installation d'un serveur forefront-tmg
TRANSCRIPT
Installation d'un serveur Forefront Threat Management Gateway 2010
(TMG 2010)
Par LoiselJP
Le 01/05/2013
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 2/56
LoiselJP ©2013
1 Objectifs
Ce document décrit le plus succinctement possible une manière, parmi d'autres, d’installer un serveur proxy et
reverse proxy sur un produit Microsoft serveur
Le but de ce serveur est de proposer un système de filtrage simple (juste destiné à protéger l’utilisateur et alléger
le trafic sur la sortie vers l’Internet).
Il sera donc créé avec un cache suffisamment conséquent pour contenir le trafic courant dans un environnement
a forte utilisation de téléchargement de mise à jour et programmes d’installation.
Note: Le serveur proposant un petit filtrage (donc un rapport de navigation, historique…), une
information préalable à l'utilisation des postes sera dispensée à chaque utilisateur qui se doit d'être
averti qu'un filtrage et un suivi d'utilisation est mis en place.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 3/56
LoiselJP ©2013
2 Sommaire
1 Objectifs .................................................................................................................................................................... 2
2 Sommaire .................................................................................................................................................................. 3
3 Prérequis ................................................................................................................................................................... 4
3.1 Installation du serveur .................................................................................................................................... 6 3.2 Sécuriser le serveur ........................................................................................................................................ 7
3.3 Mise à jour du système via Microsoft Update ............................................................................................... 8
4 Préparation à l’installation de Forefront TMG 2010 .............................................................................................. 10
5 Installation de Forefront TMG 2010 ....................................................................................................................... 15
5.1 Installation des composants de base ........................................................................................................ 15
5.2 Installation du système ................................................................................................................................ 22 6 Configuration initiale de Forefront TMG 2010 ...................................................................................................... 25
6.1 Erreur de script dans TMG .......................................................................................................................... 25 6.1.1 Désinstaller IE9 /10 .................................................................................................................................. 25
6.1.2 Editer le fichier de configuration de TMG « TabsHandler.htc » .............................................................. 26
6.2 Passer à la configuration de base… ......................................................................................................... 26 6.2.1 Etape 1 ...................................................................................................................................................... 27
6.2.2 Etape 2 ...................................................................................................................................................... 30
6.2.3 Etape 3 ...................................................................................................................................................... 33
7 Configuration des règles d’accès Web.................................................................................................................... 43
8 Installer les mises à jour.......................................................................................................................................... 55
8.1 Service Pack 1 .............................................................................................................................................. 55
8.2 Installer l’Update 1 ........................................................................................................................................ 55
8.3 Note de mises à jour .................................................................................................................................... 55 ©Propriété .................................................................................................................................................................. 56
Licence .................................................................................................................................................................. 56
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 4/56
LoiselJP ©2013
3 Prérequis
Forefront TMG 2010 ne s’installe que sur Windows Server, cependant, ce guide ne demande aucune formation particulière à ce système d’exploitation, cependant, il est nécessaire à l’utilisateur de connaître quelques notions de base à ce sujet.
Parmi ces notions de base on pourra noter :
Le gestionnaire de serveur destiné à l’installation des nouveaux « rôles » et fonctionnalités, c’est dans cette fenêtre que seront exécutés la très grande majorité des actions sur le serveur :
Pour une utilisation générale (proche d’un poste de travail) on pourra configurer la sécurité de navigation internet dans la rubrique « Informations sur la sécurité » :
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 5/56
LoiselJP ©2013
Les outils d’administration apportent la possibilité de modifier certains paramètres, notamment la gestion des disques dur (utile lors de la configuration de base de notre serveur) disponible dans la rubrique « Gestion de l’ordinateur »:
Les outils d’administration proposent également la rubrique « Stratégie de sécurité locale » dans laquelle on peut définir la complexité exigée du mot de passe, sa durée de vie, les droits accordés aux utilisateurs…
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 6/56
LoiselJP ©2013
3.1 Installation du serveur
Pour information: Forefront TMG 2010 ne s’installe que sur Windows Server en version 64 bits. Il est donc
nécessaire de disposer d’une version serveur 64bits.
Bien qu’il existe des versions plus récentes de Windows Server (2012 à l’heure de la rédaction de ce document d’aide), ce document décrit l’installation effectuée sur un serveur « Microsoft Windows Server 2008 R2 ».
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 7/56
LoiselJP ©2013
Pour une pleine exploitation le serveur sera installé avec 2 partitions au minimum (1 pour le système, 1 pour le cache du serveur Forefront) les administrateurs pourront également envisager une partition pour les sauvegardes, partages… si le serveur est destiné à une utilisation plus large.
Idéalement, 1 disque dédié reste la solution la plus performante.
