Exporter (0) Imprimer
Développer tout

Protection d’accès réseau (NAP)

Mis à jour: janvier 2008

S'applique à: Windows Server 2008

La protection d’accès réseau (NAP) est un nouvel ensemble de composants de système d’exploitation inclus dans les systèmes d’exploitaiton Windows Server® 2008 et Windows Vista® qui constitue une plateforme permettant de s’assurer que des ordinateurs clients dans un réseau privé répondent aux exigences définies par l’administrateur en matière d’intégrité système. Les stratégies NAP définissent l’état de configuration et de mise à jour du système d’exploitation et des logiciels critiques d’un ordinateur client. Par exemple, les ordinateurs doivent peut-être disposer d’un logiciel antivirus installé avec les signatures les plus récentes, des mises à jour les plus récentes du système d’exploitation et d’un pare-feu activé au niveau de l’hôte. En garantissant la conformité avec les spécifications d’intégrité, la protection d’accès réseau permet aux administrateurs d’atténuer certains risques liés à des ordinateurs clients mal configurés susceptibles d’être exposés à des virus et d’autres logiciels malveillants.

Quel est le rôle de la protection d’accès réseau ?

La protection d’accès réseau (NAP) applique des spécifications d’intégrité en surveillant et en évaluant l’intégrité des ordinateurs clients lorsque ces derniers tentent de se connecter au réseau ou de communiquer avec lui. Si des ordinateurs clients sont évalués comme non conformes aux spécifications d’intégrité, ils peuvent être placés sur un réseau restreint doté de ressources pour contribuer à la mise à jour des systèmes clients et les rendre conformes aux stratégies de contrôle d’intégrité.

À qui cette fonctionnalité s’adresse-t-elle ?

La protection d’accès réseau (NAP) intéressera les administrateurs réseau et système désireux d’appliquer les spécifications d’intégrité système pour les ordinateurs clients qui se connectent aux réseaux dont ils ont la charge. Grâce à la technologie NAP, les administrateurs réseau peuvent effectuer les opérations suivantes :

  • Garantir l’intégrité des ordinateurs de bureau du réseau local (LAN) configurés pour DHCP ou connectés via des périphériques d’authentification 802.1X ou appliquer les stratégies de sécurité du protocole Internet (IPSec) de la technologie NAP aux communications de ces ordinateurs.

  • Respecter les spécifications d’intégrité pour les ordinateurs portables itinérants lorsqu’ils se reconnectent au réseau de l’entreprise.

  • Vérifier, en matière d’intégrité et de stratégie, la conformité des ordinateurs personnels non gérés qui se connectent au réseau de l’entreprise par le biais d’un serveur VPN exécutant le service Routage et accès à distance.

  • Déterminer l’intégrité et limiter l’accès des ordinateurs portables de personnes et de partenaires qui visitent une organisation.

Selon leurs besoins, les administrateurs peuvent configurer une solution pour traiter une partie ou l’ensemble de ces scénarios.

La technologie NAP comprend également des interfaces de programmation d’applications (API) conçues pour les développeurs et les éditeurs de logiciels pour leur permettre de créer leurs propres composants pour des raisons de validation de stratégie réseau, de conformité permanente et d’isolation du réseau.

Existe-t-il des considérations particulières ?

Les déploiements de la technologie NAP exigent des serveurs dotés de Windows Server 2008. De plus, les ordinateurs clients exécutant Windows Vista, Windows Server 2008 ou Windows XP avec Service Pack 3 (SP3) sont nécessaires. Le serveur central chargé de l’analyse de détermination de l’intégrité pour la technologie NAP est un ordinateur doté de Windows Server 2008 et d’un serveur NPS (Network Policy Server). NPS est l’implémentation Windows du serveur et proxy RADIUS (Remote Authentication Dial-In User Service). NPS remplace le service d’authentification Internet (IAS, Internet Authentication Service) dans le système d’exploitation Windows Server 2003. Les périphériques d’accès et les serveurs NAP assument la fonction de clients RADIUS pour un serveur RADIUS NPS. NPS effectue une tentative d’authentification et d’autorisation d’une connexion réseau, puis, en fonction des stratégies de contrôle d’intégrité système configurées, détermine la conformité de l’intégrité des ordinateurs et la manière de restreindre l’accès réseau d’un ordinateur non conforme.

