Installation d'Un Serveur Forefront-TMG

Installation d'un serveur Forefront
Threat Management Gateway 2010 (TMG 2010)
Par LoiselJP Le 01/05/2013
1 Objectifs
Ce document dcrit le plus succinctement possible une manire, parmi d'autres, dinstaller un serveur proxy et reverse proxy sur un produit Microsoft serveur
Le but de ce serveur est de proposer un systme de filtrage simple (juste destin protger l utilisateur et allger le trafic sur la sortie vers lInternet). Il sera donc cr avec un cache suffisamment consquent pour contenir le trafic courant dans un environnement a forte utilisation de tlchargement de mise jour et programmes dinstallation.
Note: Le serveur proposant un petit filtrage (donc un rapport de navigation, historique), une information pralable l'utilisation des postes sera dispense chaque utilisateur qui se doit d'tre averti qu'un filtrage et un suivi d'utilisation est mis en place.
Administration serveur LoiselJP 2013
Installation d'un serveur Forefront (TMG 2010)
page 2/56
2 Sommaire
1 Objectifs .................................................................................................................................................................... 2 2 Sommaire .................................................................................................................................................................. 3 3 Prrequis ................................................................................................................................................................... 4 3.1 Installation du serveur .................................................................................................................................... 6 3.2 Scuriser le serveur ........................................................................................................................................ 7 3.3 Mise jour du systme via Microsoft Update ............................................................................................... 8 4 Prparation linstallation de Forefront TMG 2010 .............................................................................................. 10 5 Installation de Forefront TMG 2010 ....................................................................................................................... 15 5.1 Installation des composants de base ........................................................................................................ 15 5.2 Installation du systme ................................................................................................................................ 22 6 Configuration initiale de Forefront TMG 2010 ...................................................................................................... 25 6.1 Erreur de script dans TMG .......................................................................................................................... 25 6.1.1 Dsinstaller IE9 /10 .................................................................................................................................. 25 6.1.2 Editer le fichier de configuration de TMG TabsHandler.htc .............................................................. 26 6.2 Passer la configuration de base ......................................................................................................... 26 6.2.1 Etape 1 ...................................................................................................................................................... 27 6.2.2 Etape 2 ...................................................................................................................................................... 30 6.2.3 Etape 3 ...................................................................................................................................................... 33 7 Configuration des rgles daccs Web.................................................................................................................... 43 8 Installer les mises jour.......................................................................................................................................... 55 8.1 Service Pack 1 .............................................................................................................................................. 55 8.2 Installer lUpdate 1 ........................................................................................................................................ 55 8.3 Note de mises jour .................................................................................................................................... 55 Proprit.................................................................................................................................................................. 56 Licence.................................................................................................................................................................. 56
page 3/56
3 Prrequis
Forefront TMG 2010 ne sinstalle que sur Windows Server, cependant, ce guide ne demande aucune formation particulire ce systme dexploitation, cependant, il est ncessaire lutilisateur de connatre quelques notions de base ce sujet. Parmi ces notions de base on pourra noter :
Le gestionnaire de serveur destin linstallation des nouveaux rles et fonctionnalits, cest dans cette fentre que seront excuts la trs grande majorit des actions sur le serveur :
Pour une utilisation gnrale (proche dun poste de travail) on pourra configurer la scurit de navigation internet dans la rubrique Informations sur la scurit :
page 4/56
Les outils dadministration apportent la possibilit de modifier certains paramtres, notamment la gestion des disques dur (utile lors de la configuration de base de notre serveur) disponible dans la rubrique Gestion de lordinateur :
Les outils dadministration proposent galement la rubrique Stratgie de scurit locale dans laquelle on peut dfinir la complexit exige du mot de passe, sa dure de vie, les droits accords aux utilisateurs
page 5/56
3.1 Installation du serveur

Pour information: Forefront TMG 2010 ne sinstalle que sur Windows Server en version 64 bits . Il est donc ncessaire de disposer dune version serveur 64bits.
Bien quil existe des versions plus rcentes de Windows Server (2012 lheure de la rdaction de ce document daide), ce document dcrit linstallation effectue sur un serveur Microsoft Windows Server 2008 R2 .
page 6/56
Pour une pleine exploitation le serveur sera install avec 2 partitions au minimum (1 pour le systme, 1 pour le cache du serveur Forefront) les administrateurs pourront galement envisager une partition pour les sauvegardes, partages si le serveur est destin une utilisation plus large. Idalement, 1 disque ddi reste la solution la plus performante.
Forefront peut voir son cache tendu 64Go au maximum, suivant la destination du serveur on peut alors envisager un cache de cette taille
3.2 Scuriser le serveur

