Archives de septembre, 2015

P2G_OSHardening

Dans le cadre d’un projet d’industrialisation IT et sécurisation des infrastructures systèmes WS Server (Hardening d’OS) d’un client dans le secteur bancaire, la Checklist disponible en téléchargement gratuit ici a été rédigée, elle regroupe tous les paramètres & options de sécurité à configurer pour verrouiller et sécuriser au maximum l’infrastructure WS Server. Cette checklist s’applique à des serveurs Windows Server 2012 et 2012 R2 situés sur l’infrastructure « OnPremise » ou sur Microsoft Azure. J’espère qu’elle pourra être utile à certains Consultants /Architectes travaillant sur le même type de projet.

Bonne lecture & Keep in touch :).

Publicités

 

S’applique à : RDS Windows Server 2012 – RDS Windows Server 2012 R2

Après déploiement du Portail RD Web Access (RDWA), le mode d’authentification utilisé par défaut est « Authentification par formulaire », l’utilisateur distant est donc invité à renseigner sont login & mot de passe associé pour s’authentifier sur le Portail et avoir accès aux ressources RDS publiées auxquelles il a accès.

Afin de faciliter la connexion et l’accès au Portail RDWA, certains clients exigeant une connexion automatique sur celui-ci, et ce en utilisant le login /mot de passe utilisé lors de l’ouverture de la Session Windows.

Internet Explorer devrait donc être configuré pour récupérer les informations d’authentification utilisées lors de l’ouverture de session pour authentifier l’utilisateur sur le Portail RDWA.

Nous allons donc voir à travers cet article comment configurer l’auto-logon sur le Portail RDWA sous Windows Server 2012 R2

Note : si vous disposez d’une ferme de serveurs RDWA, les modifications décrites ci-après doivent être appliquées sur chaque serveur RD Web Access. 

La configuration de l’auto-logon du Portail RDWA consiste à configurer les éléments suivants :

Définir le mode d’authentification sur le serveur IIS (serveur RDWA) à « Authentification Windows »

Déclarer l’URL du Portail RDWA comme Site de confiance

Personnaliser le niveau de sécurité de la zone « Sites de confiance » pour accepter les « connexions automatiques avec le nom d’utilisateur et le mot de passe actuel »

Pour pouvoir utiliser le login /mot de passe Windows utilisé lors de l’ouverture de Session, le mode d’authentification défini sur le serveur Web IIS exécuté sur le serveur RDWA doit être défini à « Authentification Intégrée », pour ce faire :

  • Ouvrez une Session Windows sur votre serveur RDWA et lancez l’outil « NetMgr.exe »
  • Développez « Sites » > « Default Web Site » > « RDWeb » et cliquez ensuite sur « Pages« 
  • Depuis le volet du milieu, sous « IIS« , localisez et double-cliquez sur « Authentification« 

6

  • Activez « Authentification Windows » et désactivez toutes les autres modes d’authentification :

7

  • Cliquez sur « Paramètres avancés.. » et sélectionnez « Accepter »  :

8

Afin de centraliser la configuration de la connexion automatique sur l’ensemble des postes clients se connectant sur le portail RDWA, une GPO nommée « ConfigRDS » a été créée :

1

  • Editez la GPO et naviguez jusqu’au : Configuration Ordinateur | Modèles d’administration | Composants Windows | Internet Explorer | Panneau de configuration Internet | Onglet Sécurité
  • Localisez et double-cliquez sur le paramètre « Liste des attributions de sites aux zones » :

2

  • Cochez « Activé« , cliquez ensuite sur « Afficher… » et enfin spécifiez l’URL de votre Portail RDWA :
    • Internet Explorer gère 4 zones de sécurité, numérotées de 1 à 4. Ces zones sont les suivantes :
      • [1] zone Intranet
      • [2] zone Sites approuvés
      • [3] zone Internet
      • [4] zone Sites sensibles.
    • Note : dans l’exemple suivant, le portail https://PortailApps sera déclaré comme « Site approuvé /de confiance » (Option 2) :

3

  • Sous « Zones de Sites approuvés« , localisez et double-cliquez sur le paramètre « Options d’ouverture de session » :

4

  • Activez le paramètre et sélectionnez « Connexion automatique avec le nom d’utilisateur et le mot de passe actuel » comme option d’ouverture de session :

5

  • Enfin, ouvrez une Session Windows sur un poste client et actualisez le moteur de stratégie des groupes (gpupdate /force depuis cmd.exe), lancez ensuite IE et connectez-vous sur votre Portail RDWA ; notez la connexion automatique à celui-ci et la disparition du bouton « Se déconnecter » :

9