Quelles sont les nouvelles fonctionnalités de cette fonction ?

La plateforme NAP est une nouvelle technologie de mise en œuvre et de validation d’intégrité du client incluse dans les systèmes d’exploitation Windows Server 2008 et Windows Vista.

noteRemarque
L’infrastructure NAP est différente du contrôle de quarantaine d’accès réseau qui est une fonctionnalité de Windows Server 2003 et d’Internet Security and Acceleration (ISA) Server 2004. Le contrôle de quarantaine d’accès réseau offre une protection supplémentaire pour les connexions d’accès à distance (accès réseau à distance et VPN). Pour plus d’informations sur le contrôle de quarantaine d’accès réseau dans Windows Server 2003, voir la rubrique qui y est consacrée (http://go.microsoft.com/fwlink/?LinkId=56447) (éventuellement en anglais). Pour plus d’informations sur cette fonctionnalité dans ISA Server 2004, voir la rubrique consacrée aux clients itinérants VPN et au contrôle de quarantaine dans ISA Server 2004 Enterprise Edition (http://go.microsoft.com/fwlink/?LinkId=56449) (éventuellement en anglais).

Pourquoi cette fonctionnalité est-elle importante ?

L’un des défis majeurs que doivent actuellement relever les entreprises est le risque croissant d’exposition des périphériques clients à des logiciels malveillants, tels que les virus et les vers. Ces programmes peuvent avoir accès à des systèmes hôtes non protégés ou mal configurés et peuvent exploiter ces systèmes en guise de point intermédiaire pour se propager à d’autres périphériques sur le réseau de l’entreprise. Les administrateurs réseau peuvent recourir à la technologie NAP pour protéger leur réseau en veillant à ce que leurs systèmes clients maintiennent des configurations système correctes, tout comme la recherche de mises à jour logicielles, pour mieux se protéger des logiciels malveillants.

Principaux processus de la technologie NAP

Plusieurs processus clés sont requis pour le fonctionnement en bonne et due forme de la technologie NAP : validation de stratégie, contrainte de mise en conformité NAP et restrictions réseau, mise à jour et suivi permanent de la conformité.

Validation de stratégie

Les programmes de validation d’intégrité système (SHV) sont utilisés par NPS pour analyser l’état d’intégrité des ordinateurs clients. Ils sont incorporés dans des stratégies réseau qui déterminent les actions à entreprendre en fonction de l’état d’intégrité du client, notamment l’octroi d’un accès réseau complet ou la restriction de l’accès réseau. L’état d’intégrité est contrôlé par des composants NAP côté client appelés « agents d’intégrité système » (SHA). La technologie NAP fait appel aux programmes de validation d’intégrité système et aux agents d’intégrité système pour surveiller, mettre en œuvre et mettre à jour les configurations des ordinateurs clients.

L’agent SHA (System Health Agent) de sécurité Windows et le programme de validation d’intégrité de la sécurité Windows sont intégrés aux systèmes d’exploitation Windows Server 2008 et Windows Vista et mettent en œuvre les paramètres suivants pour les ordinateurs compatibles avec la protection d’accès réseau (NAP) :

  • Un logiciel de pare-feu est installé et activé sur l’ordinateur client.

  • Un logiciel antivirus est installé et exécuté sur l’ordinateur client.

  • Les dernières mises à jour antivirus ont été installées sur l’ordinateur client.

  • Un logiciel anti-espion est installé et exécuté sur l’ordinateur client.

  • Les dernières mises à jour anti-espion ont été installées sur l’ordinateur client.

  • Microsoft® Update est activé sur l’ordinateur client.

