La sécurité IP, ou IPsec, est une structure de normes ouvertes destinée à garantir la sécurité des communications privées sur les réseaux IP grâce à des services de chiffrement. L’implémentation IPsec de Microsoft Windows repose sur des normes mises au point par le groupe de travail IPsec de l’IETF (Internet Engineering Task Force).
IPsec garantit l’approbation et la sécurité entre une adresse IP source et une adresse IP cible. Les seuls ordinateurs qui doivent reconnaître le trafic comme sécurisé sont les ordinateurs émetteur et destinataire. Chacun gère la sécurité de son côté, en partant du principe que le média par lequel s’effectue la communication n’est pas sécurisé. Les ordinateurs qui se contentent de router les données de la source à la destination ne doivent pas obligatoirement prendre en charge IPsec, à moins que le filtrage des paquets par pare-feu ou la traduction des adresses réseau soit mis en œuvre entre les deux ordinateurs.
Vous pouvez utiliser le composant logiciel enfichable Stratégies de sécurité IP pour la création, la modification et l’attribution de stratégies IPsec sur l’ordinateur local et l’ordinateur distant.
Remarques | |
Le présent document a pour but de fournir les informations nécessaires sur le fonctionnement et l’utilisation du composant logiciel enfichable Stratégies de sécurité IP. Les informations sur la conception et le déploiement des stratégies ne rentrent pas dans le cadre de cette documentation. |
À propos des stratégies IPsec
Les stratégies IPsec sont utilisées pour configurer les services de sécurité IPsec. Ces stratégies permettent d’offrir différents niveaux de protection pour la plupart des types de trafic, sur la plupart des réseaux existants. Vous pouvez définir des stratégies IPsec en fonction des besoins en matière de sécurité d’un ordinateur, d’une unité d’organisation, d’un domaine, d’un site ou d’une entreprise tout entière. Le composant logiciel enfichable Stratégies de sécurité IP disponible dans cette version de Windows vous permet de définir des stratégies IPsec pour des ordinateurs via des objets de stratégie de groupe (pour les membres de domaine) ou sur l’ordinateur local, ou encore pour les ordinateurs distants.
Important | |
Le composant logiciel enfichable Stratégies de sécurité IP peut servir à créer des stratégies de sécurité IP applicables à des ordinateurs fonctionnant sous Windows Vista ou versions ultérieures de Windows ; toutefois ce composant n’utilise pas les nouveaux algorithmes de sécurité, ni les nouvelles fonctionnalités disponibles dans ces versions du système d’exploitation de Windows. Pour créer des stratégies de sécurité IP pour ces ordinateurs, utilisez le composant logiciel enfichable Pare-feu Windows avec sécurité avancée ; celui-ci ne crée pas de stratégies pouvant s’appliquer aux versions antérieures de Windows. |
Une stratégie de sécurité IP est composée des règles et paramètres généraux des stratégies IPsec. Les paramètres généraux sont appliqués, quelles que soient les règles configurées. Ces paramètres déterminent le nom de la stratégie, sa description (dans un but d’administration), ainsi que des paramètres et méthodes d’échange de clés. Une ou plusieurs règles IPsec déterminent les types de trafic qu’IPsec doit surveiller, la manière dont ce trafic est géré, le mode d’authentification de l’homologue IPsec ainsi que d’autres paramètres.
Une fois les stratégies créées, elles peuvent être appliquées au niveau du domaine, du site, de l’unité d’organisation et au niveau local. Une seule stratégie IPsec peut être active sur un ordinateur à la fois. Les stratégies distribuées et appliquées à l’aide des objets de stratégie de groupe sont prioritaires sur les stratégies locales.
Tâches du composant logiciel enfichable Stratégies de sécurité IP
Cette section présente les tâches les plus courantes que vous pouvez effectuer dans le composant logiciel enfichable Stratégies de sécurité IP :
Création d’une stratégie
À moins de créer des stratégies pour un seul ordinateur et son homologue IPsec, il vous faudra probablement créer un ensemble de stratégies IPsec pour répondre aux besoins de votre environnement informatique. Le processus impliquant la conception, la création et le déploiement des stratégies peut s’avérer complexe, selon la taille de votre domaine, l’homogénéité des ordinateurs du domaine, et d’autres facteurs.