Forefront peut voir son cache étendu à 64Go au maximum, suivant la destination du serveur on peut alors envisager un cache de cette taille…
3.2 Sécuriser le serveur
Le serveur installé est destiné à protéger votre réseau des différentes attaques extérieures, on peut répertorier plus de 20 types d’attaques (virus, intrusions, substitution d’identité,…) le but de cette section n’étant pas d’énumérer les attaques et type d’attaque possible, on pourra se reporter à des sites d’information sur les attaques et la manière de s’en protéger tels que le site de gouvernemental http://www.ssi.gouv.fr/
Le minimum est de se munir d’un antivirus et d’un pare-feu (sachant que Forefront, par son emploi, fait office de pare-feu). Suivant le besoin, on pourra utiliser des solutions gratuites. La solution choisie doit être compatible pour les versions serveur.
MSE peut être envisagé dans le cas où la sécurité ne demande pas d’intérêt particulier (cas d’une utilisation dédiée du serveur).
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 8/56
LoiselJP ©2013
3.3 Mise à jour du système via Microsoft Update
Comme il l’a déjà été précisé plusieurs fois, le serveur est destiné à protéger le système, il est donc indispable d’activer et vérifier les mises à jours du système.
Pour rappel : les mises à jour sont destinées à corriger les différentes failles de sécurité, c’est justement ce dont il est question dans ce type de serveur…
3.3.1 Note très importante à propos des mises à jour
Forefront TMG n’est pas compatible avec les scripts Internet Explorer 9/10 !
Vous risquez alors de rencontrer cette erreur :
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 9/56
LoiselJP ©2013
Il est donc important de vérifier les mises à jour disponibles et de ne pas y inclure Internet Explorer 9.
3.3.2 Procéder à la mise à jour du système
Après vérification des différentes mises à jour disponibles vous pouvez alors procéder à leur installation
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 10/56
LoiselJP ©2013
4 Préparation à l’installation de Forefront TMG 2010
Après s’être assuré que les mises à jour sont faites, (ne pas installer IE9/10!)
Sélectionner « Exécuter l’outil de préparation » à moins que vous désiriez avoir quelques information complémentaires, dans ce cas vous pouvez passer par « Lire le guide de déploiement », ce guide, disponible
en ligne, vous donnera alors toutes les informations complémentaires sur l’installation de Forefront.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 11/56
LoiselJP ©2013
Après avoir lu (!) le message d’accueil des outils de préparation cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 12/56
LoiselJP ©2013
Comme tout logiciel il est nécessaire d’accepter la licence (après l’avoir lue), puis cliquer sur « Suivant »
La machine va être le serveur Forefront dans le cas présent il est nécessaire d’installer le serveur ainsi que les outils d’administration. On peut remarquer qu’il est possible d’installer uniquement les outils d’administration dans le cas des serveurs multiples et afin de limiter les interventions sur différents serveurs.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 13/56
LoiselJP ©2013
Dans le cas présent cliquer sur « Suivant »
L’installation des outils s’effectue de manière très simple sans intervention nécessaire.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 14/56
LoiselJP ©2013
On notera que l’installation n’est pas encore effectuée, pour rappel, il s’agissait juste des outils de préparation… pour continuer cliquer sur « Terminer ».
Si « Lancer l’assistant d’installation de Forefront TMG » est sélectionné, l’étape suivant sera lancée automatiquement.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 15/56
LoiselJP ©2013
5 Installation de Forefront TMG 2010
Cette fois, nous y sommes, l’installation de Forefront débute…
5.1 Installation des composants de base
Cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 16/56
LoiselJP ©2013
Cette fois encore, il est nécessaire d’accepter la licence, cliquer ensuite sur « Suivant »
Au besoin saisir les informations de licence puis cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 17/56
LoiselJP ©2013
En fonction de votre installation (dossier ou partition séparé) saisissez le dossier de destination puis cliquer sur « Suivant »
A cette étape sont déclarés les réseaux internes (suivant le nombre de cartes réseau..). Cliquer sur « Ajouter »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 18/56
LoiselJP ©2013
Cliquer sur « Ajouter une carte »
Sélectionner l’interface réseau à utiliser (ou les interfaces). Cliquer sur OK
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 19/56
LoiselJP ©2013
La table des adresses est construite automatiquement. Dans le cas de réseaux complexes (par exemple le cas de plusieurs département de travail), on pourra modifier une plage voir séparer une plage en plusieurs sous réseaux… (cas des pages privées)
Après avoir défini les différentes plages d’adresse de travail, cliquer sur « OK ».
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 20/56
LoiselJP ©2013
Une fois les différentes plages d’adresse définies, cliquer sur « Suivant »
Lire l’avertissement (important pour les serveurs à haute disponibilité) puis cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 21/56
LoiselJP ©2013
Cliquer sur « Installer ».
