installation d'un serveur forefront-tmg

Installation d'un serveur Forefront Threat Management Gateway 2010

(TMG 2010)

Par LoiselJP

Le 01/05/2013

Administration serveur Installation d'un serveur Forefront (TMG 2010) page 2/56

LoiselJP ©2013

1 Objectifs

Ce document décrit le plus succinctement possible une manière, parmi d'autres, d’installer un serveur proxy et

reverse proxy sur un produit Microsoft serveur

Le but de ce serveur est de proposer un système de filtrage simple (juste destiné à protéger l’utilisateur et alléger

le trafic sur la sortie vers l’Internet).

Il sera donc créé avec un cache suffisamment conséquent pour contenir le trafic courant dans un environnement

a forte utilisation de téléchargement de mise à jour et programmes d’installation.

Note: Le serveur proposant un petit filtrage (donc un rapport de navigation, historique…), une

information préalable à l'utilisation des postes sera dispensée à chaque utilisateur qui se doit d'être

averti qu'un filtrage et un suivi d'utilisation est mis en place.


LoiselJP ©2013

2 Sommaire

1 Objectifs .................................................................................................................................................................... 2

2 Sommaire .................................................................................................................................................................. 3

3 Prérequis ................................................................................................................................................................... 4

3.1 Installation du serveur .................................................................................................................................... 6 3.2 Sécuriser le serveur ........................................................................................................................................ 7

3.3 Mise à jour du système via Microsoft Update ............................................................................................... 8

4 Préparation à l’installation de Forefront TMG 2010 .............................................................................................. 10

5 Installation de Forefront TMG 2010 ....................................................................................................................... 15

5.1 Installation des composants de base ........................................................................................................ 15

5.2 Installation du système ................................................................................................................................ 22 6 Configuration initiale de Forefront TMG 2010 ...................................................................................................... 25

6.1 Erreur de script dans TMG .......................................................................................................................... 25 6.1.1 Désinstaller IE9 /10 .................................................................................................................................. 25

6.1.2 Editer le fichier de configuration de TMG « TabsHandler.htc » .............................................................. 26

6.2 Passer à la configuration de base… ......................................................................................................... 26 6.2.1 Etape 1 ...................................................................................................................................................... 27

6.2.2 Etape 2 ...................................................................................................................................................... 30

6.2.3 Etape 3 ...................................................................................................................................................... 33

7 Configuration des règles d’accès Web.................................................................................................................... 43

8 Installer les mises à jour.......................................................................................................................................... 55

8.1 Service Pack 1 .............................................................................................................................................. 55

8.2 Installer l’Update 1 ........................................................................................................................................ 55

8.3 Note de mises à jour .................................................................................................................................... 55 ©Propriété .................................................................................................................................................................. 56

Licence .................................................................................................................................................................. 56


LoiselJP ©2013

3 Prérequis

Forefront TMG 2010 ne s’installe que sur Windows Server, cependant, ce guide ne demande aucune formation particulière à ce système d’exploitation, cependant, il est nécessaire à l’utilisateur de connaître quelques notions de base à ce sujet.

Parmi ces notions de base on pourra noter :

Le gestionnaire de serveur destiné à l’installation des nouveaux « rôles » et fonctionnalités, c’est dans cette fenêtre que seront exécutés la très grande majorité des actions sur le serveur :

Pour une utilisation générale (proche d’un poste de travail) on pourra configurer la sécurité de navigation internet dans la rubrique « Informations sur la sécurité » :


LoiselJP ©2013

Les outils d’administration apportent la possibilité de modifier certains paramètres, notamment la gestion des disques dur (utile lors de la configuration de base de notre serveur) disponible dans la rubrique « Gestion de l’ordinateur »:

Les outils d’administration proposent également la rubrique « Stratégie de sécurité locale » dans laquelle on peut définir la complexité exigée du mot de passe, sa durée de vie, les droits accordés aux utilisateurs…


LoiselJP ©2013

3.1 Installation du serveur

Pour information: Forefront TMG 2010 ne s’installe que sur Windows Server en version 64 bits. Il est donc

nécessaire de disposer d’une version serveur 64bits.

Bien qu’il existe des versions plus récentes de Windows Server (2012 à l’heure de la rédaction de ce document d’aide), ce document décrit l’installation effectuée sur un serveur « Microsoft Windows Server 2008 R2 ».

http://e5.onthehub.com/WebStore/OfferingsOfMajorVersionList.aspx?ws=c95455b5-aa9b-e011-969d-0030487d8897&vsro=8&pmv=a4fc11a0-0a57-e011-bd14-0030487d8897&cmi_mnuMain=bdba23cf-e05e-e011-971f-0030487d8897

http://e5.onthehub.com/WebStore/OfferingsOfMajorVersionList.aspx?ws=c95455b5-aa9b-e011-969d-0030487d8897&vsro=8&pmv=718d117c-98bf-e111-ad8d-f04da23e67f6&cmi_mnuMain=bdba23cf-e05e-e011-971f-0030487d8897


LoiselJP ©2013

Pour une pleine exploitation le serveur sera installé avec 2 partitions au minimum (1 pour le système, 1 pour le cache du serveur Forefront) les administrateurs pourront également envisager une partition pour les sauvegardes, partages… si le serveur est destiné à une utilisation plus large.

