Meilleures pratiques relatives au serveur NPS
Vous pouvez utiliser cette rubrique pour en savoir plus sur les meilleures pratiques pour le déploiement et la gestion du serveur de stratégie réseau (NPS).
Les sections suivantes fournissent les meilleures pratiques pour différents aspects de votre déploiement NPS.
Comptabilité
Voici les meilleures pratiques pour la journalisation NPS.
Il existe deux types de comptabilité, ou journalisation, dans NPS :
Journalisation des événements pour NPS. Vous pouvez utiliser la journalisation des événements pour enregistrer les événements NPS dans les journaux des événements système et de sécurité. Utilisé principalement pour l’audit et la résolution des problèmes de tentatives de connexion.
Journalisation des demandes d’authentification utilisateurs et de gestion des comptes. Vous pouvez consigner les demandes d’authentification des utilisateurs et de gestion des comptes dans les fichiers journaux au format texte ou au format de base de données, ou vous pouvez vous connecter à une procédure stockée dans une base de données SQL Server 2000. La journalisation des demandes est principalement utilisée à des fins d’analyse des connexions et de facturation, et est également utile en tant qu’outil d’investigation de sécurité, vous fournissant une méthode de suivi de l’activité d’un attaquant.
Pour tirer le meilleur parti de la journalisation NPS :
Activez la journalisation (initialement) pour les enregistrements d’authentification et de comptabilité. Modifiez ces sélections une fois que vous avez déterminé ce qui est approprié pour votre environnement.
Assurez-vous que la journalisation des événements est configurée avec une capacité suffisante pour gérer vos journaux.
Sauvegardez régulièrement tous les fichiers journaux, car ils ne peuvent pas être recréés lorsqu’ils sont endommagés ou supprimés.
Utilisez l’attribut classe RADIUS pour suivre l’utilisation et simplifier l’identification du service ou de l’utilisateur à facturer pour l’utilisation. Bien que l’attribut Class généré automatiquement soit unique pour chaque requête, des enregistrements en double peuvent exister dans les cas où la réponse au serveur d’accès est perdue et la demande est renvoyée. Vous devrez peut-être supprimer les demandes en double de vos journaux pour suivre avec précision l’utilisation.
Si vos serveurs d’accès réseau et vos serveurs proxy RADIUS envoient régulièrement des messages de demande de connexion fictives à NPS pour vérifier que le NPS est en ligne, utilisez le paramètre de Registre de noms d’utilisateur ping . Ce paramètre configure NPS pour rejeter automatiquement ces fausses demandes de connexion sans les traiter. En outre, NPS n’enregistre pas les transactions impliquant le nom d’utilisateur fictif dans les fichiers journaux, ce qui facilite l’interprétation du journal des événements.
Désactiver le transfert de notifications NAS Vous pouvez désactiver le transfert des messages de démarrage et d’arrêt des messages des serveurs d’accès réseau (NAS) aux membres d’un groupe de serveurs RADIUS distant QUI EST configuré dans NPS. Pour plus d’informations, consultez Désactiver le transfert de notification NAS.
Pour plus d'informations, consultez Configuration du serveur NPS.
- Pour fournir un basculement et une redondance avec la journalisation SQL Server, placez deux ordinateurs exécutant SQL Server sur des sous-réseaux différents. Utilisez l’Assistant Création de publication SQL Server pour configurer la réplication de base de données entre les deux serveurs. Pour plus d’informations, consultez SQL Server documentation technique et Réplication SQL Server.
Authentification
Voici les meilleures pratiques pour l’authentification.
- Utilisez des méthodes d’authentification basées sur des certificats telles que le protocole PEAP (Protected Extensible Authentication Protocol) et le protocole EAP (Extensible Authentication Protocol) pour une authentification forte. N’utilisez pas de méthodes d’authentification par mot de passe uniquement, car elles sont vulnérables à diverses attaques et ne sont pas sécurisées. Pour l’authentification sans fil sécurisée, l’utilisation de PEAP-MS-CHAP v2 est recommandée, car le serveur NPS prouve son identité aux clients sans fil à l’aide d’un certificat de serveur, tandis que les utilisateurs prouvent leur identité avec leur nom d’utilisateur et leur mot de passe. Pour plus d’informations sur l’utilisation de NPS dans votre déploiement sans fil, consultez Déployer Password-Based accès sans fil authentifié 802.1X.
- Déployez votre propre autorité de certification avec Active Directory® Certificate Services (AD CS) lorsque vous utilisez des méthodes d’authentification fortes basées sur des certificats, telles que PEAP et EAP, qui nécessitent l’utilisation d’un certificat de serveur sur les serveurs NPS. Vous pouvez également utiliser votre autorité de certification pour inscrire des certificats d’ordinateur et des certificats utilisateur. Pour plus d’informations sur le déploiement de certificats de serveur sur des serveurs NPS et d’accès à distance, consultez Déployer des certificats de serveur pour les déploiements câblés et sans fil 802.1X.
Important
Le serveur NPS (Network Policy Server) ne prend pas en charge l’utilisation des caractères ASCII étendus dans les mots de passe.
Configuration de l'ordinateur client
Voici les meilleures pratiques pour la configuration de l’ordinateur client.
- Configurez automatiquement tous vos ordinateurs clients 802.1X membres du domaine à l’aide de stratégie de groupe. Pour plus d’informations, consultez la section « Configurer les stratégies de réseau sans fil (IEEE 802.11) » dans la rubrique Déploiement de l’accès sans fil.
Suggestions d’installation
Voici les meilleures pratiques pour la journalisation NPS.
