AFTEC SIO 2

Christophe BOUHIER

Page 1

AFTEC SIO 2
Sommaire :
Contexte : ............................................................................................................................................ 3
Prrequis pour la mise en place du serveur Proxy .............................................................................. 3
Mise en place du proxy Squid.............................................................................................................. 3
Configuration du proxy : ..................................................................................................................... 7
Filtrage et blacklistage de certains sites et/ou mots cls. .................................................................. 9
Mise en place du DNS et de lactive Directory .................................................................................. 12
Utilisation dune GPO pour grer les paramtres du proxy sur les clients : ..................................... 24
Mise en place du package internet explorer: .................................................................................... 28
Mise en place du dossier de partage:................................................................................................ 46
Mise en place du dploiement du proxy sur les postes clients: ....................................................... 50

Christophe BOUHIER

Page 2

AFTEC SIO 2
Contexte :
Dans lentreprise o je suis actuellement en prparation de mon BTS, plusieurs moments nous
avons remarqu des abus produit par les utilisateurs en naviguant sur des sites non productifs pour
la socit. Donc jai propos mon chef de service la solution du serveur proxy pour stopper tous les
abus. Je lui ai propos une maquette aprs quelques semaines de mise en production, la suite de
cela le projet a t valid puis mis en place. Si de plus en plus dentreprise mette en place un proxy,
cest parce quil y a trop dgard produit par les employs.

Prrequis pour la mise en place du serveur Proxy

-

Windows serveur 2008

Active directory
DNS
Stratgie de Groupe

Mise en place du proxy Squid

1- Sur le lien suivant se trouve lutilitaire Squid qui peut tre tlchargeable.
http://squid.acmeconsulting.it/download ... DELAYP.zip

2- Une fois le fichier tlcharg vous remarquerez que le fichier est en ZIP. Pour extraire le
contenu
vous
naurez
qu
utiliser
lapplication
Winrar
ou
WinZip.
Dans ce ZIP, un seul dossier (squid) qui sera extraire la racine de votre lecteur C:
(Attention bien le mettre sur le C: sinon il faudra s'amuser modifier la config de SQUID afin
de pouvoir le dplacer ailleurs.)

3- Une fois le dossier dcompress et plac la racine de votre lecteur C: il faut se rendre dans:
squid --> etc --> et renommer les fichiers:
- "mime.conf.default" en "mime.conf"
- "squid.conf.default" en "squid.conf"

Christophe BOUHIER

Page 3

AFTEC SIO 2

Aprs la modification le fichier doitr ressembler a.

Christophe BOUHIER

Page 4

AFTEC SIO 2
4- Ouvrez une fentre de commande (Windows + R, puis taper cmd et valider)

5- Placez-vous dans le dossier "sbin" de l'installation de SQUID en tapant :

-

cd C:\squid\sbin

Christophe BOUHIER

Page 5

AFTEC SIO 2
Tapez squid -i pour crer le service Squid.
(En effet SQUID s'installe sur Windows en tant que service afin de pouvoir le dmarrer ds le
lancement de Windows comme n'importe quel autre service.)

Voici ce qu'il se passe dans la fentre de commande si tout se passe bien:

6- Toujours dans la mme fentre de commande, tapez squid -z

afin de crer le dossier de cache:

Si tout se passe bien la fentre de commande doit afficher cela :

Voil SQUID est install sur votre serveur, il ne reste plus qu' le configurer.

Christophe BOUHIER

Page 6

AFTEC SIO 2
Configuration du proxy :
1- Rendez-vous dans le dossier C:\squid\etc afin de modifier le fichier de configuration
"squid.conf"
(Vous pouvez l'ouvrir avec n'importe quel diteur de texte, moi j'utilise simplement Wordpad
c'est largement suffisant.)
L, une multitude de lignes de configurations sont prsentes, on va voir les plus importantes
afin de paramtrer notre Proxy au minimum afin qu'il soit utilisable.

