Vous êtes sur la page 1sur 56

Installation d'un serveur Forefront

Threat Management Gateway 2010 (TMG 2010)

Par LoiselJP Le 01/05/2013

1 Objectifs
Ce document dcrit le plus succinctement possible une manire, parmi d'autres, dinstaller un serveur proxy et reverse proxy sur un produit Microsoft serveur

Le but de ce serveur est de proposer un systme de filtrage simple (juste destin protger l utilisateur et allger le trafic sur la sortie vers lInternet). Il sera donc cr avec un cache suffisamment consquent pour contenir le trafic courant dans un environnement a forte utilisation de tlchargement de mise jour et programmes dinstallation.

Note: Le serveur proposant un petit filtrage (donc un rapport de navigation, historique), une information pralable l'utilisation des postes sera dispense chaque utilisateur qui se doit d'tre averti qu'un filtrage et un suivi d'utilisation est mis en place.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 2/56

2 Sommaire
1 Objectifs .................................................................................................................................................................... 2 2 Sommaire .................................................................................................................................................................. 3 3 Prrequis ................................................................................................................................................................... 4 3.1 Installation du serveur .................................................................................................................................... 6 3.2 Scuriser le serveur ........................................................................................................................................ 7 3.3 Mise jour du systme via Microsoft Update ............................................................................................... 8 4 Prparation linstallation de Forefront TMG 2010 .............................................................................................. 10 5 Installation de Forefront TMG 2010 ....................................................................................................................... 15 5.1 Installation des composants de base ........................................................................................................ 15 5.2 Installation du systme ................................................................................................................................ 22 6 Configuration initiale de Forefront TMG 2010 ...................................................................................................... 25 6.1 Erreur de script dans TMG .......................................................................................................................... 25 6.1.1 Dsinstaller IE9 /10 .................................................................................................................................. 25 6.1.2 Editer le fichier de configuration de TMG TabsHandler.htc .............................................................. 26 6.2 Passer la configuration de base ......................................................................................................... 26 6.2.1 Etape 1 ...................................................................................................................................................... 27 6.2.2 Etape 2 ...................................................................................................................................................... 30 6.2.3 Etape 3 ...................................................................................................................................................... 33 7 Configuration des rgles daccs Web.................................................................................................................... 43 8 Installer les mises jour.......................................................................................................................................... 55 8.1 Service Pack 1 .............................................................................................................................................. 55 8.2 Installer lUpdate 1 ........................................................................................................................................ 55 8.3 Note de mises jour .................................................................................................................................... 55 Proprit.................................................................................................................................................................. 56 Licence.................................................................................................................................................................. 56

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 3/56

3 Prrequis
Forefront TMG 2010 ne sinstalle que sur Windows Server, cependant, ce guide ne demande aucune formation particulire ce systme dexploitation, cependant, il est ncessaire lutilisateur de connatre quelques notions de base ce sujet. Parmi ces notions de base on pourra noter :

Le gestionnaire de serveur destin linstallation des nouveaux rles et fonctionnalits, cest dans cette fentre que seront excuts la trs grande majorit des actions sur le serveur :

Pour une utilisation gnrale (proche dun poste de travail) on pourra configurer la scurit de navigation internet dans la rubrique Informations sur la scurit :

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 4/56

Les outils dadministration apportent la possibilit de modifier certains paramtres, notamment la gestion des disques dur (utile lors de la configuration de base de notre serveur) disponible dans la rubrique Gestion de lordinateur :

Les outils dadministration proposent galement la rubrique Stratgie de scurit locale dans laquelle on peut dfinir la complexit exige du mot de passe, sa dure de vie, les droits accords aux utilisateurs

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 5/56

3.1 Installation du serveur


Pour information: Forefront TMG 2010 ne sinstalle que sur Windows Server en version 64 bits . Il est donc ncessaire de disposer dune version serveur 64bits.

Bien quil existe des versions plus rcentes de Windows Server (2012 lheure de la rdaction de ce document daide), ce document dcrit linstallation effectue sur un serveur Microsoft Windows Server 2008 R2 .

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 6/56

Pour une pleine exploitation le serveur sera install avec 2 partitions au minimum (1 pour le systme, 1 pour le cache du serveur Forefront) les administrateurs pourront galement envisager une partition pour les sauvegardes, partages si le serveur est destin une utilisation plus large. Idalement, 1 disque ddi reste la solution la plus performante.