Avant d’installer NPS, installez et testez chacun de vos serveurs d’accès réseau à l’aide de méthodes d’authentification locales avant de les configurer en tant que clients RADIUS dans NPS.
Après avoir installé et configuré NPS, enregistrez la configuration à l’aide de la commande Windows PowerShell Export-NpsConfiguration. Enregistrez la configuration NPS avec cette commande chaque fois que vous reconfigurez le NPS.
Attention
- Le fichier exporté contient des secrets partagés non chiffrés pour les clients RADIUS et les membres des groupes de serveurs RADIUS distants. Pour cette raison, veillez à enregistrer le fichier dans un emplacement sécurisé.
- Le processus d’exportation n’inclut pas les paramètres de journalisation pour Microsoft SQL Server dans le fichier exporté. Si vous importez le fichier exporté dans un autre serveur NPS, vous devez configurer manuellement la journalisation SQL Server sur le nouveau serveur.
Réglage des performances NPS
Voici les meilleures pratiques pour l’optimisation des performances NPS.
Pour optimiser les temps de réponse d’authentification et d’autorisation NPS et réduire le trafic réseau, installez NPS sur un contrôleur de domaine.
Lorsque des noms de principaux universels (UPN) ou des domaines Windows Server 2008 et Windows Server 2003 sont utilisés, NPS utilise le catalogue global pour authentifier les utilisateurs. Pour réduire le temps nécessaire à cette opération, installez NPS sur un serveur de catalogue global ou sur un serveur qui se trouve sur le même sous-réseau que le serveur de catalogue global.
Lorsque vous avez configuré des groupes de serveurs RADIUS distants et que, dans Stratégies de demande de connexion NPS, vous décochez la case Enregistrer les informations de compte sur les serveurs dans le groupe de serveurs RADIUS distant suivant, ces groupes reçoivent toujours des messages de notification de démarrage et d’arrêt NAS. Cela crée un trafic réseau inutile. Pour éliminer ce trafic, désactivez le transfert de notification NAS pour les serveurs individuels de chaque groupe de serveurs RADIUS distant en décochant la case Démarrer et arrêter les notifications réseau vers ce serveur .
Utilisation de NPS dans les grandes organisations
Voici les meilleures pratiques pour l’utilisation de NPS dans les grandes organisations.
Si vous utilisez des stratégies réseau pour restreindre l’accès à tous les groupes sauf à certains groupes, créez un groupe universel pour tous les utilisateurs pour lesquels vous souhaitez autoriser l’accès, puis créez une stratégie réseau qui accorde l’accès à ce groupe universel. Ne placez pas tous vos utilisateurs directement dans le groupe universel, en particulier si vous en avez un grand nombre sur votre réseau. Au lieu de cela, créez des groupes distincts qui sont membres du groupe universel et ajoutez des utilisateurs à ces groupes.
Utilisez un nom d’utilisateur principal pour faire référence aux utilisateurs chaque fois que possible. Un utilisateur peut avoir le même nom d’utilisateur principal, quelle que soit l’appartenance au domaine. Cette pratique offre une scalabilité qui peut être requise dans les organisations disposant d’un grand nombre de domaines.
Si vous avez installé le serveur NPS (Network Policy Server) sur un ordinateur autre qu’un contrôleur de domaine et que le serveur NPS reçoit un grand nombre de demandes d’authentification par seconde, vous pouvez améliorer les performances du serveur NPS en augmentant le nombre d’authentifications simultanées autorisées entre le serveur NPS et le contrôleur de domaine. Pour plus d’informations, consultez Augmenter les authentifications simultanées traitées par NPS.
Problèmes de sécurité
Voici les meilleures pratiques pour réduire les problèmes de sécurité.
Lorsque vous administrez un NPS à distance, n’envoyez pas de données sensibles ou confidentielles (par exemple, des secrets partagés ou des mots de passe) sur le réseau en texte clair. Il existe deux méthodes recommandées pour l’administration à distance des serveurs NPS :
Utilisez les services Bureau à distance pour accéder au serveur NPS. Lorsque vous utilisez les services Bureau à distance, les données ne sont pas envoyées entre le client et le serveur. Seule l’interface utilisateur du serveur (par exemple, le bureau du système d’exploitation et l’image de console NPS) est envoyée au client des services Bureau à distance, qui est nommé Connexion Bureau à distance dans Windows® 10. Le client envoie une entrée au clavier et à la souris, qui est traitée localement par le serveur sur lequel les services Bureau à distance sont activés. Lorsque les utilisateurs des services Bureau à distance se connectent, ils peuvent afficher uniquement leurs sessions clientes individuelles, qui sont gérées par le serveur et indépendantes les unes des autres. En outre, la connexion Bureau à distance fournit un chiffrement 128 bits entre le client et le serveur.
Utilisez la sécurité du protocole Internet (IPsec) pour chiffrer les données confidentielles. Vous pouvez utiliser IPsec pour chiffrer la communication entre le serveur NPS et l’ordinateur client distant que vous utilisez pour administrer NPS. Pour administrer le serveur à distance, vous pouvez installer les Outils d’administration de serveur distant pour Windows 10 sur l’ordinateur client. Après l’installation, utilisez la console de gestion Microsoft (MMC) pour ajouter le composant logiciel enfichable NPS à la console.
Important
Vous pouvez installer les outils d’administration de serveur distant pour Windows 10 uniquement sur la version complète de Windows 10 Professionnel ou Windows 10 Entreprise.
Pour plus d’informations sur le serveur NPS (Network Policy Server), consultez Serveur NPS (Network Policy Server).