A partir de cet instant, Forefront va s’installer, c’est le moment d’aller tranquillement à la machine à café... en plus de redémarrer (suivant les cas), l’installation peut durer plusieurs dizaines de minutes.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 22/56
LoiselJP ©2013
5.2 Installation du système
1ere étape durée estimée 5mn… comptez-en 10…
Autoriser au besoin les accès…
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 23/56
LoiselJP ©2013
Encore 2 minutes pour la dernière étape d’installation…
Après 19 petites minutes (estimées) l’installation est enfin terminée :
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 24/56
LoiselJP ©2013
Cliquer sur « Terminer » pour démarrer la configuration initiale si vous avez coché cette option.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 25/56
LoiselJP ©2013
6 Configuration initiale de Forefront TMG 2010
6.1 Erreur de script dans TMG
Malgré l’avertissement de ne pas installer internet Explorer 9 ou 10 lors des mises à jour, lors du lancement de la console TMG une erreur de script peut apparaître et il est alors impossible de se servir de la console:
Ce bug est en réalité dû à la présence simultanée sur le serveur de TMG est d’Internet Explorer 9 (Internet explorer 10 donne la même erreur).
Pour Résoudre ce problème il existe plusieurs façons de procéder différentes. Ici deux seront décrites mais il est également possible de résoudre le problème en effectuant les mises à jour et en installant les différents services pack de Forefront (ce qui sera indiqué plus loin).
6.1.1 Désinstaller IE9 /10
Pour désinstaller proprement Internet Explorer du serveur il suffit de suivre la procédure suivante :
- Ouvrir Windows Update (panneau de configuration), - Sélectionner les mises à jour installées, trouver celle qui correspond à Internet explorer 10 (et/ou IE9),
puis double cliquer sur la ligne correspondante,
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 26/56
LoiselJP ©2013
Dans certain cas ceci ne suffit pas à rétablir la situation, il est possible d’utiliser la méthode suivante.
6.1.2 Editer le fichier de configuration de TMG « TabsHandler.htc »
Ouvrir le fichier suivant (un éditeur de texte simple suffit):
« C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc »
Rechercher les lignes comprenant l’expression « paddingTop » (il doit normalement en avoir 3). Commentez ces 3 lignes en ajoutant « // » au début de chaque ligne.
Sauvegardez les modifications, relancez TMG, l’erreur doit avoir disparue:
6.2 Passer à la configuration de base…
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 27/56
LoiselJP ©2013
6.2.1 Etape 1
Cliquer sur « Configurer les paramètres réseau »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 28/56
LoiselJP ©2013
Lire les quelques informations sur l’assistant puis cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 29/56
LoiselJP ©2013
Sélectionner le modèle d’installation voulu. Ici c’est le modèle « Carte réseau unique qui sera sélectionné ». En cliquant sur les différents versions de protection proposée, suivant le matériel disponible, la stratégie choisie, il sera possible de prendre une autre configuration. Cliquer ensuite sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 30/56
LoiselJP ©2013
En production, il est très fortement recommandé l’usage de paramètres IP fixes, dans le cas présent on choisira la carte voulue puis cliquer sur « suivant »
Cliquer sur « Terminer » pour quitter la configuration du réseau.
6.2.2 Etape 2
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 31/56
LoiselJP ©2013
Cliquer sur « Configurer les paramètres du système »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 32/56
LoiselJP ©2013
Cliquer sur « Suivant » après avoir lu les informations de l’assistant.
Suivant le cas, il est possible de changer le nom du serveur, son appartenance à un domaine ou groupe de travail… Cliquer sur « Suivant » après sélectionné la configuration désirée.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 33/56
LoiselJP ©2013
La configuration du système ne demande pas plus d’attention, cliquer sur « Terminer » pour quitter l’étape 2.
6.2.3 Etape 3
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 34/56
LoiselJP ©2013
Cliquer sur « Définir les options de déploiement »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 35/56
LoiselJP ©2013
Cliquer sur « Suivant » après avoir lu les informations de l’assistant.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 36/56
LoiselJP ©2013
Comme indiqué précédemment dans ce document il est recommandé de laisser se faire les mises à jour, cliquer ensuite sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 37/56
LoiselJP ©2013
Suivant votre choix sélectionner les modes de licences de la protection NIS, de l’antivirus http. Généralement, le filtrage d’URL sera activé (c’est l’un des objectif de ce serveur également). Cliquer ensuite sur « Suivant ».