Forefront peut voir son cache tendu 64Go au maximum, suivant la destination du serveur on peut alors envisager un cache de cette taille

3.2 Scuriser le serveur


Le serveur install est destin protger votre rseau des diffrentes attaques extrieures, on peut rpertorier plus de 20 types dattaques (virus, intrusions, substitution didentit,) le but de cette section ntant pas dnumrer les attaques et type dattaque possible, on pourra se reporter des sites dinformation sur les attaques et la manire de sen protger tels que le site de gouvernemental http://www.ssi.gouv.fr/ Le minimum est de se munir dun antivirus et dun pare-feu (sachant que Forefront, par son emploi, fait office de pare-feu). Suivant le besoin, on pourra utiliser des solutions gratuites. La solution choisie doit tre compatible pour les versions serveur. MSE peut tre envisag dans le cas o la scurit ne demande pas dintrt particulier (cas dune utilisation ddie du serveur).

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 7/56

3.3 Mise jour du systme via Microsoft Update


Comme il la dj t prcis plusieurs fois, le serveur est destin protger le systme, il est donc indispable dactiver et vrifier les mises jours du systme.

Pour rappel : les mises jour sont destines corriger les diffrentes failles de scurit, cest justement ce dont il est question dans ce type de serveur

3.3.1 Note trs importante propos des mises jour Forefront TMG nest pas compatible avec les scripts Internet Explorer 9/10 ! Vous risquez alors de rencontrer cette erreur :

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 8/56

Il est donc important de vrifier les mises jour disponibles et de ne pas y inclure Internet Explorer 9.

3.3.2 Procder la mise jour du systme Aprs vrification des diffrentes mises jour disponibles vous pouvez alors procder leur installation

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 9/56

4 Prparation linstallation de Forefront TMG 2010

Aprs stre assur que les mises jour sont faites, (ne pas installer IE9/10!)

Slectionner Excuter loutil de prparation moins que vous dsiriez avoir quelques information complmentaires, dans ce cas vous pouvez passer par Lire le guide de dploiement , ce guide, disponible en ligne, vous donnera alors toutes les informations complmentaires sur linstallation de Forefront.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 10/56

Aprs avoir lu (!) le message daccueil des outils de prparation cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 11/56

Comme tout logiciel il est ncessaire da ccepter la licence (aprs lavoir lue), puis cliquer sur Suivant

La machine va tre le serveur Forefront dans le cas prsent il est ncessaire dinstaller le serveur ainsi que les outils dadministration. On peut remarquer quil est possible dinstaller uniquement les outils dadministration dans le cas des serveurs multiples et afin de limiter les interventions sur diffrents serveurs.
Administration serveur LoiselJP 2013 Installation d'un serveur Forefront (TMG 2010) page 12/56

Dans le cas prsent cliquer sur Suivant

Linstallation des outils seffectue de manire trs simple sans intervention ncessaire.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 13/56

On notera que linstallation nest pas encore effectue, pour rappel, il sagissait juste des outils de prparation pour continuer cliquer sur Terminer . Si Lancer lassistant dinstallation de Forefront TMG est slectionn, ltape suivant sera lance automatiquement.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 14/56

5 Installation de Forefront TMG 2010


Cette fois, nous y sommes, linstallation de Forefront dbute

5.1 Installation des composants de base

Cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 15/56

Cette fois encore, il est ncessaire daccepter la licence, cliquer ensuite sur Suivant

Au besoin saisir les informations de licence puis cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 16/56

En fonction de votre installation (dossier ou partition spar) saisissez le dossier de destination puis cliquer sur Suivant

A cette tape sont dclars les rseaux internes (suivant le nombre de cartes rseau..). Cliquer sur Ajouter

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 17/56

Cliquer sur Ajouter une carte

Slectionner linterface rseau utiliser (ou les interfaces). Cliquer sur OK


Administration serveur LoiselJP 2013 Installation d'un serveur Forefront (TMG 2010) page 18/56

La table des adresses est construite automatiquement. Dans le cas de rseaux complexes (par exemple le cas de plusieurs dpartement de travail), on pourra modifier une plage voir sparer une plage en plusieurs sous rseaux (cas des pages prives)

Aprs avoir dfini les diffrentes plages dadresse de travail, c liquer sur OK .