Le serveur install est destin protger votre rseau des diffrentes attaques extrieures, on peut rpertorier plus de 20 types dattaques (virus, intrusions, substitution didentit,) le but de cette section ntant pas dnumrer les attaques et type dattaque possible, on pourra se reporter des sites dinformation sur les attaques et la manire de sen protger tels que le site de gouvernemental http://www.ssi.gouv.fr/ Le minimum est de se munir dun antivirus et dun pare-feu (sachant que Forefront, par son emploi, fait office de pare-feu). Suivant le besoin, on pourra utiliser des solutions gratuites. La solution choisie doit tre compatible pour les versions serveur. MSE peut tre envisag dans le cas o la scurit ne demande pas dintrt particulier (cas dune utilisation ddie du serveur).
page 7/56
3.3 Mise jour du systme via Microsoft Update

Comme il la dj t prcis plusieurs fois, le serveur est destin protger le systme, il est donc indispable dactiver et vrifier les mises jours du systme.
Pour rappel : les mises jour sont destines corriger les diffrentes failles de scurit, cest justement ce dont il est question dans ce type de serveur
3.3.1 Note trs importante propos des mises jour Forefront TMG nest pas compatible avec les scripts Internet Explorer 9/10 ! Vous risquez alors de rencontrer cette erreur :
page 8/56
Il est donc important de vrifier les mises jour disponibles et de ne pas y inclure Internet Explorer 9.
3.3.2 Procder la mise jour du systme Aprs vrification des diffrentes mises jour disponibles vous pouvez alors procder leur installation
page 9/56
4 Prparation linstallation de Forefront TMG 2010
Aprs stre assur que les mises jour sont faites, (ne pas installer IE9/10!)
Slectionner Excuter loutil de prparation moins que vous dsiriez avoir quelques information complmentaires, dans ce cas vous pouvez passer par Lire le guide de dploiement , ce guide, disponible en ligne, vous donnera alors toutes les informations complmentaires sur linstallation de Forefront.
page 10/56
Aprs avoir lu (!) le message daccueil des outils de prparation cliquer sur Suivant
page 11/56
Comme tout logiciel il est ncessaire da ccepter la licence (aprs lavoir lue), puis cliquer sur Suivant
La machine va tre le serveur Forefront dans le cas prsent il est ncessaire dinstaller le serveur ainsi que les outils dadministration. On peut remarquer quil est possible dinstaller uniquement les outils dadministration dans le cas des serveurs multiples et afin de limiter les interventions sur diffrents serveurs.
Administration serveur LoiselJP 2013 Installation d'un serveur Forefront (TMG 2010) page 12/56
Dans le cas prsent cliquer sur Suivant
Linstallation des outils seffectue de manire trs simple sans intervention ncessaire.
page 13/56
On notera que linstallation nest pas encore effectue, pour rappel, il sagissait juste des outils de prparation pour continuer cliquer sur Terminer . Si Lancer lassistant dinstallation de Forefront TMG est slectionn, ltape suivant sera lance automatiquement.
page 14/56
5 Installation de Forefront TMG 2010

Cette fois, nous y sommes, linstallation de Forefront dbute
5.1 Installation des composants de base
Cliquer sur Suivant
page 15/56
Cette fois encore, il est ncessaire daccepter la licence, cliquer ensuite sur Suivant
Au besoin saisir les informations de licence puis cliquer sur Suivant
page 16/56
En fonction de votre installation (dossier ou partition spar) saisissez le dossier de destination puis cliquer sur Suivant
A cette tape sont dclars les rseaux internes (suivant le nombre de cartes rseau..). Cliquer sur Ajouter
page 17/56
Cliquer sur Ajouter une carte
Slectionner linterface rseau utiliser (ou les interfaces). Cliquer sur OK

Administration serveur LoiselJP 2013 Installation d'un serveur Forefront (TMG 2010) page 18/56
La table des adresses est construite automatiquement. Dans le cas de rseaux complexes (par exemple le cas de plusieurs dpartement de travail), on pourra modifier une plage voir sparer une plage en plusieurs sous rseaux (cas des pages prives)
Aprs avoir dfini les diffrentes plages dadresse de travail, c liquer sur OK .
page 19/56
Une fois les diffrentes plages dadresse dfinies, cliquer sur Suivant
Lire lavertissement (important pour les serveurs haute disponibilit) puis cliquer sur Suivant
page 20/56
Cliquer sur Installer . A partir de cet instant, Forefront va sinstaller, cest le moment daller tranquillement la machine caf... en plus de redmarrer (suivant les cas), linstallation peut durer plusieurs dizaines de minutes.
page 21/56
5.2 Installation du systme
1ere tape dure estime 5mn comptez-en 10
Autoriser au besoin les accs
page 22/56
Encore 2 minutes pour la dernire tape dinstallation
Aprs 19 petites minutes (estimes) linstallation est enfin termine :
page 23/56
Cliquer sur Terminer pour dmarrer la configuration initiale si vous avez coch cette option.
page 24/56
6 Configuration initiale de Forefront TMG 2010