Idéalement, 1 disque dédié reste la solution la plus performante.

Forefront peut voir son cache étendu à 64Go au maximum, suivant la destination du serveur on peut alors envisager un cache de cette taille…

3.2 Sécuriser le serveur

Le serveur installé est destiné à protéger votre réseau des différentes attaques extérieures, on peut répertorier plus de 20 types d’attaques (virus, intrusions, substitution d’identité,…) le but de cette section n’étant pas d’énumérer les attaques et type d’attaque possible, on pourra se reporter à des sites d’information sur les attaques et la manière de s’en protéger tels que le site de gouvernemental http://www.ssi.gouv.fr/

Le minimum est de se munir d’un antivirus et d’un pare-feu (sachant que Forefront, par son emploi, fait office de pare-feu). Suivant le besoin, on pourra utiliser des solutions gratuites. La solution choisie doit être compatible pour les versions serveur.

MSE peut être envisagé dans le cas où la sécurité ne demande pas d’intérêt particulier (cas d’une utilisation dédiée du serveur).

http://www.ssi.gouv.fr/


LoiselJP ©2013

3.3 Mise à jour du système via Microsoft Update

Comme il l’a déjà été précisé plusieurs fois, le serveur est destiné à protéger le système, il est donc indispable d’activer et vérifier les mises à jours du système.

Pour rappel : les mises à jour sont destinées à corriger les différentes failles de sécurité, c’est justement ce dont il est question dans ce type de serveur…

3.3.1 Note très importante à propos des mises à jour

Forefront TMG n’est pas compatible avec les scripts Internet Explorer 9/10 !

Vous risquez alors de rencontrer cette erreur :


LoiselJP ©2013

Il est donc important de vérifier les mises à jour disponibles et de ne pas y inclure Internet Explorer 9.

3.3.2 Procéder à la mise à jour du système

Après vérification des différentes mises à jour disponibles vous pouvez alors procéder à leur installation


LoiselJP ©2013

4 Préparation à l’installation de Forefront TMG 2010

Après s’être assuré que les mises à jour sont faites, (ne pas installer IE9/10!)

Sélectionner « Exécuter l’outil de préparation » à moins que vous désiriez avoir quelques information complémentaires, dans ce cas vous pouvez passer par « Lire le guide de déploiement », ce guide, disponible

en ligne, vous donnera alors toutes les informations complémentaires sur l’installation de Forefront.


LoiselJP ©2013

Après avoir lu (!) le message d’accueil des outils de préparation cliquer sur « Suivant »


LoiselJP ©2013

Comme tout logiciel il est nécessaire d’accepter la licence (après l’avoir lue), puis cliquer sur « Suivant »

La machine va être le serveur Forefront dans le cas présent il est nécessaire d’installer le serveur ainsi que les outils d’administration. On peut remarquer qu’il est possible d’installer uniquement les outils d’administration dans le cas des serveurs multiples et afin de limiter les interventions sur différents serveurs.


LoiselJP ©2013

Dans le cas présent cliquer sur « Suivant »

L’installation des outils s’effectue de manière très simple sans intervention nécessaire.


LoiselJP ©2013

On notera que l’installation n’est pas encore effectuée, pour rappel, il s’agissait juste des outils de préparation… pour continuer cliquer sur « Terminer ».

Si « Lancer l’assistant d’installation de Forefront TMG » est sélectionné, l’étape suivant sera lancée automatiquement.


LoiselJP ©2013

5 Installation de Forefront TMG 2010

Cette fois, nous y sommes, l’installation de Forefront débute…

5.1 Installation des composants de base

Cliquer sur « Suivant »


LoiselJP ©2013

Cette fois encore, il est nécessaire d’accepter la licence, cliquer ensuite sur « Suivant »

Au besoin saisir les informations de licence puis cliquer sur « Suivant »


LoiselJP ©2013

En fonction de votre installation (dossier ou partition séparé) saisissez le dossier de destination puis cliquer sur « Suivant »

A cette étape sont déclarés les réseaux internes (suivant le nombre de cartes réseau..). Cliquer sur « Ajouter »


LoiselJP ©2013

Cliquer sur « Ajouter une carte »

Sélectionner l’interface réseau à utiliser (ou les interfaces). Cliquer sur OK


LoiselJP ©2013

La table des adresses est construite automatiquement. Dans le cas de réseaux complexes (par exemple le cas de plusieurs département de travail), on pourra modifier une plage voir séparer une plage en plusieurs sous réseaux… (cas des pages privées)

Après avoir défini les différentes plages d’adresse de travail, cliquer sur « OK ».