En outre, si des ordinateurs clients compatibles NAP exécutent l’agent Windows Update et sont enregistrés auprès d’un serveur WSUS (Windows Server Update Service), NAP peut vérifier que les dernières mises à jour de sécurité sont installées en se basant sur une des quatre valeurs possibles qui correspondent aux niveaux de gravité définis en matière de sécurité par le centre MSRC (Microsoft Security Response Center).

Contrainte de mise en conformité NAP et restrictions réseau

Vous pouvez configurer la technologie NAP de sorte qu’elle refuse l’accès des ordinateurs clients non compatibles au réseau ou leur autorise un accès réseau restreint uniquement. Un réseau restreint doit contenir des services NAP clés, tels que les serveurs HRA (Health Registration Authority) et les serveurs de mise à jour, afin que les clients NAP non conformes puissent mettre à jour leurs configurations pour les rendre conformes aux spécifications d’intégrité.

Les paramètres de contrainte de mise en conformité NAP vous permettent soit de limiter l’accès réseau des clients non conformes, soit d’observer et de consigner simplement l’état d’intégrité des ordinateurs clients compatibles avec la protection d’accès réseau.

Vous pouvez choisir de restreindre l’accès, de retarder la restriction d’accès ou d’autoriser l’accès au moyen des paramètres suivants :

  • Autoriser un accès réseau complet. Il s’agit du paramètre par défaut. Les clients qui remplissent les conditions de stratégie requises sont jugés conformes aux spécifications d’intégrité du réseau ; un accès total au réseau leur est donc octroyé si la demande de connexion est authentifiée et autorisée. L’état de conformité au contrôle d’intégrité des ordinateurs clients compatibles NAP est consigné.

  • Autoriser un accès complet au réseau pour une durée limitée. Les clients qui remplissent les conditions de stratégie se voient provisoirement accorder un accès total. La contrainte de mise en conformité NAP est reportée à la date et à l’heure spécifiées.

  • Autoriser un accès limité. Les ordinateurs clients qui remplissent les conditions de stratégie sont jugés non conformes aux spécifications d’intégrité du réseau et sont placés sur le réseau restreint.

Mise à jour

Les ordinateurs clients non conformes qui sont placés dans un réseau restreint peuvent faire l’objet d’une mise à jour. La mise à jour désigne le processus qui consiste à mettre à jour un ordinateur client pour le rendre conforme aux spécifications d’intégrité actuelles. Par exemple, un réseau restreint peut contenir un serveur FTP (File Transfer Protocol) qui fournit les dernières signatures antivirus afin que les ordinateurs clients non conformes puissent mettre à jour leurs signatures obsolètes.

Vous pouvez utiliser des paramètres NAP dans des stratégies réseau NPS pour configurer la mise à jour automatique de telle sorte que les composants clients NAP tentent automatiquement de mettre à jour les ordinateurs clients non conformes aux spécifications d’intégrité du réseau. Vous pouvez utiliser le paramètre de stratégie réseau suivant pour configurer la mise à jour automatique :

  • Mise à jour automatique. Si vous activez la case à cocher Activer la mise à jour automatique des ordinateurs clients, la mise à jour automatique est activée et les ordinateurs compatibles NAP qui ne sont pas conformes aux spécifications d’intégrité font automatiquement l’objet d’une tentative de mise à jour.

Suivi permanent pour la garantie de la conformité

La technologie NAP peut mettre les ordinateurs clients déjà connectés au réseau en conformité avec la stratégie de contrôle d’intégrité. Cette fonctionnalité s’avère utile pour protéger un réseau de façon continue, dans la mesure où les stratégies de contrôle d’intégrité évoluent et où l’intégrité des ordinateurs clients change. Par exemple, si la stratégie de contrôle d’intégrité exige que le Pare-feu Windows soit activé mais qu’un utilisateur l’a désactivé par inadvertance, NAP peut déterminer que l’ordinateur client se trouve dans un état non conforme. NAP place ensuite l’ordinateur client sur le réseau restreint jusqu’à ce que le Pare-feu Windows soit réactivé.

Si la mise à jour automatique est activée, les composants clients NAP peuvent automatiquement activer le Pare-feu Windows sans aucune intervention de la part de l’utilisateur.

Méthodes de contrainte de mise en conformité NAP

En fonction de l’état d’intégrité d’un ordinateur client, la technologie NAP peut autoriser un accès complet au réseau, limiter l’accès à un réseau restreint ou refuser l’accès au réseau. Les ordinateurs clients jugés non conformes aux stratégies de contrôle d’intégrité peuvent être automatiquement mis à jour pour répondre à ces spécifications. La manière dont NAP est appliquée dépend de la méthode de contrainte de mise en conformité choisie. NAP applique des stratégies de contrôle d’intégrité dans les cas suivants :

  • Trafic protégé par IPSec

  • Contrôle d’accès réseau câblé et sans fil basé sur le port 802.1X

  • Réseaux privés virtuels (VPN) avec service Routage et accès à distance

  • Bail et renouvellement d’adresse IPv4 (Internet Protocol version 4) par DHCP (Dynamic Host Configuration Protocol)

  • Connexions à un serveur de passerelle TS (Terminal Services)

Les sections qui suivent décrivent ces méthodes de mise en application.

Contrainte de mise en conformité NAP pour les communications IPSec

Dans le cadre du trafic protégé par IPSec, la contrainte de mise en conformité NAP est déployée avec un serveur de certificats d’intégrité, un serveur HRA, un serveur NPS et un client de contrainte IPSec. Le serveur de certificats d’intégrité délivre des certificats X.509 aux clients NAP lorsqu’ils sont jugés conformes aux spécifications du réseau en matière d’intégrité. Ces certificats sont ensuite utilisés pour authentifier les clients NAP lorsqu’ils établissent des communications IPSec avec d’autres clients NAP sur un intranet.

La contrainte IPSec limite la communication sur votre réseau aux clients conformes et fournit la forme de contrainte de mise en conformité NAP la plus forte. L’utilisation d’IPSec avec cette méthode de contrainte vous permet de définir les spécifications requises en matière de communications sécurisées au niveau de l’adresse IP individuelle ou du numéro de port TCP/UDP.

Contrainte de mise en conformité NAP pour les connexions  802.1X

La contrainte de mise en conformité NAP pour le contrôle d’accès réseau basé sur le port 802.1X est déployée au moyen d’un serveur NPS et d’un composant client de contrainte de mise en conformité EAPHost. Dans le cas de la contrainte de mise en conformité basée sur le port 802.1X, un serveur NPS demande à un commutateur d’authentification 802.1X ou à un point d’accès sans fil 802.1X de placer les clients 802.1X non conformes sur un réseau restreint. Le serveur NPS limite l’accès réseau du client au réseau restreint en demandant au point d’accès d’appliquer des filtres IP ou un identificateur LAN virtuel à la connexion. La contrainte de mise en conformité 802.1X impose de sévères restrictions réseau à tous les ordinateurs accédant au réseau à travers des périphériques d’accès réseau compatibles 802.1X.

Contrainte de mise en conformité NAP pour les connexions VPN

La contrainte de mise en conformité NAP pour VPN est déployée avec un composant serveur de contrainte VPN et un composant client de contrainte VPN. Grâce à la contrainte de mise en conformité NAP pour les connexions VPN, les serveurs VPN peuvent appliquer une stratégie de contrôle d’intégrité lorsque des ordinateurs clients tentent de se connecter au réseau via une connexion VPN. La contrainte VPN fournit un accès réseau limité important pour tous les ordinateurs qui accèdent au réseau par le biais d’une connexion VPN d’accès à distance.

Contrainte de mise en conformité NAP pour DHCP

La contrainte de mise en conformité par DHCP est déployée au moyen d’un composant serveur de contrainte de mise en conformité NAP pour DHCP, d’un composant client de contrainte de mise en conformité par DHCP et de NPS. À l’aide de la contrainte de mise en conformité par DHCP, les serveurs DHCP et NPS peuvent appliquer une stratégie de contrôle d’intégrité lorsqu’un ordinateur tente de louer ou de renouveler une adresse IPv4. Le serveur NPS limite l’accès réseau du client au réseau restreint en demandant au serveur DHCP d’attribuer une configuration d’adresse IP limitée. Toutefois, si les ordinateurs clients sont configurés avec une adresse IP statique ou dans le but de contourner la configuration d’adresse IP limitée, la contrainte de mise en conformité par DHCP n’a aucun effet.

Contrainte de mise en conformité NAP pour la passerelle TS

La contrainte de mise en conformité NAP pour la passerelle TS (Terminal Services) est déployée au moyen d’un composant serveur et d’un composant client de contrainte de mise en conformité de passerelle TS. En faisant appel à la contrainte de mise en conformité NAP pour la passerelle TS, le serveur de passerelle TS peut mettre en œuvre la stratégie de contrôle d’intégrité sur des ordinateurs clients qui tentent de se connecter à des ressources internes de l’entreprise via ce même serveur. La contrainte de mise en conformité de passerelle TS offre un accès très limité pour tous les ordinateurs qui accèdent au réseau via un serveur de passerelle TS.

Approches combinées

Chacune de ces méthodes de contrainte de mise en conformité NAP offre des avantages différents. En associant ces méthodes, vous pouvez bénéficier des avantages combinés de ces diverses méthodes. Toutefois, le déploiement de plusieurs méthodes de contrainte de mise en conformité NAP risque de compliquer davantage la gestion de votre implémentation NAP.

L’infrastructure NAP propose également une série d’API à l’aide desquelles des sociétés autres que Microsoft peuvent intégrer leurs logiciels dans la plateforme NAP. Grâce à ces API NAP, les développeurs et les éditeurs de logiciels peuvent proposer des solutions de bout en bout qui valident l’intégrité et mettent à jour les clients non conformes.

Comment préparer le déploiement de cette fonctionnalité ?

Les préparatifs nécessaires au déploiement de la technologie NAP dépendent de la méthode de contrainte de mise en conformité NAP que vous choisissez et des spécifications d’intégrité que vous souhaitez imposer lorsque des ordinateurs clients se connectent à votre réseau ou communiquent dessus.

Si vous êtes administrateur système ou réseau, vous pouvez déployer la protection d’accès réseau (NAP) au moyen de l’agent SHA (System Health Agent) de sécurité Windows et du programme de validation d’intégrité de la sécurité Windows. Vous pouvez aussi contacter d’autres éditeurs de logiciels afin de déterminer si leurs produits contiennent des agents d’intégrité système et des programmes de validation d’intégrité système. Par exemple, si un éditeur de logiciels antivirus souhaite développer une solution NAP qui intègre un agent d’intégrité système et un programme de validation d’intégrité personnalisés, il peut créer ces composants à l’aide de la série d’API. Ces mêmes composants peuvent ensuite être intégrés aux solutions NAP déployées par les clients de l’éditeur.

Outre les agents d’intégrité système et les programmes de validation d’intégrité système, la plateforme NAP fait appel à plusieurs composants côté serveur et client pour détecter et contrôler l’état d’intégrité système des ordinateurs clients lorsque ces derniers tentent de se connecter au réseau ou de communiquer dessus. Certains composants courants employés pour le déploiement de la protection d’accès réseau (NAP) sont illustrés dans la figure suivante :

Architecture NAP (Network Access Protection)

Composants clients NAP

Un client compatible NAP est un ordinateur sur lequel les composants NAP ont été installés et qui peut vérifier son état d’intégrité en envoyant des déclarations d’intégrité au serveur NPS. Les composants suivants sont des composants clients NAP courants.

Agent d’intégrité système (SHA). Contrôle et signale l’état d’intégrité de l’ordinateur client afin que le serveur NPS puisse déterminer si les paramètres contrôlés par l’agent SHA sont à jour et configurés correctement. Par exemple, l’Agent d’intégrité système Windows (WSHA, Windows Security Health Agent) peut contrôler le Pare-feu Windows, si un antivirus et un logiciel anti-espion sont installés, activés et tenus à jour, si les services Microsoft Update sont activés et si l’ordinateur dispose des dernières mises à jour de sécurité. D’autres agents SHA peuvent être disponibles auprès d’autres sociétés offrant des fonctionnalités supplémentaires.

Agent NAP. Collecte et gère des informations d’intégrité. L’agent NAP traite aussi les déclarations d’intégrité issues des agents d’intégrité système installés et indique l’intégrité du client aux clients de contrainte installés. Pour indiquer l’état d’intégrité global d’un client NAP, l’agent NAP utilise une déclaration d’intégrité système.

Client de contrainte de mise en conformité NAP. Pour utiliser la protection d’accès réseau (NAP), vous devez installer et activer au moins un client de contrainte de mise en conformité NAP sur les ordinateurs clients. Les clients de contrainte NAP individuels concernent spécifiquement les méthodes de contrainte de mise en conformité, comme décrit ci-avant. Les clients de contrainte NAP sont intégrés aux technologies d’accès réseau, telles que IPSec, le contrôle d’accès réseau câblé et sans fil basé sur le port 802.1X, les réseaux privés virtuels (VPN) avec service Routage et accès à distance, DHCP et la passerelle TS (Terminal Services). Le client de contrainte NAP sollicite l’accès à un réseau, communique l’état d’intégrité d’un ordinateur client au serveur NPS et informe d’autres composants de l’architecture de client NAP si l’ordinateur client dispose d’un accès réseau restreint.

Déclaration d’intégrité. Déclaration émanant d’un agent d’intégrité système qui décrit son état d’intégrité. Les agents d’intégrité système créent des déclarations d’intégrité et les transmettent à l’agent NAP.

Composants serveur NAP

Les composants suivants sont des composants serveur NAP courants.

Serveur de stratégie de contrôle d’intégrité NAP. Serveur exécutant NPS et assumant le rôle de serveur d’évaluation d’intégrité NAP. Le serveur de stratégie de contrôle d’intégrité NAP dispose de stratégies de contrôle d’intégrité qui définissent les spécifications d’intégrité, ainsi que les paramètres de mise en application des ordinateurs clients qui nécessitent un accès réseau. Le serveur de stratégie de contrôle d’intégrité NAP utilise NPS pour traiter des messages de demande d’accès (Access-Request) RADIUS contenant la déclaration d’intégrité système envoyée par le client de contrainte NAP, puis les transmet au serveur d’administration NAP à des fins d’évaluation.

Serveur d’administration NAP. Fournit une fonction de traitement semblable à l’agent NAP du côté client. Cette fonction est chargée de collecter les déclarations d’intégrité (SoH) des points de contrainte de mise en conformité NAP, de distribuer les déclarations d’intégrité aux programmes de validation d’intégrité système appropriés, puis de collecter les réponses SoH-R dans les programmes de validation d’intégrité système et de les transmettre au service NPS pour évaluation.

Programmes de validation d’intégrité système. Logiciels qui, sur le serveur, constituent le pendant des agents d’intégrité système du client. Chaque agent d’intégrité système sur le client dispose d’un programme de validation d’intégrité système correspondant dans NPS. Les programmes de validation d’intégrité système vérifient la déclaration d’intégrité qui émane de l’agent d’intégrité système correspondant sur l’ordinateur client. Les agents d’intégrité système et les programmes de validation d’intégrité sont associés entre eux avec un serveur de spécifications d’intégrité correspondant (le cas échéant), voire un serveur de mise à jour. Le programme de validation d’intégrité système peut également détecter qu’aucune déclaration d’intégrité n’a été reçue (par exemple, si l’agent d’intégrité système n’a jamais été installé ou a été endommagé ou supprimé). Que la déclaration d’intégrité corresponde ou non à la stratégie définie, le programme de validation d’intégrité système envoie un message de réponse SoH-R (Statement of Health Response) au serveur d’administration NAP. Un réseau peut utiliser plusieurs types de programmes de validation d’intégrité système. En pareil cas, le serveur exécutant NPS doit coordonner les sorties de tous les programmes de validation d’intégrité système et déterminer s’il faut limiter l’accès d’un ordinateur non conforme. Si votre déploiement utilise plusieurs programmes de validation d’intégrité système, vous devez comprendre comment ils interagissent et planifier rigoureusement la configuration des stratégies de contrôle d’intégrité.

