Vigilance sécuritéProtection d’accès réseau

John Morello

Les informations de version bêta de cet article sur Windows Server « Longhorn » sont susceptibles d’être modifiées.

Les périphériques pirates qui se trouvent au-delà du périmètre du réseau représentent l’une des plus grandes menaces pour la sécurité à laquelle sont confrontées les organisations de toutes tailles. Indépendamment de la protection d’une organisation contre les menaces externes provenant d’Internet, sa sécurité peut être menacée par un employé bien intentionné, qui devient malgré lui un vecteur de

transmission de logiciel malveillant par un ver ou un cheval de Troie. Cela est d’autant plus vrai dans les environnements informatiques des petites et moyennes entreprises, dans lesquels les ordinateurs portables personnels et professionnels peuvent être les mêmes, et dans lesquels les technologies de contrôle de l’accès au réseau son souvent trop coûteuses et trop complexes à déployer. Cependant, en général, ce sont précisément ces entreprises qui paient un prix élevé pour le temps d’interruption ; la protection contre ces menaces est donc vraiment importante.

La technologie de protection NAP (Network Access Protection) de Microsoft permet aux entreprises de toute taille de vérifier activement l’intégrité des ordinateurs lorsqu’ils sont ajoutés au réseau et de s’assurer en permanence qu’ils conservent leur intégrité pendant toute la durée de leur connexion. La protection NAP fournit une architecture flexible basée sur les stratégies pour que les entreprises se protègent contre les ordinateurs qui ne sont pas conformes, ou que leurs employés, fournisseurs ou visiteurs ont pu laisser accéder aux réseaux, de manière intentionnelle ou par inadvertance. La protection NAP s’articule autour de quatre piliers fondamentaux : la validation des stratégies, l’isolation, la correction et la conformité continue.

Vue d’ensemble de la protection NAP

Le premier service principal fourni par la protection NAP est la validation de stratégie. La validation de stratégies est le processus dans lequel la protection NAP évalue un système par rapport à une série de règles administrateur et catégorise l’état d’intégrité du système.

Les administrateurs informatiques spécifient une série d’éléments de stratégie que la protection NAP utilise pour effectuer la comparaison lorsque les ordinateurs tentent de se connecter au réseau. Les ordinateurs qui correspondent aux éléments de stratégie sont considérés comme intègres, tandis que ceux qui n’ont pas franchi une ou plusieurs vérifications (selon les indications de l’administrateur) sont jugés non intègres. Ces stratégies peuvent vérifier des aspects comme la présence de logiciels antivirus et anti-logiciels espions, l’activation d’un pare-feu hôte et l’absence de mises à jour de sécurité sur un ordinateur. De plus, comme la protection NAP est créée pour être extensible, les éditeurs de logiciels indépendants peuvent créer leurs propres plug-ins pour la protection NAP, qui permettent d’effectuer des vérifications spécifiques aux applications.

Un autre service fondamental fourni par la protection NAP est la restriction de la connectivité réseau. En fonction des stratégies définies par un administrateur, la protection NAP peut placer des ordinateurs dans les différents états de connectivité du réseau. Par exemple, si un ordinateur n’est pas jugé intègre parce qu’il manque des mises à jour de sécurité critiques, la protection NAP peut placer cet ordinateur dans un réseau de quarantaine, dans lequel il peut être isolé du reste de l’environnement jusqu’à ce qu’il retrouve son intégrité. Sans la protection NAP, le client non intègre aurait un accès sans entrave au réseau de l’organisation. Si un logiciel malveillant pouvait compromettre l’ordinateur par les failles que les mises à jour manquantes n’ont pas comblées, il pourrait tenter activement de répandre son infection au reste du réseau. La figure 1 vous donne une idée générale de l’architecture.

