.clearboth { clear:both; } .SidebarContainerA { width: 380px; height: 470px; float: right; border: 1px solid #323e58; padding: 10px 20px 0px 20px; background-color: #e1e8f5; margin: 20px 0px 20px 10px; } Ce document NAP sur Internet

Joseph Davies

Contenu

Présentation de mise en œuvre IPsec
NAP sur Internet
NAP sur Internet, exemple
Résumé

Protection d'accès réseau (NAP) sur Internet est l'évolution naturelle d'application de sécurité du protocole Internet (IPsec) qui étend la vérification du fonctionnement et de correction en cours du fonctionnement du système des ordinateurs gérés sont itinérants sur Internet. NAP sur Internet permet à un modèle de sécurité ordinateur hôte plus puissant pour les ordinateurs liés à un domaine connecté à Internet à partir de n'importe où, à tout moment. Par exemple, un ordinateur portable se connecter à un réseau Wi-Fi à un café peut utiliser NAP sur Internet pour évaluer et de corriger son état du système sans connaissances ou intervention de l'utilisateur.

Avant d'aborder les détails, examinons les notions de base et les détails de déploiement de mise en œuvre NAP et IPsec.

Présentation de mise en œuvre IPsec

Mise en œuvre IPsec est une extension du scénario d'isolation du domaine qui incorpore une évaluation d'intégrité NAP cadre de l'authentification homologue IPsec. Dans le scénario d'isolation de domaine, vous configurer les membres du domaine avec paramètres de stratégie IPsec pour exiger que toutes les connexions entrantes être authentifiées et protégées (cryptage du trafic est facultative). Les homologues IPSec peuvent utiliser Kerberos ou certificats numériques pour l'authentification. Membres du domaine ont automatiquement les informations d'identification Kerberos et certificats peuvent être déployés automatiquement aux membres du domaine avec une autorité de certification basée sur Windows (CA) et stratégie de groupe.

Pour IPsec mise en œuvre de NAP, les informations d'identification pour l'authentification homologue IPsec sont un certificat d'intégrité contenant le système état authentification renforcée clé utilisation (EKU). Stratégie IPsec pour la mise en œuvre IPsec nécessite que toutes les tentatives de connexion entrante utilise un certificat d'intégrité pour l'authentification. Cela garantit que l'homologue lancement de la communication n'est pas uniquement un membre de domaine, mais est également conforme aux exigences d'intégrité du système. En mode de mise en œuvre complète, si un client NAP n'a pas d'un certificat d'intégrité, l'authentification d'homologue IPsec échoue et que le client NAP non conforme ne peut pas établir des communications avec un homologue IPsec compatible.

Lorsqu'un client NAP configuré pour la mise en œuvre IPsec démarre, il contacte HRA (Health Registration autorité). Un HRA est un ordinateur exécutant Windows Server 2008, Internet Information Services (IIS) et le service de rôle HRA de la stratégie de réseau et de rôle Services d'accès. L'autorité HRA Obtient un certificat X.509 à partir d'une autorité de certification pour le nom d'un client NAP lorsque le serveur de stratégie contrôle d'intégrité NAP a déterminé que le client est compatible.

Pour obtenir les certificats d'intégrité de clients NAP conformes, vous devez configurer votre HRAs avec les emplacements des autorités de certification NAP sur votre intranet. Pour les clients NAP localiser les HRAs sur votre intranet, vous pouvez soit configurer les avec un groupe de serveurs approuvés, une liste d'URL pour HRAs sur votre intranet, ou découverte HRA (voir l'encadré «Découverte HRA et HRAs faisant face à Internet»).

Au démarrage de clients NAP, ils localiser un HRA sur l'intranet, soumettre leur état et, si conforme, obtenir un certificat d'état. Lorsque les clients NAP établir des communications aux autres points de terminaison intranet, elles tentent de négocier la protection IPsec pour le trafic utilisant des informations d'identification certificat de l'état. Si la négociation IPsec échoue, le client NAP se connecte sans protection IPsec. Si état de santé ou réseau d'un client NAP conformes change, il effectue une vérification système supplémentaire avec un HRA et si conforme, il obtienne un nouveau certificat. Si des conditions de fonctionnement système qui doivent être corrigées, le client NAP devrez les corriger avant d'obtenir un certificat d'intégrité.

