Configurer la gestion des comptes de serveur NPS (Network Policy Server)
Il existe trois types de journalisation pour le serveur de stratégie réseau (NPS) :
Journalisation des événements. Utilisé principalement pour l’audit et la résolution des problèmes de tentatives de connexion. Vous pouvez configurer la journalisation des événements NPS en obtenant les propriétés NPS dans la console NPS.
Journalisation des demandes d’authentification utilisateurs et de gestion des comptes dans un fichier local. Utilisé principalement à des fins d’analyse et de facturation des connexions. Également utile en tant qu’outil d’investigation de sécurité, car il vous fournit une méthode de suivi de l’activité d’un utilisateur malveillant après une attaque. Vous pouvez configurer la journalisation des fichiers locaux à l’aide de l’Assistant Configuration de la gestion des comptes.
Journalisation des demandes d’authentification et de gestion des comptes des utilisateurs dans une base de données compatible XML Microsoft SQL Server. Utilisé pour permettre à plusieurs serveurs exécutant NPS d’avoir une seule source de données. Offre également les avantages de l’utilisation d’une base de données relationnelle. Vous pouvez configurer la journalisation des fichiers locaux à l’aide de l’Assistant Configuration de la gestion des comptes.
Utiliser l’Assistant Configuration de la gestion des comptes
À l’aide de l’Assistant Configuration de la gestion des comptes, vous pouvez configurer les quatre paramètres de gestion des comptes suivants :
- Journalisation SQL uniquement. À l’aide de ce paramètre, vous pouvez configurer un lien de données vers un SQL Server qui permet à NPS de se connecter et d’envoyer des données de gestion des comptes au serveur SQL Server. En outre, l’Assistant peut configurer la base de données sur le SQL Server pour s’assurer que la base de données est compatible avec la journalisation NPS SQL Server.
- Journalisation de texte uniquement. À l’aide de ce paramètre, vous pouvez configurer NPS pour journaliser les données de gestion des comptes dans un fichier texte.
- Journalisation parallèle. À l’aide de ce paramètre, vous pouvez configurer la liaison de données SQL Server et la base de données. Vous pouvez également configurer la journalisation des fichiers texte afin que NPS se connecte simultanément au fichier texte et à la base de données SQL Server.
- Journalisation SQL avec sauvegarde. À l’aide de ce paramètre, vous pouvez configurer la liaison de données SQL Server et la base de données. En outre, vous pouvez configurer la journalisation des fichiers texte que NPS utilise si la journalisation SQL Server échoue.
En plus de ces paramètres, la journalisation SQL Server et la journalisation de texte vous permettent de spécifier si NPS continue de traiter les demandes de connexion en cas d’échec de la journalisation. Vous pouvez le spécifier dans la section Action d’échec de journalisation dans les propriétés de journalisation des fichiers locaux, dans les propriétés de journalisation SQL Server et pendant que vous exécutez l’Assistant Configuration de la gestion des comptes.
Pour exécuter l’Assistant Configuration de la gestion des comptes
Pour exécuter l’Assistant Configuration de la gestion des comptes, effectuez les étapes suivantes :
- Ouvrez la console NPS ou le composant logiciel enfichable MMC (Microsoft Management Console) NPS.
- Dans l’arborescence de la console, cliquez sur Gestion des comptes.
- Dans le volet d’informations, dans Gestion des comptes, cliquez sur Configurer la gestion des comptes.
Configurer les propriétés du fichier journal NPS
Vous pouvez configurer le serveur de stratégie réseau (NPS) pour effectuer une gestion des comptes RADIUS (Remote Authentication Dial-In User Service) pour les demandes d’authentification des utilisateurs, les messages Access-Accept, les messages Access-Reject, les demandes et les réponses de gestion des comptes et les mises à jour d’état périodiques. Vous pouvez utiliser cette procédure pour configurer les fichiers journaux dans lesquels vous souhaitez stocker les données de gestion des comptes.
Pour plus d’informations sur l’interprétation des fichiers journaux, consultez Interpréter les fichiers journaux de format de base de données NPS.
Pour empêcher les fichiers journaux de remplir le disque dur, il est vivement recommandé de les conserver sur une partition distincte de la partition système. L’article suivant fournit plus d’informations sur la configuration de la gestion des comptes pour NPS :
Pour envoyer les données du fichier journal à des fins de collecte par un autre processus, vous pouvez configurer NPS pour écrire dans un canal nommé. Pour utiliser des canaux nommés, définissez le dossier du fichier journal sur \.\pipe ou \ComputerName\pipe. Le programme de serveur de canal nommé crée un canal nommé appelé \.\pipe\iaslog.log pour accepter les données. Dans la boîte de dialogue Propriétés du fichier local, dans Créer un fichier journal, sélectionnez Jamais (taille de fichier illimitée) lorsque vous utilisez des canaux nommés.
Le répertoire du fichier journal peut être créé à l’aide de variables d’environnement système (au lieu de variables utilisateur), telles que %systemdrive%, %systemroot% et %windir%. Par exemple, le chemin d’accès suivant, à l’aide de la variable d’environnement %windir%, localise le fichier journal dans le répertoire système dans le sous-dossier \System32\Logs (autrement dit, %windir%\System32\Logs).
Le changement de format de fichier journal n’entraîne pas la création d’un nouveau journal. Si vous modifiez les formats de fichier journal, le fichier actif au moment de la modification contiendra un mélange des deux formats (les enregistrements au début du journal auront le format précédent et les enregistrements à la fin du journal auront le nouveau format).
Si la gestion des comptes RADIUS échoue en raison d’un disque dur complet ou d’autres causes, NPS arrête de traiter les demandes de connexion, empêchant les utilisateurs d’accéder aux ressources réseau.
NPS vous permet de vous connecter à une base de données Microsoft SQL Server en plus ou au lieu de la journalisation dans un fichier local.
Pour effectuer cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.
Pour configurer les propriétés du fichier journal NPS
- Ouvrez la console NPS ou le composant logiciel enfichable MMC (Microsoft Management Console) NPS.
- Dans l’arborescence de la console, cliquez sur Gestion des comptes.
- Dans le volet d’informations, dans Propriétés du fichier journal, cliquez sur Modifier les propriétés du fichier journal. La boîte de dialogue Propriétés du fichier journal s'ouvre.
- Dans Propriétés du fichier journal, sous l’onglet Paramètres, dans Journaliser les informations suivantes, assurez-vous que vous choisissez de consigner suffisamment d’informations pour atteindre vos objectifs de gestion des comptes. Par exemple, si vos journaux doivent accomplir la corrélation de session, cochez toutes les cases.
- Dans Action d’échec de journalisation, sélectionnez Si la journalisation échoue, ignorez les demandes de connexion si vous souhaitez que NPS arrête le traitement des messages Access-Request lorsque les fichiers journaux sont pleins ou indisponibles pour une raison quelconque. Si vous souhaitez que NPS continue à traiter les demandes de connexion en cas d’échec de la journalisation, n’activez pas cette case à cocher.
- Dans la boîte de dialogue Propriétés du fichier journal, cliquez sur l’onglet Fichier journal .
- Sous l’onglet Fichier journal, dans Répertoire, entrez l’emplacement où vous souhaitez stocker les fichiers journaux NPS. L’emplacement par défaut est le dossier systemroot\System32\LogFiles.
Si vous ne fournissez pas d’instruction de chemin d’accès complet dans leRépertoire du fichier journal, le chemin d’accès par défaut est utilisé. Par exemple, si vous entrez NPSLogFile dans le répertoire du fichier journal, le fichier se trouve dans %systemroot%\System32\NPSLogFile. - Dans Format, cliquez sur Conforme DTS. Si vous préférez, vous pouvez sélectionner un format de fichier hérité, par exemple ODBC (hérité) ou IAS (hérité) .
Les types de fichiers hérités ODBC et IAS contiennent un sous-ensemble des informations que NPS envoie à sa base de données SQL Server. Le format XML du type de fichier conforme DTS est identique au format XML utilisé par NPS pour importer des données dans sa base de données SQL Server. Par conséquent, le format de fichier conforme DTS offre un transfert de données plus efficace et complet vers la base de données SQL Server standard pour NPS. - Dans Créer un fichier journal, pour configurer NPS afin de démarrer de nouveaux fichiers journaux à des intervalles spécifiés, cliquez sur l’intervalle que vous souhaitez utiliser :
- Pour les transactions volumineuses et l’activité de journalisation, cliquez sur Quotidien.
- Pour les volumes de transactions et l’activité de journalisation plus bas, cliquez sur Hebdomadaire ou Mensuel.
- Pour stocker toutes les transactions dans un seul fichier journal, cliquez sur Jamais (taille de fichier illimitée).
- Pour limiter la taille de chaque fichier journal, cliquez sur Quand le fichier journal atteint cette taille, puis entrez une taille de fichier, après quoi un nouveau journal est créé. La taille par défaut est 10 mégaoctets (Mo).
- Si vous souhaitez que NPS supprime les anciens fichiers journaux pour créer de l’espace disque pour les nouveaux fichiers journaux lorsque le disque dur est proche de sa capacité, vérifiez que Lorsque le disque est complet, supprimez les fichiers journaux plus anciens . Toutefois, cette option n’est pas disponible si la valeur de Créer un fichier journal est Jamais (taille de fichier illimitée). En outre, si le fichier journal le plus ancien est le fichier journal actuel, il n’est pas supprimé.
Configurer la journalisation SQL Server NPS
Vous pouvez utiliser cette procédure pour enregistrer les données de gestion des comptes RADIUS dans une base de données locale ou distante exécutant Microsoft SQL Server.
Notes
NPS met en forme les données de gestion des comptes en tant que document XML qu’il envoie à la procédure stockée report_event dans la base de données SQL Server que vous désignez dans NPS. Pour que SQL Server journalisation fonctionne correctement, vous devez disposer d’une procédure stockée nommée report_event dans la base de données SQL Server qui peut recevoir et analyser les documents XML à partir de NPS.
L'appartenance au groupe Admins du domaine, ou équivalent, est la condition minimale requise pour effectuer cette procédure.
Pour configurer la journalisation SQL Server dans NPS
- Ouvrez la console NPS ou le composant logiciel enfichable MMC (Microsoft Management Console) NPS.
- Dans l’arborescence de la console, cliquez sur Gestion des comptes.
- Dans le volet d’informations, dans Propriétés de journalisation SQL Server, cliquez sur Modifier les propriétés de journalisation SQL Server. La boîte de dialogue Propriétés de la journalisation SQL Server s'ouvre.
- Dans Journaliser les informations suivantes, sélectionnez les informations que vous souhaitez consigner :
- Pour consigner toutes les demandes de gestion des comptes, cliquez sur Demandes de gestion des comptes.
- Pour journaliser les demandes d’authentification, cliquez sur Demandes d’authentification.
- Pour enregistrer l’état de la gestion des comptes périodique, cliquez sur État de la gestion des comptes périodique.
- Pour consigner l’état périodique, tel que les demandes de gestion des comptes intermédiaires, cliquez sur État périodique.
- Pour configurer le nombre de sessions simultanées autorisées entre le serveur qui exécute NPS et le SQL Server, entrez un nombre dans Nombre maximal de sessions simultanées.
- Pour configurer la source de données SQL Server, dans Journalisation SQL Server, cliquez sur Configurer. La boîte de dialogue Propriétés des liaisons de données s'ouvre. Sous l'onglet Connexion, spécifiez les éléments suivants :
- Pour spécifier le nom du serveur sur lequel la base de données est stockée, entrez ou sélectionnez un nom dans Sélectionner ou entrer un nom de serveur.
- Pour spécifier la méthode d’authentification avec laquelle se connecter au serveur, cliquez sur Utiliser la sécurité intégrée de Windows NT. Ou cliquez sur Utiliser un nom d’utilisateur et un mot de passe spécifiques, puis entrez les informations d’identification dans Nom d’utilisateur et Mot de passe.
- Pour autoriser un mot de passe vide, cliquez sur Mot de passe vide.
- Pour enregistrer le mot de passe, cliquez sur Autoriser l’enregistrement du mot de passe.
- Pour spécifier la base de données à laquelle se connecter sur l’ordinateur exécutant SQL Server, cliquez sur Sélectionner la base de données sur le serveur, puis sélectionnez un nom de base de données dans la liste.
- Pour tester la connexion entre NPS et SQL Server, cliquez sur Tester la connexion. Cliquez sur OK pour fermer les Propriétés du lien de données.
- Dans Action d’échec de journalisation, sélectionnez Activer la journalisation des fichiers texte pour le basculement si vous souhaitez que NPS continue avec la journalisation des fichiers texte si la journalisation SQL Server échoue.
- Dans Action d’échec de journalisation, sélectionnez Si la journalisation échoue, ignorez les demandes de connexion si vous souhaitez que NPS arrête le traitement des messages Access-Request lorsque les fichiers journaux sont pleins ou indisponibles pour une raison quelconque. Si vous souhaitez que NPS continue à traiter les demandes de connexion en cas d’échec de la journalisation, n’activez pas cette case à cocher.
Ping user-name
Certains serveurs proxy RADIUS et serveurs d’accès réseau envoient régulièrement des demandes d’authentification et de gestion des comptes (appelées demandes ping) pour vérifier que le serveur NPS est présent sur le réseau. Ces requêtes ping incluent des noms d’utilisateur fictifs. Lorsque NPS traite ces demandes, les journaux d’événements et de gestion des comptes sont remplis d’enregistrements de refus d’accès, ce qui rend plus difficile le suivi des enregistrements valides.
Lorsque vous configurez une entrée de registre pour ping user-name, NPS fait correspondre la valeur d’entrée de Registre à la valeur de nom d’utilisateur dans les demandes ping d’autres serveurs. Une entrée de registre ping user-name spécifie le nom d’utilisateur fictif (ou un modèle de nom d’utilisateur, avec des variables, qui correspond au nom d’utilisateur fictif) envoyé par les serveurs proxy RADIUS et les serveurs d’accès réseau. Lorsque NPS reçoit des demandes ping qui correspondent à la valeur d’entrée de registreping user-name, NPS rejette les demandes d’authentification sans traiter la demande. NPS n’enregistre pas les transactions impliquant le nom d’utilisateur fictif dans les fichiers journaux, ce qui facilite l’interprétation du journal des événements.
Ping user-name n’est pas installé par défaut. Vous devez ajouter ping user-name au registre. Vous pouvez ajouter une entrée au Registre à l’aide de l’Éditeur du Registre.
Attention
Une modification incorrecte du Registre peut gravement endommager votre système. Avant toute modification du registre, il est conseillé de sauvegarder toutes les données importantes de votre ordinateur.
Pour ajouter ping user-name au Registre
Ping user-name peut être ajouté à la clé de Registre suivante en tant que valeur de chaîne par un membre du groupe Administrateurs local :
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IAS\Parameters
- Nom :
ping user-name
- Type :
REG_SZ
- Données : nom d’utilisateur
Conseil
Pour indiquer plusieurs noms d’utilisateur pour une valeur ping user-name, entrez un modèle de nom, tel qu’un nom DNS, y compris des caractères génériques, dans Données.