2- Retrouvez le bloc: (Pour ma part jutilise le systme de recherche en cliquant sur ctrl + F )

Et d-commenter la dernire ligne (#none) et remplacez la par:

visible_hostname Le_Nom_De_Votre_Serveur

O bien entendu il faut remplacer "Le_Nom_De_Votre_Serveur" par le nom NetBIOS de votre

serveur qui peut tre rcupr en faisant clic droit sur Ordinateur et proprits

Christophe BOUHIER

Page 7

AFTEC SIO 2
(Donc pour ma part je mets visible_hostname test-proxy)
3- Si vous souhaitez changer le port dcoute, Retrouvez le bloc ci-dessous et modifier le:
# Squid normally listens to port 3128
http_port 3128

4- Retrouvez le bloc:

Ici vous trouvez les 3 classes d'adressage IP locales (A,B et C) pour la configuration. Si votre rseau
se situe dans l'une de ces 3 classes il n'y a rien modifier. Dans le cas inverse il faudra ajouter une
ligne concernant l'adressage IP de votre rseau, juste en dessous de la dernire ligne.

5- La configuration minimum du proxy est termine vous pouvez enregistrer votre fichier de
conf
6- Pour que les modifications soient prises en compte il faut redmarrer le service Squid (cela
est valable chaque modification du fichier squid.conf)
Pour cela, rien de plus simple, il suffit d'aller dans la console de gestion des services Windows
(Windows + R et taper services.msc et valider), reprer le service "squid", clic droit dessus et
"Redmarrer".
Si vous avez bien suivi ces tapes le service redmarrera normalement et sans erreur.
7- Test de l'accs au proxy:
Dans IE ou n'importe quel navigateur il faudra paramtrer les options de Proxy
Pour IE, aller dans Options internet --> Onglet Connexions --> Paramtres rseau --> Dans "Serveur
proxy" cocher les 2 cases --> Dans adresse, mettre l'adresse IP locale du serveur sur lequel SQUID
est install --> Dans Port, mettre 3128 (ou celui choisi plus haut dans le fichier de config la ligne
http_port)
- Valider les paramtres et sortir des options internet

Voil le serveur proxy est install, configur et oprationnel.

Christophe BOUHIER

Page 8

AFTEC SIO 2
Filtrage et blacklistage de certains sites et/ou mots cls.
Blacklistage Simple:
L'intrt d'un proxy est bien videmment la mise en cache mais surtout le filtrage du flux de donnes
vers internet et galement le blacklistage de sites internet et de mots cls.
SQUID proxy permet bien entendu tout cela et nous allons voir comment procder pour mettre en
place des ACL's (Access List) afin de bloquer des noms de domaines, entre autres.
Pour le moment le proxy est install et configur au minimum. Intressons-nous maintenant aux
ACL's
Nous allons commencer par bloquer l'accs de FACEBOOK aux utilisateurs.
1.

Ouvrir le fichier "squid.conf" avec votre diteur de texte favori

2-

Reprez la ligne:
acl CONNECT method CONNECT
Juste aprs cette ligne vous pourrez y ajouter toutes les ACL's que vous souhaitez. Dans mon
exemple je veux bloquer FACEBOOK. Donc, aprs cette ligne je mets:
acl FACEBOOK url_regex -i *.facebook.com*
acl = Dclare notre ACL
FACEBOOK = Nom de notre ACL (On peut donner n'importe quel nom)
url_regex = Signifie que le proxy filtrera les expressions rgulires dans l'url
-i = C'est une option que l'on peut ajouter notre ACL pour signifier que le filtrage ne sera pas
sensible la casse
l'toile devant .facebook signifie que dans l'url on filtre galement tout ce qui se trouve avant
.facebook
l'toile aprs .com signifie que dans l'url on filtre galement tout ce qui se trouve aprs .com

3-

Voil notre ACL est cr, maintenant il va falloir dire notre proxy qu'il faut refuser l'accs
cette ACL, donc FACEBOOK

Reperez la ligne:
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
Juste aprs vous pouvez ajouter vos propres rgles d'accs. Donc pour cette exemple, je mets:
http_access deny FACEBOOK
http_access = Signifie que la rgle portera sur un accs HTTP
deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela
veut dire plutt refuser)

Christophe BOUHIER

Page 9

AFTEC SIO 2

45-

FACEBOOK = C'est le nom de notre ACL cre prcdemment (il faut qu'il soit strictement le
mme sous peine de ne pas faire fonctionner notre rgle)
Voil la rgle de blocage de FACEBOOK est prte. Il faut maintenant enregistrer notre fichier
squid.conf et redmarrer le service Squid pour que les modifications soit prises en comptes.
Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK puis
suivre le lien.
Si tout est paramtr correctement, vous devriez recevoir une page d'erreur du proxy vous
signifiant que vous ne pouvez pas avoir accs cette page.