Découverte HRA et HRAs faisant face à Internet

Un client NAP peut également utiliser HRA découverte pour découvrir automatiquement HRAs sur un réseau. Plutôt que de configurer une liste d'URL dans un groupe de serveurs approuvés, un client NAP qui a découverte HRA activé tente de trouver un HRA en envoyant une requête DNS pour les enregistrements SRV pour _hra._tcp.site_name._sites.domain_name. Par exemple, si un client NAP primaire de domaine est contoso.com et le client utilise le site Active Directory par défaut et a HRA découverte activée, il interroge pour les enregistrements SRV _hra._tcp.default-premier-site-name._sites.contoso.com. L'enregistrement SRV pour HRAs contient le nom de domaine complet (FQDN) de l'autorité HRA. Les enregistrements DNS SRV pour HRAs doivent être configurés manuellement dans les zones appropriées.

Pour NAP sur Internet, vous configurez intranet que HRA SRV enregistrements pour le FQDN de votre intranet HRAs et Internet HRA les enregistrements SRV pour le FQDN de votre HRAs faisant face à Internet. Le client NAP demande les mêmes nom et le type d'enregistrement, mais obtient complets différents selon l'emplacement.

Pour activer Découverte HRA pour les clients NAP qui reçoivent la configuration du NAP à l'aide de la stratégie de groupe, affectez la valeur de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\ NetworkAccessProtection\ClientConfig\Enroll\HcsGroups\ EnableDiscovery (type DWORD) 1.

Pour plus d'informations, consultez» Configuration de HRA découverte automatique ."

NAP sur Internet

Lorsqu'un ordinateur client NAP configuré pour la mise en œuvre IPsec quitte l'intranet et se connecte à Internet, le client NAP tente toujours de localiser un HRA. Car l'ordinateur itinérant sur Internet peut plus contacter un intranet HRA et effectuer la validation d'état système, il peut ne plus déterminer s'il est compatible avec les stratégies d'intégrité système et comment corriger son état du système. Au fil du temps, un client NAP qui suivent l'Internet peut retrouver avec système d'exploitation absent ou mises à jour de l'application ou l'utilisateur, en fonction de son niveau de privilège, peut effectuer des modifications de configuration mettre l'ordinateur exposés, tels que la désactivation du pare-feu ordinateur hôte.

Lorsque l'ordinateur non conforme est retournée à l'intranet, il doit tout d'abord corriger son état du système avant d'obtenir un certificat d'intégrité et commencer à communiquer. Lors de l'ordinateur non conforme est en cours résolue, il existe un risque qui il peut infecter d'autres ordinateurs intranet qui ne sont pas protégées par IPsec.

En plaçant HRAs sur Internet et configuration des clients NAP pour les localiser, clients NAP sur Internet peuvent vérifier leur intégrité en permanence comme s'ils étaient connectés à l'intranet. Bien que le certificat d'intégrité n'est pas utilisé pour authentifier les homologues IPsec, le client NAP est toujours validation son état d'intégrité. Si autoremediation est activée, le client NAP tente automatiquement corriger son état de santé à atténuer les risques à l'ordinateur sur Internet. Autoremediation conserve l'ordinateur conforme aux exigences de fonctionnement de système de votre organisation sans nécessiter l'intervention de l'utilisateur. Un ordinateur portable est déjà conforme renvoi considérablement à partir d'Internet réduit le risque d'infection aux ressources intranet.

La résolution de problèmes d'intégrité du système est limitée à la fonctionnalité d'agents d'intégrité système (SHA) et peut nécessiter que vous déployez correction des serveurs sur Internet.

Notez que par défaut, les clients NAP essaient l'authentification Kerberos lors de la connexion aux HRAs faisant face à Internet. Un contrôleur de domaine n'est pas disponible sur Internet, cette authentification échouera. Par conséquent, vous devez exécuter la commande suivante sur les HRAs faisant face à Internet afin que les clients NAP utilisent l'authentification NTLM :

%windir%\system32\inetsrv\appcmd.exe set config -section:
system.webServer/security/authentication/windowsAuthentication
 /-providers.[value='Negotiate']

Vous pouvez utiliser les informations enregistrées par vos serveurs de stratégie de contrôle d'intégrité NAP pour déterminer la conformité de santé global des clients NAP itinérants sur Internet.