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 19/56

Une fois les diffrentes plages dadresse dfinies, cliquer sur Suivant

Lire lavertissement (important pour les serveurs haute disponibilit) puis cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 20/56

Cliquer sur Installer . A partir de cet instant, Forefront va sinstaller, cest le moment daller tranquillement la machine caf... en plus de redmarrer (suivant les cas), linstallation peut durer plusieurs dizaines de minutes.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 21/56

5.2 Installation du systme

1ere tape dure estime 5mn comptez-en 10

Autoriser au besoin les accs

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 22/56

Encore 2 minutes pour la dernire tape dinstallation

Aprs 19 petites minutes (estimes) linstallation est enfin termine :

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 23/56

Cliquer sur Terminer pour dmarrer la configuration initiale si vous avez coch cette option.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 24/56

6 Configuration initiale de Forefront TMG 2010


6.1 Erreur de script dans TMG
Malgr lavertissement de ne pas installer internet Explorer 9 ou 10 lors des mises jour, lors du lancement de la console TMG une erreur de script peut apparatre et il est alors impossible de se servir de la console:

Ce bug est en ralit d la prsence simultane sur le serveur de TMG est dInternet Explorer 9 (Internet explorer 10 donne la mme erreur).

Pour Rsoudre ce problme il existe plusieurs faons de procder diffrentes. Ici deux seront dcrites mais il est galement possible de rsoudre le problme en effectuant les mises jour et en installant les diffrents services pack de Forefront (ce qui sera indiqu plus loin).

6.1.1 Dsinstaller IE9 /10


Pour dsinstaller proprement Internet Explorer du serveur il suffit de suivre la procdure suivante : Ouvrir Windows Update (panneau de configuration), Slectionner les mises jour installes, trouver celle qui correspond Internet explorer 10 (et/ou IE9), puis double cliquer sur la ligne correspondante,

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 25/56

Dans certain cas ceci ne suffit pas rtablir la situation, il est possible dutiliser la mthode suivante.

6.1.2 Editer le fichier de configuration de TMG TabsHandler.htc


Ouvrir le fichier suivant (un diteur de texte simple suffit): C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc

Rechercher les lignes comprenant lexpression paddingTop (il doit normalement en avoir 3). Commentez ces 3 lignes en ajoutant // au dbut de chaque ligne. Sauvegardez les modifications, relancez TMG, lerreur doit avoir disparue:

6.2 Passer la configuration de base

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 26/56

6.2.1 Etape 1

Cliquer sur Configurer les paramtres rseau

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 27/56

Lire les quelques informations sur lassistant puis cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 28/56

Slectionner le modle dinstallation voulu. Ici cest le modle Carte rseau unique qui sera slectionn . En cliquant sur les diffrents versions de protection propose, suivant le matriel disponible, la stratgie choisie, il sera possible de prendre une autre configuration. Cliquer ensuite sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 29/56

En production, il est trs fortement recommand lusage de paramtres IP fixes, dans le cas prsent on choisira la carte voulue puis cliquer sur suivant

Cliquer sur Terminer pour quitter la configuration du rseau.

6.2.2 Etape 2

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 30/56

Cliquer sur Configurer les paramtres du systme

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 31/56

Cliquer sur Suivant aprs avoir lu les informations de lassistant.

Suivant le cas, il est possible de changer le nom du serveur, son appartenance un domaine ou groupe de travail Cliquer sur Suivant aprs slectionn la configuration dsire.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 32/56

La configuration du systme ne demande pas plus dattention, c liquer sur Terminer pour quitter ltape 2.

6.2.3 Etape 3

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 33/56

Cliquer sur Dfinir les options de dploiement

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 34/56

Cliquer sur Suivant aprs avoir lu les informations de lassistant.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 35/56

Comme indiqu prcdemment dans ce document il est recommand de laisser se faire les mises jour, cliquer ensuite sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 36/56

Suivant votre choix slectionner les modes de licences de la protection NIS, de lantivirus http. Gnralement, le filtrage dURL sera activ (cest lun des objectif de ce serveur galement). Cliquer ensuite sur Suivant .