Figure 1** Architecture générale de la protection NAP **(Cliquer sur l'image pour l'agrandir)

La simple restriction de la connectivité, cependant, ne constitue pas un moyen efficace de gérer des ordinateurs ne fonctionnant pas correctement (après tout, vos utilisateurs ont encore du travail à faire). Ainsi, la protection NAP fournit également des services de correction dans lesquels des ordinateurs qui ne sont pas intègres, mis en quarantaine, peuvent corriger leurs problèmes d’intégrité sans intervention de l’administrateur. Dans l’exemple ci-dessus, le réseau restreint permet à l’ordinateur non intègre de n’accéder qu’à des ressources réseau spécifiques nécessaires à l’installation des mises à jour manquantes, comme l’ordinateur Windows Server® Update Services (WSUS) de l’entreprise. En d’autres termes, si la protection NAP est mise en place, l’ordinateur ne fonctionnant pas correctement ne peut accéder qu’aux ressources réseau qui lui permettent de préserver son intégrité. Il ne peut pas envoyer de trafic au reste du réseau tant qu’il n’a pas été corrigé.

Le dernier pilier de la protection NAP est la conformité continue, dans laquelle ces stratégies d’intégrité sont appliquées tant que l’ordinateur est connecté au réseau et pas seulement à la première connexion. À partir de cet exemple, imaginez ce qui se passerait une fois que l’ordinateur est mis à jour et qu’il est devenu intègre (et bénéficie donc d’un accès au réseau sans restriction). Si cet ordinateur n’est plus conforme car, par exemple, le Pare-feu Windows a été désactivé, la protection NAP peut automatiquement le remettre en quarantaine. La protection NAP permet également aux administrateurs de configurer la correction automatique, dans laquelle l’état non conforme est corrigé automatiquement sans l’intervention d’un autre utilisateur, même longtemps après que la première connexion réseau est terminée.

La protection NAP peut utiliser plusieurs techniques pour contrôler l’accès réseau. Pour les entreprises qui utilisent des commutateurs réseau gérés, 802.1X peut être utilisé pour permettre un contrôle d’accès basé sur les ports au niveau de la couche matérielle du réseau. La protection NAP permet également d’utiliser la mise en œuvre basée sur IPSec, dans laquelle des réseaux sécurisés sont créés par le biais d’associations IPSec et sont disposés en couches sur les réseaux physiques. Avec la mise en œuvre basée sur IPSec, les contrôles de la protection NAP accèdent à la zone sécurisée en créant et en supprimant de manière dynamique les certificats utilisés par le moteur IPSec. Enfin, la protection NAP permet la mise en œuvre basée sur DHCP. Dans ce cas, le serveur DHCP fournit aux clients non intègres des baux IP à partir de pools restreints. Ces baux utilisent des suffixes DNS distincts et des itinéraires IP pour contrôler les ressources auxquelles un client restreint peut accéder.

Le composant serveur NAP est créé à partir de la version suivante de Windows Server, nom de code « Longhorn », en particulier sur le nouveau Serveur de stratégies réseau (NPS), successeur nettement amélioré des services d’authentification Internet. Pour les entreprises qui utilisent la mise en œuvre basée sur 802.1X, le matériel réseau doit prendre en charge l’authentification 802.1X et les fonctions VLAN dynamiques (le site des partenaires de la protection NAP dans l’encadré « Ressources de la protection NAP » fournit plus d’informations sur les fournisseurs de matériel spécifiques). Pour la mise en œuvre basée sur DHCP, il est nécessaire de disposer d’un service DHCP compatible NAP, comme celui qui est disponible dans Windows Server « Longhorn ». Sur le client, la prise en charge de la protection NAP est intégrée à Windows Vista™. La prise en charge de la protection NAP est également disponible comme module complémentaire dans Windows® XP, avec une nouvelle prise en charge 802.1X qui permet de mettre en œuvre 802.1X sur Windows XP.

De plus, la protection NAP est intégrée au Centre de sécurité Windows, comme les agents d’intégrité tiers, pour signaler les informations d’intégrité. Ainsi, la protection NAP peut prendre des décisions de validation des stratégies basées sur les données proposées par le Centre de sécurité.

La protection NAP est une solution très perfectionnée de gestion de stratégies au niveau de l’entreprise. Il est donc impossible de traiter toutes les fonctionnalités et les stratégies de déploiement dans un seul article. Ainsi, cet article porte sur les déploiements pour les petites et moyennes entreprises, dans lesquelles le personnel informatique est déjà bien occupé et pour lesquelles le déploiement de la protection NAP peut être rationalisé de manière à permettre une rentabilité rapide de l’investissement nécessaire au déploiement. De nombreuses leçons et aides générales sont, cependant, elles aussi applicables à la conception de la protection NAP dans les entreprises de toutes tailles. Notez, cependant, que le cheminement de mon exemple n’est pas conçu pour être un manuel de configuration pas à pas, mais plutôt une vue d’ensemble générale des principaux points d’un déploiement réussi de la protection NAP basé sur DHCP. Pour obtenir un lien vers un manuel de configuration plus détaillé, reportez-vous à l’encadré « Ressources de la protection NAP ».

Ensemble de problèmes de Contoso

Pour examiner de plus près la manière dont la protection NAP peut prendre en compte les besoins uniques des petites et moyennes entreprises, nous allons utiliser l’exemple de Contoso, Inc. Contoso est une entreprise moyenne fictive qui possède 250 ordinateurs, répartis entre trois bureaux principaux. La société s’appuie sur une main d’œuvre très mobile, comprenant de nombreux télétravailleurs ou des employés qui se reconnectent au bureau principal à partir de sites clients distants. Par conséquent, approximativement la moitié de son parc informatique est composé d’ordinateurs portables et de Tablet PC. Comme beaucoup d’entreprises, la sécurité de Contoso est de plus en plus menacée à mesure que sa main d’œuvre gagne en mobilité. Certains utilisateurs avec des ordinateurs portables ont été infectés par des logiciels malveillants sur le site d’un client ou à domicile, et ont introduit des ordinateurs infectés sur le réseau interne de Contoso.

Contoso a également œuvré pour s’assurer que ces ordinateurs distants sont maintenus à jour. Souvent, les utilisateurs travaillent à partir de sites clients pendant de longues périodes avant de revenir à un bureau Contoso. En pareil cas, les ordinateurs qu’ils utilisent ont souvent des mois de retard pour ce qui est des mises à jour de sécurité, ce qui augmente le risque général pour les autres ordinateurs sur le réseau de Contoso. Contoso a besoin d’une solution qui peut garantir que tous les ordinateurs connectés à son réseau, localement ou à distance, sont sécurisés et intègres.

Comment la protection NAP peut-elle aider Contoso à atteindre ses objectifs ? N’oubliez pas les piliers principaux de la protection NAP. Grâce à la validation des stratégies, la protection NAP peut vérifier l’intégrité de tous les ordinateurs connectés au réseau de Contoso. La validation des stratégies peut déterminer si un ordinateur possède les signatures d’antivirus appropriées et s’il est entièrement corrigé avec toutes les mises à jour de sécurité. Lorsque les routines de validation des stratégies de la protection NAP déterminent qu’un ordinateur n’est pas intègre, la protection NAP peut limiter la connectivité réseau pour les hôtes qui ne sont pas intègres. Cela permet de s’assurer qu’un ordinateur qui a été utilisé hors site et qui a été infecté par un logiciel malveillant ne peut pas propager le problème aux autres parties du réseau. La protection NAP limite la connectivité de l’ordinateur non intègre afin qu’il ne puisse accéder qu’aux ressources de correction définies par l’administrateur informatique de Contoso. Par exemple, l’ordinateur non intègre peut accéder au serveur WSUS de Contoso et au serveur qui héberge les signatures antivirus. Enfin, la protection NAP peut s’assurer qu’une fois que l’ordinateur redevient intègre, il le reste pour toujours. Dans cet exemple, si l’hôte non intègre a été utilisé par un télétravailleur sur un réseau VPN et que l’utilisateur a désactivé le pare-feu de l’hôte, la protection NAP corrige automatiquement le problème. Dès que le pare-feu a été désactivé, l’infrastructure de la protection NAP met l’ordinateur en quarantaine, réactive le pare-feu, réévalue l’intégrité de l’ordinateur et, après avoir déterminé qu’il est intègre, replace l’ordinateur sur le réseau sans restriction. Les quatre piliers de la protection NAP prennent directement en compte les besoins de sécurité clés pour l’environnement informatique dynamique et mobile de Contoso.

Conception de la protection NAP

Pour bon nombre de petites et moyennes entreprises, la mise en œuvre basée sur DHCP pour la protection NAP est l’option de mise en œuvre la plus rapide et la plus facile. Cela s’explique par le fait que la mise en œuvre basée sur DHCP ne nécessite pas de modifications du serveur et de services supplémentaires en dehors de DHCP et de NPS. Même si les options de mise en œuvre basées sur IPSec et 802.1X sont plus flexibles, elles impliquent également des modifications supplémentaires au niveau du réseau et des services à déployer. Pour les environnements moins complexes, l’utilisation de DHCP offre les principaux avantages de la protection NAP, avec un coût de mise en œuvre et avec un engagement opérationnel moins importants.

Dans l’environnement de Contoso, un ordinateur qui exécute Windows Server « Longhorn » est utilisé comme noyau du déploiement de la protection NAP. Comme la protection NAP nécessite un serveur NPS Windows Server « Longhorn », elle ne peut pas être déployée sur les versions précédentes de Windows Server. La mise en œuvre basée sur DHCP pour la protection NAP nécessite également un serveur DHCP Windows Server « Longhorn ». Pour consolider les services, Contoso peut déployer NPS et DHCP sur le même serveur ; ils coexistent sans problème. Ainsi, l’infrastructure de base du serveur NAP pour Contoso est relativement simple : un seul ordinateur avec Windows Server « Longhorn » exécute les composants de stratégie et de mise en œuvre.

Côté client, les ordinateurs de Contoso qui exécutent Windows Vista possèdent déjà les fonctions nécessaires à la prise en charge de la protection NAP. La seule modification nécessaire côté client pour les ordinateurs qui exécutent Windows Vista consiste à activer la fonctionnalité NAP, ce qui peut être effectué au travers de la stratégie de groupe. Pour les ordinateurs de Contoso qui exécutent Windows XP, un package client NAP doit être installé séparément. Sur les ordinateurs qui exécutent Windows XP, joints à un domaine, la fonctionnalité de Centre de sécurité Windows est désactivée par défaut. Si la stratégie de protection NAP utilise les informations d’état du Centre de sécurité pour évaluer l’intégrité informatique, le Centre de sécurité doit être exécuté pour que la protection NAP fonctionne de manière appropriée. Ainsi, pour les ordinateurs de Contoso qui exécutent Windows XP, les administrateurs ont activé le Centre de sécurité au travers de la stratégie de groupe. Au-delà de ces modifications, rien d’autre n’est nécessaire côté client pour prendre en charge la protection NAP.

Déploiement de la protection NAP pour Contoso

Une fois que Contoso a apporté les modifications nécessaires de stratégie de groupe, mentionnées précédemment, l’installation de Windows Server « Longhorn » est l’étape suivante du déploiement de la protection NAP. Toutes les versions de Windows Server « Longhorn » incluent les composants nécessaires de la protection NAP, pour que Contoso puisse utiliser l’édition la plus adaptée à ses besoins. Une fois que l’installation est terminée, l’administrateur informatique utilise l’outil Gestionnaire de serveur pour ajouter de nouveaux rôles sur l’ordinateur. Pour la mise en œuvre basée sur DHCP utilisée par Contoso, les rôles nécessaires sont Services d’accès réseau et Serveur DHCP. L’Assistant d’ajout de rôles permet à l’administrateur de gérer les dépendances et d’inclure des fonctionnalités supplémentaires, qui peuvent s’avérer utiles sur le serveur. Une fois que les rôles ont été ajoutés, Contoso peut commencer à configurer la protection NAP.

L’administrateur de Contoso utilise l’outil Gestionnaire de serveur pour accéder au composant logiciel enfichable de DHCP pour Microsoft Management Console (MMC) et ajoute une nouvelle étendue. La configuration du serveur DHCP Windows Server « Longhorn » va entraîner le remplacement de tous les services DHCP sur les segments IP dont il assure la maintenance. Une fois que l’étendue a été créée et remplie avec les options appropriées basées sur le réseau de Contoso, la protection NAP doit être activée. Cette opération est effectuée sur l’onglet Protection d’accès réseau des propriétés de l’étendue (voir la figure 2).

Figure 2** Activation de la protection NAP **(Cliquer sur l'image pour l'agrandir)

La protection NAP bascule les ordinateurs entre l’accès réseau restreint ou sans restriction dans la même étendue en utilisant une nouvelle option d’étendue de classe d’utilisateur NAP. Cette série spéciale d’options d’étendue (y compris les serveurs DNS, le suffixe DNS par défaut, etc.) est utilisée lorsque des baux sont fournis à des clients qui ne sont pas intègres. Par exemple, alors que les clients intègres reçoivent par défaut le suffixe DNS « contoso.com », les clients non intègres reçoivent le suffixe « restricted.contoso.com » comme indiqué à la figure 3. Une fois que les options d’étendue DHCP sont configurées, le serveur NPS peut être configuré et des règles peuvent être créées.

Figure 3** Accès restreint **(Cliquer sur l'image pour l'agrandir)

La stratégie de protection NAP comporte quatre composants principaux. Les validateurs d’intégrité du système (SHV) définissent les vérifications à exécuter pour évaluer l’intégrité d’un ordinateur. Les groupes de serveurs de correction contiennent la liste des systèmes auxquels les ordinateurs ne fonctionnant pas correctement peuvent accéder pour retrouver leur intégrité (WSUS, par exemple). Le composant Modèle de validateur d’intégrité du système permet de définir les états d’intégrité réels. Par exemple, Contoso peut indiquer qu’un ordinateur est « conforme » lorsqu’il franchit le validateur d’intégrité du système de Sécurité de Windows, et autorise le client à échouer à une autre vérification de validateur d’intégrité du système de son fournisseur d’antivirus. Enfin, ces composants sont combinés dans une série de stratégies réseau, qui contiennent la logique qui détermine ce qui se produit au niveau des ordinateurs en fonction de leur état d’intégrité.

Les validateurs d’intégrité du système sont des listes d’éléments que l’agent NAP vérifie. Puis il signale l’état au serveur NPS. Un déploiement par défaut de la protection NAP inclut les validateurs d’intégrité du système de Windows, qui sont liés au Centre de sécurité de Windows et permettent à la protection NAP de vérifier l’état de tous les composants de sécurité signalés par le biais du Centre de sécurité. Cela inclut le pare-feu, l’antivirus, la mise à jour automatique et les composants anti-logiciels espions.

Souvenez-vous que la protection NAP est conçue de manière à être extensible et permettre à des tiers de créer leurs propres validateurs d’intégrité du système pour fournir des vérifications plus détaillées des composants (pour plus d’informations, consultez microsoft.com/windowsserver2003/partners/nap­part­ners.mspx). Par exemple, les validateurs d’intégrité du système de Sécurité de Windows permettent à la protection NAP de vérifier si l’antivirus est activé et à jour. Cependant, le validateur d’intégrité du système de Sécurité de Windows ne peut pas exécuter de vérifications plus détaillées de l’application antivirus, comme la fréquence d’analyse de l’ordinateur ou d’autres options spécifiques à des applications. Le fournisseur d’antivirus, cependant, peut créer son propre validateur d’intégrité du système plus intégré à son application et proposer plus de vérifications spécifiques à des applications que le validateur d’intégrité du système Windows par défaut. Ce validateur d’intégrité du système fonctionne conjointement au validateur d’intégrité du système de Windows et les autres validateurs d’intégrité du système éventuels. Un déploiement de la protection NAP peut comporter de nombreux validateurs d’intégrité du système utilisés simultanément (voir la figure 4).

Figure 4** Validateur d’intégrité du système de Sécurité de Windows **

Les groupes de serveurs de correction sont utilisés pour spécifier les ressources auxquelles un ordinateur ne fonctionnant pas correctement peut accéder. Ces groupes incluent souvent des ressources comme des serveurs WSUS ou Systems Management Server (SMS), ainsi que des serveurs de mise à jour des antivirus. Il est essentiel d’inclure non seulement les serveurs proprement dits, mais également les serveurs de résolution de noms utilisés par les clients pour les rechercher. Comme les clients de Contoso sont configurés à l’aide de la stratégie de groupe pour utiliser le serveur wsus.contoso.com pour les mises à jour automatiques, le groupe de serveurs de correction doit inclure non seulement l’adresse IP du serveur WSUS, mais également celle du serveur DNS que les clients utilisent pour convertir le nom de domaine pleinement qualifié (FQDN) en adresse IP numérique. Sans accès à ces ressources de résolution de noms (qui peuvent être DNS et WINS, en fonction de la configuration des clients), les clients ne peuvent pas résoudre les adresses IP des ressources de correction et, de ce fait, ne peuvent pas y accéder. La figure 5 affiche les paramètres DNS et IP pour l’exemple.

Figure 5** Noms DNS et adresses IP **(Cliquer sur l'image pour l'agrandir)

Les modèles de validateur d’intégrité du système sont utilisés pour définir les éléments constitutifs d’un ordinateur intègre. Les modèles de validateur utilisent les résultats des vérifications des validateurs d’intégrité du système et indiquent si un ordinateur est intègre ou non, selon qu’il franchit ou échoue à une ou plusieurs de ces vérifications (voir la figure 6).

Figure 6** Vérifications de conformité **(Cliquer sur l'image pour l'agrandir)

Dans l’environnement de Contoso (comme pour un grand nombre de petites et moyennes entreprises), il n’y a que deux états définis. Un ordinateur intègre est un ordinateur qui franchit toutes les vérifications des validateurs d’intégrité du système. Un ordinateur non conforme est un ordinateur qui échoue à une ou plusieurs de ces vérifications. Les entreprises peuvent choisir de mettre en œuvre une logique plus complexe si nécessaire (par exemple, en créant des normes de conformité différentes pour les utilisateurs en fonction de leur rôle, de leur service, de leur emplacement, etc.), mais doivent garder à l’esprit que cela peut rendre les opérations d’identification et de dépannage plus difficiles et plus longues.

Tous ces composants sont réunis avec les stratégies réseau. Les stratégies réseau sont définies par les administrateurs et indiquent au serveur NPS de traiter les ordinateurs en fonction de leur état d’intégrité. Ces stratégies sont évaluées de haut en bas (selon l’affichage dans l’interface utilisateur du serveur NPS) et le traitement s’interrompt une fois qu’une règle de stratégie est respectée.

Là encore, la simplicité est l’objectif pour le réseau de Contoso, et donc seules quelques stratégies sont nécessaires. Tout d’abord, la stratégie Accès total conforme. Cette stratégie indique que les ordinateurs qui franchissent toutes les vérifications des validateurs d’intégrité du système bénéficient d’un accès illimité au réseau. En particulier, lorsque l’intégrité d’un ordinateur est évaluée et que toutes les vérifications sont réussies, le serveur NPS indique au serveur DHCP de proposer à l’ordinateur un bail IP avec les options d’étendue « normales ». Cette stratégie Accès total conformité doit normalement figurer en premier dans l’ordre de traitement, car la plupart des machines doivent être conformes lors de la vérification. Si cette stratégie est répertoriée en premier, la charge et le temps de traitement sur le serveur NPS sont réduits.

La stratégie suivante utilisée est Restriction pour non-conformité. Dans l’environnement de Contoso, tous les ordinateurs qui échouent à une ou plusieurs des vérifications des validateurs d’intégrité du système (correspondant ainsi au modèle de validation d’intégrité du système non conforme) correspondent à cette stratégie. Lorsque cette stratégie est respectée, le serveur NPS indique au serveur DHCP de proposer au client un bail IP avec les options d’étendue « restreintes » de la protection NAP. Cela permet aux ordinateurs non conformes d’accéder uniquement aux ressources définies dans le groupe de serveurs de correction de Contoso.

La troisième stratégie utilisée concerne la rétrocompatibilité. N’oubliez pas que, par défaut, la prise en charge de la protection NAP est disponible pour Windows XP et systèmes d’exploitation ultérieurs (même si les éditeurs de logiciels indépendants peuvent développer des clients NAP pour des versions anciennes de Windows ou d’autres systèmes d’exploitation). Si Contoso utilise toujours Windows 2000, il peut créer une règle (Accès total de niveau inférieur en l’occurrence) qui permet aux ordinateurs qui ne sont pas compatibles NAP de bénéficier d’un accès normal au réseau (compte tenu des options d’étendue par défaut par le serveur DHCP). Cette stratégie doit être évaluée en dernier et ne doit être créée et activée que lorsque des ordinateurs de niveau inférieur doivent accéder au réseau (voir la figure 7).