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 38/56
LoiselJP ©2013
Ici le mode d’installation des mises à jour est défini, signature antivirus HTTP, signatures NIS, ainsi que le comportement des réponses du NIS. A définir suivant la charge du serveur et la stratégie de sécurité choisie. Cliquer sur « Suivant » pour continuer.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 39/56
LoiselJP ©2013
Si vous souhaitez participer au programme d’amélioration vous pouvez sélectionner cette option. Cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 40/56
LoiselJP ©2013
Choisir ici le niveau de remontée d’informations auprès de Microsoft, au choix... Cliquer sur « Suivant » pour terminer cette étape.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 41/56
LoiselJP ©2013
Cliquer sur « Terminer »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 42/56
LoiselJP ©2013
Suivant votre choix vous pouvez encore définir l’ouverture de l’assistant au lancement de la console de gestion du serveur, cliquer ensuite sur « Terminer »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 43/56
LoiselJP ©2013
7 Configuration des règles d’accès Web
L’assistant de gestion de la stratégie d’accès se lance automatiquement après la configuration de base.
Après avoir lu les informations de l’assistant, cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 44/56
LoiselJP ©2013
Suivant le besoin et la stratégie retenue sélectionner l’option voulue puis cliquer sur « Suivant ». Ici il sera sélectionné la régle minimale…
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 45/56
LoiselJP ©2013
Il est possible de modifier la liste des catégories à bloquer.
Cliquer sur « Suivant » pour continuer.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 46/56
LoiselJP ©2013
Encore une fois sélectionner l’option voulue suivant la stratégie retenue, par défaut il est proposé d’analyser (antivirus http) l’ensemble des contenus Web.
Cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 47/56
LoiselJP ©2013
Choisir ici si vous souhaitez inspecter le trafic (il faudra utiliser un certificat sur les postes clients).
Cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 48/56
LoiselJP ©2013
Il est possible de notifier aux utilisateurs l’inspection SSL (Pour faire cette notification, il faut déployer et utiliser le client pare-feu Forefront TMG sur les postes clients).
Cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 49/56
LoiselJP ©2013
On pourra utiliser un certificat généré automatiquement. Ce certificat sera exporté sous forme de fichier.
Cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 50/56
LoiselJP ©2013
Définir ici la taille du fichier de cache du proxy, comme indiqué dans l’installation des prérequis, il est possible (et même rcommandé) d’utiliser un lecteur externe. La taille maximale possible est de 64Go. Après avoir défini la taille di fichier cliquer sur « Suivant »
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 51/56
LoiselJP ©2013
Cliquer sur «Terminer» pour quitter l’assistant de création des règles d’accès Web.
Reste à cliquer sur « Appliquer » pour valider les nouvelles règles d’accès configurées précédemment.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 52/56
LoiselJP ©2013
Enregistrer les modifications de la configuration, arrêter les services au besoin (le serveur sera redémarré à l’issue).
Avant application des paramètres, il peut être judicieux de faire une sauvegarde des paramètres mis en place (exporter).
Un assistant vous aidera dans cette démarche
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 53/56
LoiselJP ©2013
Suivant le choix, on pourra ou non enregistrer le fichier de manière cryptée…
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 54/56
LoiselJP ©2013
Le serveur est fonctionnel.
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 55/56
LoiselJP ©2013
8 Installer les mises à jour
8.1 Service Pack 1
Le Service Pack 1 de Forefront TMG est disponible à l’adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en
Télécharger la version AMD64 (AMD64 est une appellation pour les systèmes 64bit!) pour installation sur le serveur.
8.2 Installer l’Update 1
Le Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 est disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d
Télécharger la version AMD64 (AMD64 est une appellation pour les systèmes 64bit!) pour installation sur le serveur.
8.3 Note de mises à jour On pourra noter qu’il est possible d’installer l’Update 2 sur Forefront dans le cas ou vous rencontreriez des soucis
avec le serveur. Mais l’obtention de cette mise à jour se fait en contactant le support Microsoft
Administration serveur Installation d'un serveur Forefront (TMG 2010) page 56/56
LoiselJP ©2013
©Propriété Installation d'un serveur Forefront (TMG 2010).
Jean Paul Loisel
56 Rue Philippe de Girard
59160 Lomme
07 70 32 35 67
Licence Ce document est distribué en "Public Documentation License".
The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License.
A copy of the License is available at this mail [email protected].
The Original Documentation is " Installation d'un serveur Forefront (TMG 2010)".
The Initial Writer of the Original Documentation is Jean Paul LOISEL © 2013. All Rights Reserved.
Contributor(s): ______________________________________.
Portions created by ______ are Copyright ©_________[Insert year(s)]. All Rights Reserved.
(Contributor contact(s):________________[Insert hyperlink/alias]).
The text of this chapter may differ slightly from the text of the notices in the
files of the Original Documentation.
You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications.