Introduction

Windows Server 2003 prend en charge l’utilisation de la sécurité Internet Protocol (IPSec) afin de sécuriser les communications entre les ordinateurs. IPSec est un protocole multi-plateforme. Les ordinateurs sous Windows Server 2003 utilisent des stratégies IPSec pour contrôler quelles communications requièrent l’utilisation d’IPSec. Un ordinateur peut exiger IPSec pour sécuriser toutes ses communications ou uniquement un sous-ensemble de celles-ci. Les filtres IPSec vous permettent de contrôler quand IPSec doit être appliqué.

Pour tester les stratégies IPSec, utilisez le moniteur IPSec (Ipsecmon.exe). Celui-ci fournit des informations sur la stratégie IPSec active et sur l’existence ou non d’un canal sécurisé entre les ordinateurs.

I. Démarrage du moniteur IPSec

Dans Windows XP et Windows Server 2003, le moniteur de sécurité IP est mis en œuvre en tant que composant logiciel enfichable MMC (Microsoft Management Console). Pour ajouter un composant logiciel enfichable du moniteur de sécurité IP, procédez comme suit :

1. Cliquez sur Démarrer, sur Exécuter, tapez MMC, puis cliquez sur OK.



2. Dans MMC, cliquez sur Fichier, sur Ajouter/Supprimer un composant logiciel enfichable, puis sur Ajouter.



3. Cliquez sur Moniteur de sécurité IP, puis sur Ajouter.



4. Cliquez sur Fermer, puis sur OK.

Remarque : Pour enregistrer les paramètres de la console, cliquez sur Enregistrer dans le menu Fichier.



Pour ajouter un ordinateur au composant logiciel enfichable du moniteur de sécurité IP, procédez comme suit :

1. Créez une console contenant le moniteur de sécurité IP, ou ouvrez un fichier de console enregistré qui contient le moniteur de sécurité IP.
2. Dans l’arborescence de la console, cliquez avec le bouton droit sur Moniteur de sécurité IP, puis cliquez sur Ajouter un ordinateur.



3. Dans la boîte de dialogue Ajouter un ordinateur :
- Pour l’ordinateur local, cliquez sur Cet ordinateur.
- Pour un ordinateur distant, cliquez sur L’ordinateur suivant, puis entrez le nom de l’ordinateur distant, ou cliquez sur Parcourir pour le trouver sur le réseau.

Pour tester le fonctionnement du moniteur IPSec, vous avez besoin de deux ordinateurs sous Windows Server 2003, membres du même domaine Windows Server 2003. L’un des ordinateurs sera le client IPSec et l’autre le serveur IPSec. Les deux sections suivantes expliquent comment configurer le client et le serveur IPSec pour tester une stratégie de sécurité.

II. Ordinateur client IPSec

1. Cliquez sur Démarrer, pointez sur Paramètres, puis cliquez sur Panneau de configuration.
2. Double-cliquez sur Outils d’administration, puis sur Stratégie de sécurité locale.



3. Cliquez sur le nœud Stratégies de sécurité IP sur l’ordinateur local dans le volet de gauche, puis double-cliquez sur la stratégie Client (en réponse seule) dans le volet droit.



4. Cliquez pour désactiver la case Dynamique, puis cliquez sur Ajouter.



5. Dans l’Assistant Règle de sécurité, cliquez sur Suivant.



6. Dans la boîte de dialogue Point de sortie du tunnel, cliquez sur Cette règle ne spécifie aucun tunnel, puis sur Suivant.



7. Dans la boîte de dialogue Type de réseau, cliquez sur Toutes les connexions réseau, puis sur Suivant.



8. Dans la boîte de dialogue Liste de filtres IP, cliquez sur Tout le trafic ICMP, puis sur Suivant.



9. Dans la boîte de dialogue Action de filtrage, cliquez sur Sécurité requise, puis sur Suivant.



10. Dans la boîte de dialogue Méthode d’authentification, cliquez sur Authentification Active Directory par défaut (protocole Kerberos V.5), sur Suivant, puis sur Terminer.



11. Cliquez sur Appliquer, puis sur OK, et enfin Fermer.

III. Serveur IPSec

1. Cliquez sur Démarrer, pointez Paramètres, puis cliquez sur Panneau de configuration.
2. Double-cliquez sur Outils d’administration, puis sur Stratégie de sécurité locale.
3. Cliquez sur le nœud Stratégies de sécurité IP sur l’ordinateur local dans le volet de gauche, puis double-cliquez sur la stratégie Sécuriser le serveur (nécessite la sécurité) dans le volet droit.



4. Cliquez pour désactiver les cases Tout le trafic IP et Dynamique, puis cliquez pour activer la case Tout le trafic ICMP.



5. Double-cliquez sur la règle Tout le trafic ICMP.
6. Cliquez sur l’onglet Action de filtrage, puis sur Sécurité requise.



7. Cliquez sur Appliquer, puis sur OK.
8. Cliquez sur Fermer.
9. Sur l’ordinateur client IPSec, démarrez le moniteur IPSec.
10. A l’invite de commande, tapez ping –t ipsec_server_ip_adress.



Le message « Negotiating IPSec Policy » (Négociation de la stratégie IPSec) s’affiche quelques secondes, puis vous recevez des réponses échos ICMP (Internet Control Message Protocol). Lorsque vous amenez le moniteur IPSec au premier plan, l’association de sécurité IPSec est établie et le nom du filtre apparaît en tant que ICMP.

11. Fermez la fenêtre de commande pour arrêter la commande ping.

Notez que l’association de sécurité IPSec se prolonge un court moment avant d’expirer.

Pour restaurer les stratégies IPSec par défaut sur chaque ordinateur :
1. Cliquez avec le bouton droit sur le nœud Stratégies de sécurité IP dans le volet de gauche, pointez sur Toutes les tâches, puis cliquez sur Restaurer les stratégies par défaut.



2. Cliquez sur Oui lorsque le message « Êtes-vous sûr ? » s’affiche.
3. Cliquez sur OK pour confirmer que les valeurs par défaut des stratégies par défaut ont été rétablies.