Si votre HRAs faisant face à Internet sont séparés à partir de votre intranet HRAs, vous pouvez configurer un ensemble distinct de stratégies d'exigence d'intégrité de vos clients NAP connecté à Internet. Par exemple, vous pouvez configurer des jeux de stratégies de réseau distincts en spécifiant l'adresse IP de l'HRAs comme une condition. Les stratégies d'exigence intranet santé utiliser toutes vos SHA, telles que l'agent d'état Windows sécurité (WSHA), le SHA Forefront et System Center Configuration Manager (SCCM) SHA. Internet défini de santé impératif stratégies utiliser uniquement le WSHA.

NAP sur Internet, exemple

La figure 1 illustre une illustration simplifiée du comment la société Contoso a déployé NAP sur Internet.

Figure 1 déploiement NAP sur Internet

Dans cet exemple, les HRAs faisant face à Internet sont connectés physiquement à Internet et l'intranet afin qu'ils atteignent les autorités de certification NAP et le fonctionnement NAP serveurs de stratégie. Pour protéger les HRAs faisant face à Internet, paramètres du pare-feu autorisent le trafic vers et depuis HRAs faisant face à Internet, de seul TCP 443 correspondant à SSL sur le trafic HTTP.

Supposons que les HRAs intranet ont les noms hra1.corp.contoso.com et hra2.corp.contoso.com. Les HRAs Internet disposent noms int_hra1.contoso.com int_hra2.contoso.com. Bien entendu, les serveurs intranet DNS Impossible de résoudre la int_hra1.contoso.com noms et int_hra2.contoso.com et serveurs DNS orientés Internet ne peut pas résoudre les noms hra1.corp.contoso.com et hra2.corp.contoso.com.

Avec cette configuration, l'administrateur réseau de Contoso configure un groupe de serveurs approuvés avec la liste suivante d'URL :

• https://hra1.corp.contoso.com/domainhra/hcsrvext.dll
• https://hra2.corp.contoso.com/domainhra/hcsrvext.dll
• https://int_hra1.contoso.com/domainhra/hcsrvext.dll
• https://int_hra2.contoso.com/domainhra/hcsrvext.dll

Clients NAP d'abord essaient les HRAs intranet, puis les HRAs faisant face à Internet.

Un client NAP sur l'intranet va se connecter à HRA1 ou HRA2. Un client NAP sur Internet tentera tout d'abord de résoudre les noms hra1.corp.contoso.com et hra2.corp.contoso.com. Ces deux résolution de noms tente rapidement entraînent une erreur DNS introuvable. Le client NAP puis correctement résout int_hra1.contoso.com ou int_hra2.contoso.com et connecte à INT_HRA1 ou INT_HRA2.

Résumé

Une fois le scénario de mise en œuvre IPsec déployé sur votre intranet, extension validation de la conformité du fonctionnement et de correction pour les clients NAP connecté à Internet est relativement simple, nécessitant des serveurs supplémentaires pour le HRAs faisant face à Internet (ou des rôles supplémentaires pour les serveurs faisant face à Internet existantes). En outre, selon la façon dont vos clients NAP localiser HRAs, vous devrez peut-être publier les enregistrements DNS Internet pour les HRAs faisant face à Internet et mettre à jour vos groupes de serveurs approuvés. Vous pouvez également créer un jeu supplémentaire de l'état du stratégies d'exigence pour spécifier les contrôles d'intégrité système et le comportement autoremediation pour les clients NAP connecté à Internet.

Joseph Davies est rédacteur technique principal sur le réseau Windows écriture chez Microsoft. Il est auteur ou co-auteur d'un nombre de livres publiés par Microsoft Press, y compris Windows Server 2008 Networking and Network Access Protection (NAP), Understanding IPv6, Second Edition et Windows Server 2008 TCP/IP Protocols and Services.