Figure 7** Paramètres d’accès pour les ordinateurs de niveau inférieur **(Cliquer sur l'image pour l'agrandir)

Que se passe-t-il si des ressources (imprimantes ou autre matériel) sur le réseau de Contoso ne sont pas (et ne seront pas) compatibles NAP ? Par ailleurs, que se passe-t-il si des ordinateurs de Contoso sont compatibles NAP, mais que Contoso souhaite les exempter des vérifications de stratégie, de façon permanente ou temporaire ? Le recours à une adresse MAC est un moyen facile de les exempter. Pour que ces ordinateurs puissent contourner les vérifications NAP, les administrateurs Contoso peuvent créer une stratégie (exempte par MAC), qui offre un accès réseau total. Cette stratégie utilise une instruction de condition, dans laquelle la propriété du client RADIUS « ID station d’appel » correspond à l’adresse MAC des périphériques qui doivent contourner une vérification NAP. Lorsqu’un ordinateur correspond à cette instruction de stratégie, le serveur NPS indique au serveur DHCP de proposer un bail avec des options d’étendue « normales ». Cette stratégie doit figurer en premier dans l’ordre d’évaluation pour réduire le temps de traitement et la charge généraux sur le serveur NPS. Les ordinateurs qui respectent cette stratégie n’ont pas besoin d’être évalués par des validateurs d’intégrité du système, donc il n’est pas utile de procurer des cycles à cet effet au serveur NPS pour les vérifier (voir la figure 8).

Figure 8** Écartement de certains ordinateurs **(Cliquer sur l'image pour l'agrandir)

Lorsque ces stratégies sont combinées, elles permettent de s’assurer que le serveur NPS de Contoso évalue rapidement et précisément les ordinateurs qui se connectent au réseau. Elles prévoient également des exemptions lorsque cela est nécessaire pour des ordinateurs de niveau inférieur et des cas dans lesquels les périphériques compatibles NAP ont besoin de contourner temporairement des vérifications.

Conclusion

La protection NAP englobe de nombreuses technologies et, en particulier, dans des scénarios plus complexes, nécessite une planification et des tests élaborés. Je me suis concentrée sur un scénario moins complexe, mais le site Web NAP inclut une aide plus détaillée pour les déploiements de toutes les tailles. Le site Web inclut également une aide pour la planification des technologies de mise en œuvre basée sur 802.1X et IPSec, qui constituent souvent une option plus appropriée que la mise en œuvre basée sur DHCP pour les entreprises.

La protection NAP met à disposition une plate-forme active et extensible pour évaluer l’intégrité des ordinateurs qui se connectent à un réseau. Pour les petites et moyennes entreprises, la mise en œuvre basée sur DHCP peut apporter de nombreux avantages avec des coûts de mise en œuvre et de gestion faibles. La protection NAP est un avantage clé de Windows Server « Longhorn ». Elle peut aider votre entreprise à améliorer la sécurité et la conformité.

Ressources de la protection NAP

• Protection d’accès réseau
• Configuration de la mise en œuvre du protocole DHCP pour la protection d’accès réseau dans un laboratoire de test
• Partenaires de la protection d’accès réseau
• Webcast du livre blanc « Introduction à la protection d’accès réseau »

John Morello a travaillé à différents postes chez Microsoft pendant six ans. En tant que consultant senior, il a conçu des solutions de sécurité pour des entreprises classées dans Fortune 100 ainsi que des clients civils et militaires du Gouvernement. Il est actuellement responsable senior de programme dans le groupe Windows Server qui se consacre aux technologies de sécurité et d’accès distant.

© 2008 Microsoft Corporation et CMP Media, LLC. Tous droits réservés. Toute reproduction, totale ou partielle, est interdite sans autorisation préalable.