6.1 Erreur de script dans TMG
Malgr lavertissement de ne pas installer internet Explorer 9 ou 10 lors des mises jour, lors du lancement de la console TMG une erreur de script peut apparatre et il est alors impossible de se servir de la console:
Ce bug est en ralit d la prsence simultane sur le serveur de TMG est dInternet Explorer 9 (Internet explorer 10 donne la mme erreur).
Pour Rsoudre ce problme il existe plusieurs faons de procder diffrentes. Ici deux seront dcrites mais il est galement possible de rsoudre le problme en effectuant les mises jour et en installant les diffrents services pack de Forefront (ce qui sera indiqu plus loin).
6.1.1 Dsinstaller IE9 /10

Pour dsinstaller proprement Internet Explorer du serveur il suffit de suivre la procdure suivante : Ouvrir Windows Update (panneau de configuration), Slectionner les mises jour installes, trouver celle qui correspond Internet explorer 10 (et/ou IE9), puis double cliquer sur la ligne correspondante,
page 25/56
Dans certain cas ceci ne suffit pas rtablir la situation, il est possible dutiliser la mthode suivante.
6.1.2 Editer le fichier de configuration de TMG TabsHandler.htc

Ouvrir le fichier suivant (un diteur de texte simple suffit): C:\Program Files\Microsoft Forefront Threat Management Gateway\UI_HTMLs\TabsHandler\TabsHandler.htc
Rechercher les lignes comprenant lexpression paddingTop (il doit normalement en avoir 3). Commentez ces 3 lignes en ajoutant // au dbut de chaque ligne. Sauvegardez les modifications, relancez TMG, lerreur doit avoir disparue:
6.2 Passer la configuration de base
page 26/56
6.2.1 Etape 1
Cliquer sur Configurer les paramtres rseau
page 27/56
Lire les quelques informations sur lassistant puis cliquer sur Suivant
page 28/56
Slectionner le modle dinstallation voulu. Ici cest le modle Carte rseau unique qui sera slectionn . En cliquant sur les diffrents versions de protection propose, suivant le matriel disponible, la stratgie choisie, il sera possible de prendre une autre configuration. Cliquer ensuite sur Suivant
page 29/56
En production, il est trs fortement recommand lusage de paramtres IP fixes, dans le cas prsent on choisira la carte voulue puis cliquer sur suivant
Cliquer sur Terminer pour quitter la configuration du rseau.
6.2.2 Etape 2
page 30/56
Cliquer sur Configurer les paramtres du systme
page 31/56
Cliquer sur Suivant aprs avoir lu les informations de lassistant.
Suivant le cas, il est possible de changer le nom du serveur, son appartenance un domaine ou groupe de travail Cliquer sur Suivant aprs slectionn la configuration dsire.
page 32/56
La configuration du systme ne demande pas plus dattention, c liquer sur Terminer pour quitter ltape 2.
6.2.3 Etape 3
page 33/56
Cliquer sur Dfinir les options de dploiement
page 34/56
Cliquer sur Suivant aprs avoir lu les informations de lassistant.
page 35/56
Comme indiqu prcdemment dans ce document il est recommand de laisser se faire les mises jour, cliquer ensuite sur Suivant
page 36/56
Suivant votre choix slectionner les modes de licences de la protection NIS, de lantivirus http. Gnralement, le filtrage dURL sera activ (cest lun des objectif de ce serveur galement). Cliquer ensuite sur Suivant .
page 37/56
Ici le mode dinstallation des mises jour est dfini, signature antivirus HTTP, signatures NIS, ainsi que le comportement des rponses du NIS. A dfinir suivant la charge du serveur et la stratgie de scurit choisie. Cliquer sur Suivant pour continuer.
page 38/56
Si vous souhaitez participer au programme damlioration vous pouvez slectionner cette option . Cliquer sur Suivant
page 39/56
Choisir ici le niveau de remonte dinformations auprs de Microsoft , au choix... Cliquer sur Suivant pour terminer cette tape.
page 40/56
Cliquer sur Terminer
page 41/56
Suivant votre choix vous pouvez encore dfinir louverture de lassistant au lancement de la console de gestion du serveur, cliquer ensuite sur Terminer
page 42/56
7 Configuration des rgles daccs Web

Lassistant de gestion de la stratgie daccs se lance au tomatiquement aprs la configuration de base.
Aprs avoir lu les informations de lassistant, c liquer sur Suivant
page 43/56
Suivant le besoin et la stratgie retenue slectionner loption voulue puis cliquer sur Suivant . Ici il sera slectionn la rgle minimale
page 44/56
Il est possible de modifier la liste des catgories bloquer. Cliquer sur Suivant pour continuer.
page 45/56
Encore une fois slectionner loption voulue suivant la stratgie retenue , par dfaut il est propos danalyser (antivirus http) lensemble des contenus Web. Cliquer sur Suivant
page 46/56
Choisir ici si vous souhaitez inspecter le trafic (il faudra utiliser un certificat sur les postes clients). Cliquer sur Suivant
page 47/56
Il est possible de notifier aux utilisateurs linspection SSL (Pour faire cette notification, il faut dployer et utiliser le client pare-feu Forefront TMG sur les postes clients). Cliquer sur Suivant
page 48/56
On pourra utiliser un certificat gnr automatiquement. Ce certificat sera export sous forme de fichier. Cliquer sur Suivant
page 49/56
Dfinir ici la taille du fichier de cache du proxy, comme indiqu dans linstallation des prrequis, il est possible (et mme rcommand) dutiliser un lecteur externe . La taille maximale possible est de 64Go. Aprs avoir dfini la taille di fichier cliquer sur Suivant
page 50/56
Cliquer sur Terminer pour quitter lassistant de cration des rgles daccs Web.
Reste cliquer sur Appliquer pour valider les nouvelles rgles daccs configures prcdemment.
page 51/56
Enregistrer les modifications de la configuration, arrter les services au besoin (le serveur sera redmarr lissue).
Avant application des paramtres, il peut tre judicieux de faire une sauvegarde des paramtres mis en place (exporter). Un assistant vous aidera dans cette dmarche
page 52/56
Suivant le choix, on pourra ou non enregistrer le fichier de manire crypte
page 53/56
Le serveur est fonctionnel.
page 54/56
8 Installer les mises jour

8.1 Service Pack 1
Le Service Pack 1 de Forefront TMG est disponible ladresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=f0fd5770-7360-4916-a5bea88a0fd76c7c&displaylang=en Tlcharger la version AMD64 (AMD64 est une appellation pour les systmes 64bit!) pour installation sur le serveur.
8.2 Installer lUpdate 1

Le Software Update 1 for Microsoft Forefront Threat Management Gateway (TMG) 2010 Service Pack 1 est disponible en tlchargement l'adresse suivante : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=695d0709-0d8b-45ee-afdb-727c4428ca4d Tlcharger la version AMD64 (AMD64 est une appellation pour les systmes 64bit!) pour installation sur le serveur.
8.3 Note de mises jour

On pourra noter quil est possible dinstaller lUpdate 2 sur Fore front dans le cas ou vous rencontreriez des soucis avec le serveur. Mais lobtention de cette mise jour se fait en contactant le support Microsoft
page 55/56
Proprit
Installation d'un serveur Forefront (TMG 2010). Jean Paul Loisel 56 Rue Philippe de Girard 59160 Lomme loiseljp@club-internet.fr 07 70 32 35 67
Licence
Ce document est distribu en "Public Documentation License". The contents of this Documentation are subject to the Public Documentation License. You may only use this Documentation if you comply with the terms of this License. A copy of the License is available at this mail loiseljp@club-internet.fr. The Original Documentation is " Installation d'un serveur Forefront (TMG 2010)". The Initial Writer of the Original Documentation is Jean Paul LOISEL 2013. All Rights Reserved.
Contributor(s): ______________________________________. Portions created by ______ are Copyright _________[Insert year(s)]. All Rights Reserved. (Contributor contact(s):________________[Insert hyperlink/alias]).
The text of this chapter may differ slightly from the text of the notices in the files of the Original Documentation. You should use the text of this chapter rather than the text found in the Original Documentation for Your Modifications.
page 56/56

Langue

Bienvenue sur Scribd !

Installation d'Un Serveur Forefront-TMG

Transféré par

Informations du document

Date du transfert

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Description :

Droits d'auteur :

Formats disponibles

Installation d'Un Serveur Forefront-TMG

Transféré par

Description :

Droits d'auteur :

Formats disponibles

Titres liés

Installation d'un serveur Forefront

Threat Management Gateway 2010 (TMG 2010)

Par LoiselJP Le 01/05/2013

Administration serveur LoiselJP 2013