Nous venons de voir comment bloquer un site/domaine en crant une ACL coupl sa rgle d'accs
(http_access). SQUID permet de crer des blacklist sous forme de fichier texte afin de ne pas
surcharger inutilement le fichier de configuration, mais aussi et surtout pour nous faciliter la vie en
ajoutant dans ces fichiers textes tous les sites, domaines ou mots cls que nous voulons blacklister
les uns la suite des autres. La mthode reste sensiblement la mme:

Blacklistage avec liste dans un fichier txt:

1-

Dans le dossier squid crez un fichier txt que vous nommerez par exemple Medias_Sociaux.txt
(Vous pouvez mettre ce fichier l'endroit de votre choix. Personnellement je le mets l'endroit
o se trouve squid.conf, c'est dire ici C:\squid\etc)

2-

Dans ce fichier, sous forme de liste, inscrivez tous les sites, domaines que vous voulez
blacklister.

*.facebook.com*
*.twitter.com*
*.hotmail.com*
*.msn.com*
*.live.com*
Enregistrer le fichier
3-

Rendez-vous maintenant dans notre fichier squid.conf

Reprez la ligne:
acl CONNECT method CONNECT
Juste aprs nous avions cr l'ACL suivante:
acl FACEBOOK url_regex -i *.facebook.com*
Nous allons la supprimer et la remplacer par notre blacklist:
acl Medias_Sociaux url_regex -i "C:\squid\etc\Medias_Sociaux.txt"
acl = Dclare notre ACL
Medias_Sociaux = Nom de notre ACL (On peut donner n'importe quel nom, mais soyez cohrents par
rapport votre fichier texte (banlist) )
url_regex = Signifie que le proxy filtrera les expressions rgulires dans l'url
Christophe BOUHIER

Page 10

AFTEC SIO 2
-i = C'est une option que l'on peut ajouter notre ACL pour signifier que le filtrage ne sera pas
sensible la casse
"C:\squid\etc\Medias_Sociaux.txt" = Chemin de notre banlist, ici elle se trouve dans le lecteur C:
dans le sous-dossier nomm "etc" du dossier "squid"
(Veillez ne pas oublier les guillemets "" encadrant le chemin du fichier txt)
4-

Reperez la ligne:

# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
Juste aprs nous avions cr la rgle d'accs suivante:
http_access deny FACEBOOK
Nous allons la supprimer et la remplacer par notre nouvelle rgle:
http_access deny Medias_Sociaux
http_access = Signifie que la rgle portera sur un accs HTTP
deny = Signifie que l'on refuse la connexion (deny = nier en Anglais, mais dans ce contexte cela veut
dire plutt refuser)
Medias_Sociaux = C'est le nom de notre ACL (il faut qu'il soit strictement le mme sous peine de ne
pas faire fonctionner notre rgle)
Voil nous avons une banlist avec l'ACL et la rgle d'accs correspondantes.
5-

Enregistrez le fichier squid.conf et redmarrez le service SQUID comme d'habitude pour tout
changement de configuration.

6-

Ouvrir une page GOOGLE avec un ordinateur client du Proxy et rechercher FACEBOOK et/ou
twitter, hotmail, etc, puis suivre le lien.
Si tout est paramtr correctement, vous devriez recevoir une page d'erreur du proxy vous
signifiant que vous ne pouvez pas avoir accs cette page.

Maintenant que le Proxy est oprationnel, nous allons voir comment paramtrer le proxy via une
GPO. Mais avant cela nous allons installer lAD pour quon puisse mettre en place une GPO.