LoiselJP ©2013

Une fois les différentes plages d’adresse définies, cliquer sur « Suivant »

Lire l’avertissement (important pour les serveurs à haute disponibilité) puis cliquer sur « Suivant »


LoiselJP ©2013

Cliquer sur « Installer ».

A partir de cet instant, Forefront va s’installer, c’est le moment d’aller tranquillement à la machine à café... en plus de redémarrer (suivant les cas), l’installation peut durer plusieurs dizaines de minutes.


LoiselJP ©2013

5.2 Installation du système

1ere étape durée estimée 5mn… comptez-en 10…

Autoriser au besoin les accès…


LoiselJP ©2013

Encore 2 minutes pour la dernière étape d’installation…

Après 19 petites minutes (estimées) l’installation est enfin terminée :


LoiselJP ©2013

Cliquer sur « Terminer » pour démarrer la configuration initiale si vous avez coché cette option.


LoiselJP ©2013

6 Configuration initiale de Forefront TMG 2010

6.1 Erreur de script dans TMG

Malgré l’avertissement de ne pas installer internet Explorer 9 ou 10 lors des mises à jour, lors du lancement de la console TMG une erreur de script peut apparaître et il est alors impossible de se servir de la console:

Ce bug est en réalité dû à la présence simultanée sur le serveur de TMG est d’Internet Explorer 9 (Internet explorer 10 donne la même erreur).

Pour Résoudre ce problème il existe plusieurs façons de procéder différentes. Ici deux seront décrites mais il est également possible de résoudre le problème en effectuant les mises à jour et en installant les différents services pack de Forefront (ce qui sera indiqué plus loin).

6.1.1 Désinstaller IE9 /10

Pour désinstaller proprement Internet Explorer du serveur il suffit de suivre la procédure suivante :

- Ouvrir Windows Update (panneau de configuration), - Sélectionner les mises à jour installées, trouver celle qui correspond à Internet explorer 10 (et/ou IE9),

puis double cliquer sur la ligne correspondante,

http://myitforum.com/cs2/blogs/forefrontsecurity/image_48B90CD7.png

http://myitforum.com/cs2/blogs/forefrontsecurity/image_447F0F45.png


LoiselJP ©2013

Dans certain cas ceci ne suffit pas à rétablir la situation, il est possible d’utiliser la méthode suivante.

6.1.2 Editer le fichier de configuration de TMG « TabsHandler.htc »

Ouvrir le fichier suivant (un éditeur de texte simple suffit):

« C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc »

Rechercher les lignes comprenant l’expression « paddingTop » (il doit normalement en avoir 3). Commentez ces 3 lignes en ajoutant « // » au début de chaque ligne.

Sauvegardez les modifications, relancez TMG, l’erreur doit avoir disparue:

6.2 Passer à la configuration de base…


LoiselJP ©2013

6.2.1 Etape 1

Cliquer sur « Configurer les paramètres réseau »


LoiselJP ©2013

Lire les quelques informations sur l’assistant puis cliquer sur « Suivant »


LoiselJP ©2013

Sélectionner le modèle d’installation voulu. Ici c’est le modèle « Carte réseau unique qui sera sélectionné ». En cliquant sur les différents versions de protection proposée, suivant le matériel disponible, la stratégie choisie, il sera possible de prendre une autre configuration. Cliquer ensuite sur « Suivant »


LoiselJP ©2013

En production, il est très fortement recommandé l’usage de paramètres IP fixes, dans le cas présent on choisira la carte voulue puis cliquer sur « suivant »

Cliquer sur « Terminer » pour quitter la configuration du réseau.

6.2.2 Etape 2


LoiselJP ©2013

Cliquer sur « Configurer les paramètres du système »


LoiselJP ©2013

Cliquer sur « Suivant » après avoir lu les informations de l’assistant.

Suivant le cas, il est possible de changer le nom du serveur, son appartenance à un domaine ou groupe de travail… Cliquer sur « Suivant » après sélectionné la configuration désirée.


LoiselJP ©2013

La configuration du système ne demande pas plus d’attention, cliquer sur « Terminer » pour quitter l’étape 2.

6.2.3 Etape 3


LoiselJP ©2013

Cliquer sur « Définir les options de déploiement »


LoiselJP ©2013

Cliquer sur « Suivant » après avoir lu les informations de l’assistant.


LoiselJP ©2013

Comme indiqué précédemment dans ce document il est recommandé de laisser se faire les mises à jour, cliquer ensuite sur « Suivant »


LoiselJP ©2013

Suivant votre choix sélectionner les modes de licences de la protection NIS, de l’antivirus http. Généralement, le filtrage d’URL sera activé (c’est l’un des objectif de ce serveur également). Cliquer ensuite sur « Suivant ».


LoiselJP ©2013

Ici le mode d’installation des mises à jour est défini, signature antivirus HTTP, signatures NIS, ainsi que le comportement des réponses du NIS. A définir suivant la charge du serveur et la stratégie de sécurité choisie. Cliquer sur « Suivant » pour continuer.


LoiselJP ©2013

Si vous souhaitez participer au programme d’amélioration vous pouvez sélectionner cette option. Cliquer sur « Suivant »


LoiselJP ©2013

Choisir ici le niveau de remontée d’informations auprès de Microsoft, au choix... Cliquer sur « Suivant » pour terminer cette étape.


LoiselJP ©2013

Suivant votre choix vous pouvez encore définir l’ouverture de l’assistant au lancement de la console de gestion du serveur, cliquer ensuite sur « Terminer »


LoiselJP ©2013

7 Configuration des règles d’accès Web

L’assistant de gestion de la stratégie d’accès se lance automatiquement après la configuration de base.

Après avoir lu les informations de l’assistant, cliquer sur « Suivant »


LoiselJP ©2013

Suivant le besoin et la stratégie retenue sélectionner l’option voulue puis cliquer sur « Suivant ». Ici il sera sélectionné la régle minimale…


LoiselJP ©2013

Encore une fois sélectionner l’option voulue suivant la stratégie retenue, par défaut il est proposé d’analyser (antivirus http) l’ensemble des contenus Web.



LoiselJP ©2013

Choisir ici si vous souhaitez inspecter le trafic (il faudra utiliser un certificat sur les postes clients).



LoiselJP ©2013

Il est possible de notifier aux utilisateurs l’inspection SSL (Pour faire cette notification, il faut déployer et utiliser le client pare-feu Forefront TMG sur les postes clients).



LoiselJP ©2013

On pourra utiliser un certificat généré automatiquement. Ce certificat sera exporté sous forme de fichier.



LoiselJP ©2013

Définir ici la taille du fichier de cache du proxy, comme indiqué dans l’installation des prérequis, il est possible (et même rcommandé) d’utiliser un lecteur externe. La taille maximale possible est de 64Go. Après avoir défini la taille di fichier cliquer sur « Suivant »


LoiselJP ©2013

Cliquer sur «Terminer» pour quitter l’assistant de création des règles d’accès Web.

Reste à cliquer sur « Appliquer » pour valider les nouvelles règles d’accès configurées précédemment.


LoiselJP ©2013

Enregistrer les modifications de la configuration, arrêter les services au besoin (le serveur sera redémarré à l’issue).

Avant application des paramètres, il peut être judicieux de faire une sauvegarde des paramètres mis en place (exporter).

Un assistant vous aidera dans cette démarche


LoiselJP ©2013

8 Installer les mises à jour

8.1 Service Pack 1

Le Service Pack 1 de Forefront TMG est disponible à l’adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en

Télécharger la version AMD64 (AMD64 est une appellation pour les systèmes 64bit!) pour installation sur le serveur.

8.2 Installer l’Update 1

Le Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 est disponible en téléchargement à l'adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d

Télécharger la version AMD64 (AMD64 est une appellation pour les systèmes 64bit!) pour installation sur le serveur.

8.3 Note de mises à jour On pourra noter qu’il est possible d’installer l’Update 2 sur Forefront dans le cas ou vous rencontreriez des soucis

avec le serveur. Mais l’obtention de cette mise à jour se fait en contactant le support Microsoft

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5be-a88a0fd76c7c&displaylang=en

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d


LoiselJP ©2013

©Propriété Installation d'un serveur Forefront (TMG 2010).

Jean Paul Loisel

56 Rue Philippe de Girard

59160 Lomme

[email protected]

07 70 32 35 67

Licence Ce document est distribué en "Public Documentation License".

The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License.

A copy of the License is available at this mail [email protected].

The Original Documentation is " Installation d'un serveur Forefront (TMG 2010)".

The Initial Writer of the Original Documentation is Jean Paul LOISEL © 2013. All Rights Reserved.

Contributor(s): ______________________________________.

Portions created by ______ are Copyright ©_________[Insert year(s)]. All Rights Reserved.

(Contributor contact(s):________________[Insert hyperlink/alias]).

The text of this chapter may differ slightly from the text of the notices in the

files of the Original Documentation.

You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications.

installation d'un serveur forefront-tmg

Documents