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 37/56

Ici le mode dinstallation des mises jour est dfini, signature antivirus HTTP, signatures NIS, ainsi que le comportement des rponses du NIS. A dfinir suivant la charge du serveur et la stratgie de scurit choisie. Cliquer sur Suivant pour continuer.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 38/56

Si vous souhaitez participer au programme damlioration vous pouvez slectionner cette option . Cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 39/56

Choisir ici le niveau de remonte dinformations auprs de Microsoft , au choix... Cliquer sur Suivant pour terminer cette tape.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 40/56

Cliquer sur Terminer

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 41/56

Suivant votre choix vous pouvez encore dfinir louverture de lassistant au lancement de la console de gestion du serveur, cliquer ensuite sur Terminer

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 42/56

7 Configuration des rgles daccs Web


Lassistant de gestion de la stratgie daccs se lance au tomatiquement aprs la configuration de base.

Aprs avoir lu les informations de lassistant, c liquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 43/56

Suivant le besoin et la stratgie retenue slectionner loption voulue puis cliquer sur Suivant . Ici il sera slectionn la rgle minimale

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 44/56

Il est possible de modifier la liste des catgories bloquer. Cliquer sur Suivant pour continuer.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 45/56

Encore une fois slectionner loption voulue suivant la stratgie retenue , par dfaut il est propos danalyser (antivirus http) lensemble des contenus Web. Cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 46/56

Choisir ici si vous souhaitez inspecter le trafic (il faudra utiliser un certificat sur les postes clients). Cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 47/56

Il est possible de notifier aux utilisateurs linspection SSL (Pour faire cette notification, il faut dployer et utiliser le client pare-feu Forefront TMG sur les postes clients). Cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 48/56

On pourra utiliser un certificat gnr automatiquement. Ce certificat sera export sous forme de fichier. Cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 49/56

Dfinir ici la taille du fichier de cache du proxy, comme indiqu dans linstallation des prrequis, il est possible (et mme rcommand) dutiliser un lecteur externe . La taille maximale possible est de 64Go. Aprs avoir dfini la taille di fichier cliquer sur Suivant

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 50/56

Cliquer sur Terminer pour quitter lassistant de cration des rgles daccs Web.

Reste cliquer sur Appliquer pour valider les nouvelles rgles daccs configures prcdemment.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 51/56

Enregistrer les modifications de la configuration, arrter les services au besoin (le serveur sera redmarr lissue).

Avant application des paramtres, il peut tre judicieux de faire une sauvegarde des paramtres mis en place (exporter). Un assistant vous aidera dans cette dmarche

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 52/56

Suivant le choix, on pourra ou non enregistrer le fichier de manire crypte

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 53/56

Le serveur est fonctionnel.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 54/56

8 Installer les mises jour


8.1 Service Pack 1
Le Service Pack 1 de Forefront TMG est disponible ladresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5bea88a0fd76c7c&displaylang=en Tlcharger la version AMD64 (AMD64 est une appellation pour les systmes 64bit!) pour installation sur le serveur.

8.2 Installer lUpdate 1


Le Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 est disponible en tlchargement l'adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d Tlcharger la version AMD64 (AMD64 est une appellation pour les systmes 64bit!) pour installation sur le serveur.

8.3 Note de mises jour


On pourra noter quil est possible dinstaller lUpdate 2 sur Fore front dans le cas ou vous rencontreriez des soucis avec le serveur. Mais lobtention de cette mise jour se fait en contactant le support Microsoft

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 55/56

Proprit
Installation d'un serveur Forefront (TMG 2010). Jean Paul Loisel 56 Rue Philippe de Girard 59160 Lomme loiseljp@club-internet.fr 07 70 32 35 67

Licence
Ce document est distribu en "Public Documentation License". The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License. A copy of the License is available at this mail loiseljp@club-internet.fr. The Original Documentation is " Installation d'un serveur Forefront (TMG 2010)". The Initial Writer of the Original Documentation is Jean Paul LOISEL 2013. All Rights Reserved.

Contributor(s): ______________________________________. Portions created by ______ are Copyright _________[Insert year(s)]. All Rights Reserved. (Contributor contact(s):________________[Insert hyperlink/alias]).

The text of this chapter may differ slightly from the text of the notices in the files of the Original Documentation. You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications.

Administration serveur LoiselJP 2013

Installation d'un serveur Forefront (TMG 2010)

page 56/56