En règle générale, le processus est le suivant :
- Créez des listes de filtres IP correspondant aux ordinateurs, aux sous-réseaux et aux critères de votre environnement informatique.
- Créez des actions de filtrage correspondant au mode d’authentification des connexions, à la méthode d’intégrité des données et au type de chiffrement de données que vous souhaitez appliquer. Vous pouvez également définir l’action de filtrage sur la valeur Bloquer ou Autoriser, sans tenir compte d’autres critères. L’action Bloquer est prioritaire sur les autres actions.
- Créez un ensemble de stratégies correspondant à vos impératifs de sécurité en matière de filtrage et d’action de filtrage.
- Déployez d’abord les stratégies qui utilisent les actions de filtrage Autoriser et Bloquer, puis analysez votre environnement IPsec pour déterminer les problèmes susceptibles de nécessiter une mise au point de ces stratégies.
- Déployez les stratégies qui utilisent l’action de filtrage Négocier la sécurité avec l’option permettant de revenir à des communications en texte clair. Ceci vous permet de tester le fonctionnement d’IPsec dans votre environnement sans interrompre les communications.
- Dès que vous avez terminé d’affiner les stratégies en fonction de vos besoins, supprimez l’action de retour des communications en texte clair, lorsque cela se justifie. Cette procédure permettra aux stratégies de demander l’authentification et la sécurité avant la création d’une connexion.
- Analysez l’environnement pour déterminer les communications qui ne s’établissent pas. Ceci peut être indiqué par une augmentation soudaine de la statistique des échecs de négociations du mode principal.
Pour créer une stratégie IPsec |
Cliquez avec le bouton droit sur le nœud Stratégies de sécurité IP, puis cliquez sur Créer une stratégie de sécurité IP.
Dans l’Assistant Stratégie de sécurité IP, cliquez sur Suivant.
Tapez un nom et une description (facultatif) pour la stratégie, puis cliquez sur Suivant.
Activez la case à cocher Activer la règle de réponse par défaut ou laissez-la désactivée, puis cliquez sur Suivant.
Remarques N’activez la règle de réponse par défaut que pour les stratégies appliquées à Windows XP et à Windows Server 2003 et versions antérieures. Les versions plus récentes de Windows ne peuvent pas les utiliser.
Si vous utilisez la règle de réponse par défaut, sélectionnez une méthode d’authentification et cliquez sur Suivant.
Pour plus d’informations sur la règle de réponse par défaut, voir Règles IPsec.
Laissez la case à cocher Modifier les propriétés activée et cliquez sur Suivant. Vous pouvez ajouter des règles à la stratégie selon vos besoins.
Ajouter ou modifier une règle dans une stratégie
Pour ajouter une règle de stratégie |
Cliquez avec le bouton droit sur la stratégie IPsec, puis cliquez sur Propriétés.
Si vous voulez créer la règle dans la boîte de dialogue des propriétés, désactivez la case à cocher Utiliser l’Assistant Ajout. Pour utiliser l’Assistant, laissez la case à cocher activée. Cliquez sur Ajouter. Les instructions suivantes s’appliquent à la création d’une règle à l’aide de la boîte de dialogue.
Dans la boîte de dialogue Propriétés de la nouvelle règle, sous l’onglet Liste de filtres IP, sélectionnez la liste de filtres appropriée ou cliquez sur Ajouter pour en ajouter une nouvelle. Si vous avez déjà créé des listes de filtres, celles-ci s’affichent dans la liste Listes de filtres IP. Pour plus d’informations sur la création et l’utilisation des listes de filtres, voir Listes de filtres.
Remarques Vous ne pouvez utiliser qu’une seule liste de filtres par règle.
Sous l’onglet Action de filtrage, sélectionnez l’action de filtrage appropriée, ou cliquez sur Ajouter pour en ajouter une nouvelle. Pour plus d’informations sur la création et l’utilisation des actions de filtrage, voir Actions de filtrage.
Remarques Vous ne pouvez utiliser qu’une seule action de filtrage par règle.
Sous l’onglet Méthodes d’authentification, sélectionnez la méthode appropriée, ou cliquez sur Ajouter pour en ajouter une nouvelle. Pour plus d’informations sur la création et l’utilisation des méthodes d’authentification, voir Authentification IPsec.
Remarques Vous pouvez utiliser plusieurs méthodes par règle. Les méthodes sont tentées dans l’ordre dans lequel elles apparaissent dans la liste. Si vous spécifiez l’utilisation de certificats, rassemblez-les dans la liste dans l’ordre dans lequel vous souhaitez qu’ils soient utilisés.
Sous l’onglet Type de connexion, sélectionnez le type de connexion auquel s’applique la règle. Pour plus d’informations sur les types de connexion, voir Type de connexion IPsec.
Si vous utilisez un tunnel, spécifiez ses points de sortie sous l’onglet Paramètres du tunnel. Par défaut, aucun tunnel n’est utilisé. Pour plus d’informations sur l’utilisation des tunnels, voir Paramètres de tunnel IPsec. Vous ne pouvez pas mettre les tunnels en miroir.
Une fois tous les paramètres définis, cliquez sur OK.
Pour modifier une règle de stratégie |
Cliquez avec le bouton droit sur la stratégie IPsec, puis cliquez sur Propriétés.
Dans la boîte de dialogue Propriétés de la stratégie, sélectionnez la règle et cliquez sur Modifier.
Dans la boîte de dialogue Modifier les propriétés de la règle, sous l’onglet Liste de filtres IP, sélectionnez la liste de filtres appropriée ou cliquez sur Ajouter pour en ajouter une nouvelle. Pour plus d’informations sur la création et l’utilisation des listes de filtres, voir Listes de filtres.
Remarques Vous ne pouvez utiliser qu’une seule liste de filtres par règle.
Sous l’onglet Action de filtrage, sélectionnez l’action de filtrage appropriée, ou cliquez sur Ajouter pour en ajouter une nouvelle. Pour plus d’informations sur la création et l’utilisation des actions de filtrage, voir Actions de filtrage.
Remarques Vous ne pouvez utiliser qu’une seule action de filtrage par règle.
Sous l’onglet Méthodes d’authentification, sélectionnez la méthode appropriée, ou cliquez sur Ajouter pour en ajouter une nouvelle. Pour plus d’informations sur la création et l’utilisation des méthodes d’authentification, voir Authentification IPsec.
Remarques Vous pouvez utiliser plusieurs méthodes par règle. Les méthodes sont tentées dans l’ordre dans lequel elles apparaissent dans la liste.
Dans l’onglet Type de connexion, sélectionnez le type de connexion auquel s’applique la règle. Pour plus d’informations sur les types de connexion, voir Type de connexion IPsec.
Si vous utilisez un tunnel, spécifiez ses points de sortie dans l’onglet Paramètres du tunnel. Par défaut, aucun tunnel n’est utilisé. Pour plus d’informations sur l’utilisation des tunnels, voir Paramètres de tunnel IPsec.
Une fois tous les paramètres définis, cliquez sur OK.
Attribution d’une stratégie
Pour attribuer une stratégie à l’ordinateur local |
Cliquez avec le bouton droit sur la stratégie, puis cliquez sur Attribuer.
Remarque - Une seule stratégie peut être attribuée à un ordinateur à la fois. L’attribution d’une autre stratégie supprimera automatiquement l’attribution de la stratégie actuelle. La stratégie de groupe sur votre domaine peut attribuer une autre stratégie à l’ordinateur local, ignorant la stratégie locale.
- Pour définir correctement une stratégie IPsec d’ordinateur à ordinateur, vous devez créer une stratégie en miroir sur l’autre ordinateur et lui attribuer cette stratégie.
- Pour attribuer cette stratégie à plusieurs ordinateurs, utilisez la stratégie de groupe.