Serveur de contrainte de mise en conformité NAP. Serveur correspondant à un client de contrainte NAP pour la méthode de contrainte de mise en conformité employée. Le serveur de contrainte de mise en conformité NAP reçoit la liste des déclarations d’intégrité du client de contrainte et les transmet au service NPS à des fins d’évaluation. En fonction de la réponse donnée, il fournit un accès réseau limité ou total à un client compatible NAP. Selon le type de contrainte de mise en conformité NAP, le serveur de contrainte de mise en conformité NAP peut être le composant d’un point de contrainte de mise en conformité NAP.

Point de contrainte de mise en conformité NAP. Serveur ou périphérique d’accès réseau qui utilise la protection d’accès réseau (NAP) ou peut être utilisé avec elle pour solliciter l’évaluation de l’état d’intégrité d’un client NAP et fournir un accès ou une communication réseau restreinte. Un point de contrainte de mise en conformité NAP peut être une autorité HRA (contrainte IPSec), un commutateur d’authentification ou un point d’accès sans fil (contrainte de mise en conformité 802.1x), un serveur exécutant le service Routage et accès à distance (contrainte VPN), un serveur DHCP (contrainte DHCP) ou un serveur de passerelle TS (contrainte de mise en conformité de passerelle TS).

Serveur de spécifications d’intégrité. Composant logiciel qui communique avec un programme de validation d’intégrité système pour fournir des informations utilisées pour l’évaluation des spécifications d’intégrité système. Par exemple, un serveur de spécifications d’intégrité peut être un serveur de signatures antivirus qui précise la version du fichier de signature actuel pour la validation d’une déclaration d’intégrité d’antivirus d’un client. Les serveurs de spécifications d’intégrité sont associés à des programmes de validation d’intégrité système mais tous les programmes de validation d’intégrité système n’ont pas besoin d’un serveur de spécifications d’intégrité. Par exemple, un programme de validation d’intégrité système peut simplement demander à des clients compatibles NAP de vérifier les paramètres système locaux pour s’assurer qu’un pare-feu est activé au niveau de l’hôte.

Serveur de mise à jour. Héberge les mises à jour que les agents d’intégrité système (SHA) peuvent utiliser pour mettre en conformité des clients non conformes. Par exemple, un serveur de mise à jour peut héberger des mises à jour logicielles. Si la stratégie de contrôle d’intégrité exige que les dernières mises à jour logicielles soient installées sur les ordinateurs clients NAP, le client de contrainte NAP limitera l’accès réseau aux clients non munis de ces mises à jour. Les serveurs de mise à jour doivent être accessibles aux clients avec un accès réseau restreint pour permettre aux clients de se procurer les mises à jour requises pour la conformité aux stratégies de contrôle d’intégrité.

Réponse SoH-R. Contient les résultats de l’évaluation du programme de validation d’intégrité système des déclarations d’intégrité des clients. La réponse SoH-R inverse le chemin de la déclaration d’intégrité et est renvoyée à l’agent d’intégrité système de l’ordinateur client. Si l’ordinateur client est jugé non conforme, la réponse SoH-R contient des instructions de mise à jour que l’agent d’intégrité système utilise pour rendre la configuration de l’ordinateur client conforme aux spécifications d’intégrité.

De la même manière que chaque type de déclaration d’intégrité contient des informations sur l’état d’intégrité du système, chaque message SoH-R fournit des informations sur la conformité aux spécifications d’intégrité.

Références supplémentaires

Pour plus d’informations sur la technologie NAP, voir Protection d’accès réseau http://go.microsoft.com/fwlink/?LinkId=89569 (éventuellement en anglais).

Pour plus d’informations sur d’autres fonctionnalités des services de stratégie et d’accès réseau, voir la rubrique Rôle Services de stratégie et d’accès réseau.

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft