serveur proxy » puis entrer l’adresse IP du serveur Proxy ainsi que

le port puis cliquer sur avancer.

Une fois avoir cliqué sur « avancé » cocher aussi la « utiliser le même serveur proxy pour tous les

protocoles ».

Puis Valider et continuer.

AFTEC SIO 2


AFTEC SIO 2


AFTEC SIO 2


Patienter pendant qu’il génère et compresse les fichiers du package personnalisé.

Voilà le package est créer plus qu’à le déployer sur les clients.

En allant dans le dossier d’installation C:\builds\06102014\FLAT\AMD64_WIN7\FR-FR, le fichier

d’installation est normalement présent avec le format .EXE et .MSI. Nous allons utiliser le fichier MSI

pour la suite.

AFTEC SIO 2


Mise en place du dossier de partage: Maintenant que le fichier exécutable est créer, faut penser absolument à partager le dossier ou se trouve le fichier sinon le déploiement ne pourra pas ce faire.

Pour cela aller dans "Gestion de l'ordinateur" en passant par "démarrer - Outils d'administration"

Développer l'arborescence "Outils système - Dossiers partagés - Partages"

Faire clic droit sur partages et choisir "Nouveau Partage...".

AFTEC SIO 2


Cliquer sur puis aller chercher le fichier à partager.

Et continuer.

AFTEC SIO 2


Donner un nom de partage au dossier qui possèdera le fichier exécutable, qui sera ensuite utilisé au niveau de la stratégie de groupe.

Maintenant choisir les droits que l’on désir attribué.

AFTEC SIO 2


Voilà le Fichier est partagé sur le réseau et est visible par tous selon comment vous le configurer.

AFTEC SIO 2


Mise en place du déploiement du proxy sur les postes clients:

Une fois le package MSI crée il faut le déployer

Il existe deux possibilités pour déployer :

Déploiement par Utilisateur : Elle permet d’installer le package lorsque l’utilisateur se connecte peu importe le poste qu’il utilise sur le domaine.

Déploiement par Ordinateur : Elle permet d’installer le package sur chaque ordinateur faisant partit de la stratégie. Le logiciel du package est alors disponible pour tous les utilisateurs se connectant à cet ordinateur.

Dans mon cas ça sera le déploiement par ordinateur.

- Déploiement par Ordinateur

Dans un premier temps, aller sur dans la console de gestion de stratégie de groupe puis se positionner sur l’unité d’organisation que l’on a créée auparavant pour le proxy.

Faire clic droit sur l'unité d'organisation et choisir « lier un objet de stratégie de groupe existant »

Dans la fenêtre de droite pensé à appliquer la stratégie de groupe en faisant clique droit dessus et cocher "appliqué".

AFTEC SIO 2


Ensuite faire clic droit sur l'unité d'organisation et choisir "Modifier"

Je rappelle que pour ma part c'est une installation au niveau de l'ordinateur et non utilisateur.

Développer l'arborescence " Configuration ordinateur - Paramètres du logiciel " et faire clic droit sur " Installation de logiciel - Nouveau - Package... "

AFTEC SIO 2


Aller chercher le logiciel que vous souhaitez déployer dans le dossier que vous avez bien sur partagé et cliquer sur ouvrir.

Choisir Oui. Ce message apparaît car il ne peut pas vérifier si le partage a bien été effectué.

On vous demande de choisir entre "Attribué ou Avancé".

AFTEC SIO 2


La différence est:

Publier : Lorsqu’un package est publié cela signifie qu’il est nécessaire d’aller dans le panneau de configuration afin de l’installer manuellement.

Attribuer : Lorsqu’un package est attribué il est directement installé sur la machine à partir du réseau.

Moi je souhaite le faire sans intervention des utilisateurs, alors je choisi "Attribué".

Voilà le logiciel à déployer est normalement apparu.

Une fois toutes ces manœuvres effectué, le déploiement est enfin effectuer et terminer.

Une fois que l’utilisateur ce connectera au démarrage, l’installation du proxy se fera automatiquement et sera invisible pour l’utilisateur.

Documents

AFTEC SIO 2 - btssio-christophebouthier.e-monsite.combtssio-christophebouthier.e-monsite.com/medias/files/...windows-2.pdf · Prérequis pour la mise en place du serveur Proxy - Windows