Christophe BOUHIER

Page 11

AFTEC SIO 2
Mise en place du DNS et de lactive Directory
Aller dans le gestionnaire de serveur, et dans longlet Rles, sur la droite de lcran cliquer sur
Ajouter des rles .

Cliquer sur suivant au moment ou cette page apparait.

Christophe BOUHIER

Page 12

AFTEC SIO 2
Il se peut que lorsque vous slectionner le rle Service de domaine active directory , lassistant
dajout de rles vous propose dinstaller le Net Framework 3.5.1
Alors cliquer sur Ajouter les fonctionnalits requises .

Une fois que la case du service Active directory est bien slectionner cliquer sur suivant.

Christophe BOUHIER

Page 13

AFTEC SIO 2
Cliquer de nouveau sur suivant.

Cliquer ensuite sur installer.

Christophe BOUHIER

Page 14

AFTEC SIO 2
Patienter pendant linstallation.

Cliquer sur fermer pour poursuivre linstallation de lactive directory.

Christophe BOUHIER

Page 15

AFTEC SIO 2
Pour continuer, ouvrir une commande dexcution en allant dans dmarrer et excuter.
Puis taper dcpromo

Cliquer sur suivant.

Christophe BOUHIER

Page 16

AFTEC SIO 2

Dans mon cas je crer un domaine donc je choisis loption coch ci-dessous.
Dans le cas de la fort existante, a va me permettre de rejoindre un domaine existant sur le rseau.

Christophe BOUHIER

Page 17

AFTEC SIO 2
Choisir un nom de domaine et cliquer sur suivant.

Lassistant dinstallation se met en alerte pour signaler que les caractre mis dans notre domaine,
peuvent ne pas tre pris en charge par dautres produits du serveur DNS.

Patient quelque seconde pendant la vrification de la disponibilit du nom de domaine.

Christophe BOUHIER

Page 18

AFTEC SIO 2
Dans le menu de slection choisir le niveau de fonctionnalit du domaine.

Laisser lanalyse se faire. Si aucun serveur DNS nest configur sur votre serveur, il vous proposera de
le configurer en mme temps.

Christophe BOUHIER

Page 19

AFTEC SIO 2
Vrifier que le serveur DNS est bien slectionn et cliquer sur suivant.

Choisir loption qui vous correspond.

Christophe BOUHIER

Page 20

AFTEC SIO 2

Mettre un mot de passe et suivant.

Christophe BOUHIER

Page 21

AFTEC SIO 2

Patienter pendant linstallation des services.

Christophe BOUHIER

Page 22

AFTEC SIO 2
Voil linstallation du DNS et lactive directory est termin.

Christophe BOUHIER

Page 23

AFTEC SIO 2
Utilisation dune GPO pour grer les paramtres du proxy sur les clients :
Nous allons crer une GPO sur le serveur afin de faire redescendre la configuration du Proxy sur les
machines du domaine et bloquer l'accs ces paramtres afin que les utilisateurs ne puissent pas
changer la configuration pour outrepasser le Proxy.
12-

Sur le serveur, rendez-vous dans la console Active Directory (Dmarrer --> Outils
d'administration --> Utilisateurs et Ordinateurs Active Directory)
Puis faire clic droit sur le nom de domaine puis crer une nouvelle unit dorganisation. Pour ma
part je lappelerais SquidProxy.

Aprs cela fermer la fentre et ouvrir celle qui va permettre la gestion de stratgie de groupe

Christophe BOUHIER

Page 24

AFTEC SIO 2
Comme on peut le voir, lunit dorganisation que lon vient de crer est prsente.

Faire clic droit sur lunit dorganisation et cliquer sur nouveau .

Christophe BOUHIER

Page 25

AFTEC SIO 2
La nommer comme vous le souhaitez.

Faire clic droit sur lobjet de stratgie de groupe qui vient dtre cre puis cliquer sur Modifier .

Christophe BOUHIER

Page 26

AFTEC SIO 2
Aller dans Configuration ordinateur modles dadministration composants Windows
Internet Explorer et cette endroit ci 2 options sont possible pour bloquer les paramtres du
proxy.
-

Dsactiver la modification des paramtres de connexions.

Empcher la modification des paramtres de proxy.

Double clic sur loption souhaite, puis activer la stratgie de groupe et lappliquer.

Christophe BOUHIER

Page 27

AFTEC SIO 2
Mise en place du package internet explorer:
Pour commencer, je tiens prciser que cette solution de mise en place est fonctionnelle pour ceux
qui utilisent internet explorer 10 ou 11. Car pour les versions antrieurs celle-l, la solution est
diffrente, elle ce gre directement dans la console de stratgie de groupe.
1- Aller tlcharger Internet Explorer Administration Kit 11 sur le lien suivant :
http://www.microsoft.com/en-us/download/details.aspx?id=40903
2- Une fois cette tape pass lancer le fichier qui vient dtre tlcharg et suivre linstallation.

Cocher la case Jaccepte les termes du contrat de licence et continuer.

Christophe BOUHIER

Page 28

AFTEC SIO 2
Dans mon cas je choisis la deuxime option car je mets ce projet en interne.

Mettez lorganisation de votre choix.

Christophe BOUHIER

Page 29

AFTEC SIO 2

Voil linstallation est termine. Nous allons maintenant voir pour le configurer pour le rendre
fonctionnel.

Christophe BOUHIER

Page 30

AFTEC SIO 2
Dans le menu dmarrer, une assistance la personnalisation dinternet explorer est normalement
prsente. Cliquer dessus et suivez les tapes.

Christophe BOUHIER

Page 31

AFTEC SIO 2
Slectionner le type de plate-forme de destination.

Slectionner la langue et continuer.

Christophe BOUHIER

Page 32

AFTEC SIO 2
Choisir si vous voulez le :
-

Pack qui contient linstallation dinternet explorer 11 + configuration

Ou

Le pack de configuration seulement.

Christophe BOUHIER

Page 33

AFTEC SIO 2
Patienter une fentre dinstallation doit apparaitre quelque seconde plus tard.

Cliquer sur excuter. Ensuite Synchroniser vas apparaitre. Cliquer dessus pour rcuprer la dernire
version dinternet explorer mise jour compris.
Ensuite poursuivez les tapes.

Christophe BOUHIER

Page 34

AFTEC SIO 2

Pour ma part je mets internet explorer comme navigateur par dfauts car Mozilla Firefox ainsi que
Google Chrome est bloqu par le proxy pour viter de passer outre le proxy en utilisant un autre
navigateur.

Christophe BOUHIER

Page 35

AFTEC SIO 2
Choisir installation entirement sans assistance , qui permettra lutilisateur de se soucier de rien
car toute linstallation sera prise en charge par ladministrateur. En plus de choisir cette option cela
permet lutilisateur de ne rien voir pendant linstallation.
Et choisir forcer le redmarrage pour que le proxy soit bien pris en compte ds la premire
utilisation.

Christophe BOUHIER

Page 36

AFTEC SIO 2

Choisir la page de dmarrage du navigateur.

Christophe BOUHIER

Page 37

AFTEC SIO 2

Cette tape permet dimporter des favoris qui seront alors disponible pour tous les utilisateurs.

Christophe BOUHIER

Page 38

AFTEC SIO 2

Laissez par dfaut sauf si vous dsirez personnalise une page daccueil.

Christophe BOUHIER

Page 39

AFTEC SIO 2
Cocher utiliser laffichage de compatibilit (mode internet explorer 7) . Cela permettra dviter les
bugs frquents en entreprise.

Christophe BOUHIER

Page 40

AFTEC SIO 2
Nous voil la configuration du proxy.
Cocher importer les paramtres de connexion actuels partir de cet ordinateur et cliquer sur
Modifier les paramtres .

Cliquer sur paramtres rseau

Christophe BOUHIER

Page 41

AFTEC SIO 2
Cocher les 2 cases dans la partie serveur proxy puis entrer ladresse IP du serveur Proxy ainsi que
le port puis cliquer sur avancer.

Une fois avoir cliqu sur avanc cocher aussi la utiliser le mme serveur proxy pour tous les
protocoles .

Puis Valider et continuer.

Christophe BOUHIER

Page 42

AFTEC SIO 2

Christophe BOUHIER

Page 43

AFTEC SIO 2

Christophe BOUHIER

Page 44

AFTEC SIO 2
Patienter pendant quil gnre et compresse les fichiers du package personnalis.

Voil le package est crer plus qu le dployer sur les clients.

En allant dans le dossier dinstallation C:\builds\06102014\FLAT\AMD64_WIN7\FR-FR, le fichier
dinstallation est normalement prsent avec le format .EXE et .MSI. Nous allons utiliser le fichier MSI
pour la suite.
Christophe BOUHIER

Page 45

AFTEC SIO 2
Mise en place du dossier de partage:
Maintenant que le fichier excutable est crer, faut penser absolument partager le dossier ou se
trouve le fichier sinon le dploiement ne pourra pas ce faire.
Pour cela aller dans "Gestion de l'ordinateur" en passant par "dmarrer - Outils d'administration"

Dvelopper l'arborescence "Outils systme - Dossiers partags - Partages"

Faire clic droit sur partages et choisir "Nouveau Partage...".

Christophe BOUHIER

Page 46

AFTEC SIO 2

Cliquer sur

puis aller chercher le fichier partager.

Et continuer.

Christophe BOUHIER

Page 47

AFTEC SIO 2
Donner un nom de partage au dossier qui possdera le fichier excutable, qui sera ensuite utilis au
niveau de la stratgie de groupe.

Maintenant choisir les droits que lon dsir attribu.

Christophe BOUHIER

Page 48

AFTEC SIO 2

Voil le Fichier est partag sur le rseau et est visible par tous selon comment vous le configurer.

Christophe BOUHIER

Page 49

AFTEC SIO 2
Mise en place du dploiement du proxy sur les postes clients:
Une fois le package MSI cre il faut le dployer
Il existe deux possibilits pour dployer :
Dploiement par Utilisateur : Elle permet dinstaller le package lorsque lutilisateur se
connecte peu importe le poste quil utilise sur le domaine.
Dploiement par Ordinateur : Elle permet dinstaller le package sur chaque ordinateur
faisant partit de la stratgie. Le logiciel du package est alors disponible pour tous les
utilisateurs se connectant cet ordinateur.
Dans mon cas a sera le dploiement par ordinateur.

- Dploiement par Ordinateur

Dans un premier temps, aller sur dans la console de gestion de stratgie de groupe puis se
positionner sur lunit dorganisation que lon a cre auparavant pour le proxy.

Faire clic droit sur l'unit d'organisation et choisir lier un objet de stratgie de groupe existant
Dans la fentre de droite pens appliquer la stratgie de groupe en faisant clique droit dessus et
cocher "appliqu".

Christophe BOUHIER

Page 50

AFTEC SIO 2

Ensuite faire clic droit sur l'unit d'organisation et choisir "Modifier"

Je rappelle que pour ma part c'est une installation au niveau de l'ordinateur et non utilisateur.
Dvelopper l'arborescence " Configuration ordinateur - Paramtres du logiciel " et faire clic droit sur
" Installation de logiciel - Nouveau - Package... "

Christophe BOUHIER

Page 51

AFTEC SIO 2
Aller chercher le logiciel que vous souhaitez dployer dans le dossier que vous avez bien sur partag
et cliquer sur ouvrir.

Choisir Oui. Ce message apparat car il ne peut pas vrifier si le partage a bien t effectu.

On vous demande de choisir entre "Attribu ou Avanc".

Christophe BOUHIER

Page 52

AFTEC SIO 2
La diffrence est:

Publier : Lorsquun package est publi cela signifie quil est ncessaire daller dans le
panneau de configuration afin de linstaller manuellement.
Attribuer : Lorsquun package est attribu il est directement install sur la machine partir
du rseau.
Moi je souhaite le faire sans intervention des utilisateurs, alors je choisi "Attribu".

Voil le logiciel dployer est normalement apparu.

Une fois toutes ces manuvres effectu, le dploiement est enfin effectuer et terminer.
Une fois que lutilisateur ce connectera au dmarrage, linstallation du proxy se fera
automatiquement et sera invisible pour lutilisateur.

Christophe BOUHIER

Page 53