Capacité d'optimisation d'infrastructure : sécurité et mise réseau - du niveau rationalisé au niveau dynamique
Sur cette page
.gif "Présentation"){kind=icon}
Présentation
Exigence : gestion et atténuation intégrées des menaces sur l'ensemble des clients et la périphérie du serveur
Exigence : surveillance selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs
Exigence : solution de quarantaine pour les ordinateurs infectés ou sans correctif
Présentation
La sécurité et mise en réseau est la troisième capacité associée à l'optimisation d'infrastructure. Le tableau suivant indique les principaux enjeux, les solutions applicables et les avantages du passage au niveau dynamique pour la sécurité et la mise en réseau.
Enjeux |
Solutions |
Avantages |
|---|---|---|
Enjeux métier Stratégies d'entreprise de sécurité de pare-feu inexistantes pour les ordinateurs de bureau et les serveurs Stratégies d'entreprise de sécurité extranet inexistantes Enjeux informatiques La gestion des événements des serveurs est réactive, mais une vision globale de l'entreprise est requise Aucune surveillance des événements de sécurité en temps réel pour les ordinateurs de bureau et serveurs |
Projets Implémenter des solutions de gestion et d'atténuation intégrées des menaces sur l'ensemble des clients et la périphérie du serveur Déployer une surveillance selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs Implémenter une solution de quarantaine pour les ordinateurs infectés ou sans correctif |
Avantages métier Obtenir une sécurité proactive avec des stratégies explicites et un contrôle des ordinateurs de bureau, en passant par le pare-feu et l'extranet Respecter la conformité réglementaire Accroître la productivité des utilisateurs grâce à un environnement stable et sûr Répondre aux problèmes de sécurité rapidement et proactivement Mettre en miroir la représentation métier à travers la stratégie de sécurité Bénéfices informatiques Surveillance poussée et génération de rapports visant l'infrastructure serveur, avec capacités similaires pour les ordinateurs de bureau Contrôle et visibilité à moindre coût sur chaque PC pour aider l'équipe informatique à résoudre les problèmes proactivement avant qu'ils n'affectent les utilisateurs |
Le niveau dynamique du modèle d'optimisation d'infrastructure répond aux principales exigences des composants de sécurité et de mise en réseau, notamment :
Gestion et atténuation intégrées des menaces sur l'ensemble des clients et la périphérie du serveur
Analyse selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs
Solution de quarantaine pour les ordinateurs infectés ou sans correctif
Exigence : gestion et atténuation intégrées des menaces sur l'ensemble des clients et la périphérie du serveur
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas de la gestion et de l'atténuation intégrées des menaces sur l'ensemble des clients et la périphérie du serveur.
Vue d'ensemble
Les entreprises sont exposées à des attaques de plus en plus ciblées et sophistiquées sur leurs réseaux. La protection des ressources réseau et la mise à disposition d'un accès sans interruption pour les activités légitimes requièrent une solution de passerelle de périmètre multifonctionnelle et sophistiquée. Pour satisfaire la condition requise du modèle d'optimisation d'infrastructure en matière d'accès distant sécurisé, la protection des environnements informatiques contre les menaces Internet devient une nécessité.
Phase 1 : analyse
La phase d'analyse doit déterminer les besoins de sécurité appropriés pour les serveurs et les clients de votre entreprise et identifier les processus en place. Les exigences de sécurité peuvent varier considérablement d'une entreprise ou institution à l'autre en fonction, par exemple, de la taille de l'organisation, du secteur d'activité ou des lois ou réglementations locales en vigueur. En établissant une liste formelle des risques et des besoins de votre entreprise, vous pourrez évaluer les technologies de sécurité et les avantages éventuels qu'elles peuvent apporter à votre entreprise en termes d'efficacité.
Phase 2 : identification
Au cours de la phase d'identification, vous examinerez les procédures et technologies d'accès distant et de sécurité en place dans votre entreprise et déterminerez les exigences de sécurité pour celle-ci. Lors de cette phase, vous regrouperez les stratégies de sécurité appliquées ou en cours d'application, en plus des composants technologiques déjà utilisés ou à votre disposition. Vous regrouperez également les éventuelles exigences externes en fonction des lois ou réglementations en vigueur dans votre pays ou secteur d'activité. Nous vous recommandons de réfléchir simultanément aux modèles de menaces sur les clients et les serveurs et aux technologies correspondantes lors de la planification d'une solution de mise en quarantaine pour les ordinateurs infectés ou sans correctif requise pour le niveau dynamique.
Phase 3 : évaluation et planification
L'objectif de votre entreprise durant la phase d'évaluation et de planification doit être de déterminer une stratégie pour la sécurité de périmètre et d'évaluer les technologies disponibles pour limiter les menaces Internet. Lors de l'évaluation de vos technologies, vous devez prendre en compte l'optimisation de la sécurité pour l'accès aux ressources de fichiers et aux filiales de votre entreprise, ainsi que le type d'accès à vos applications Web et métier. Votre entreprise peut utiliser des outils assurant une meilleure sécurité de réseau privé virtuel (VPN) et des pare-feux pour les applications Web et les ressources réseau, mais aussi un contrôle d'accès plus strict et une autorisation renforcée pour les ressources réseau et les applications métier.
Internet Security and Acceleration (ISA) Server 2006
Microsoft Internet Security and Acceleration (ISA) Server 2006 est une passerelle de sécurité qui aide à protéger vos applications et ressources des menaces Internet. ISA Server peut aider votre entreprise à sécuriser l'accès aux applications et aux données. Il contribue également à sécuriser l'infrastructure des applications en protégeant les applications, les services et les données métier à travers toutes les couches du réseau par le biais de l'inspection dynamique de paquets, du filtrage de la couche application et d'outils de publication complets. En utilisant ISA Server, vous pouvez rationaliser votre réseau via une architecture unifiée de réseau privé virtuel (VPN) et pare-feu. ISA Server vous aide à protéger votre environnement informatique et à limiter les risques et les coûts de sécurité, tout en travaillant à effacer les effets que les logiciels et attaquants malveillants peuvent avoir sur votre entreprise.
Intelligent Application Gateway (IAG) 2007
Microsoft Intelligent Application Gateway (IAG) 2007 avec Optimiseurs d'applications fournit un réseau privé virtuel (VPN) SSL (Secure Socket Layer), un pare-feu d'application Web et la gestion de sécurité de point de terminaison pour permettre le contrôle des accès, l'autorisation et l'inspection de contenu pour une vaste gamme d'applications métier. Ensemble, ces technologies offrent aux employés itinérants et distants un accès sécurisé, simple d'emploi et souple, à partir d'une grande variété d'équipements et de sites, notamment les bornes, les ordinateurs de bureau et les appareils mobiles. Par ailleurs, avec IAG, les administrateurs mettent en application la réglementation relative à l'utilisation des applications et des informations par le biais d'une stratégie d'accès à distance personnalisée en fonction de l'équipement, de l'utilisateur, de l'application, et d'autres critères métier. Les principaux avantages en sont les suivants :
combinaison unique d'accès VPN avec SSL, de protection d'applications intégrée et de gestion de la sécurité au point terminal ;
pare-feu d'application Web puissant qui contribue à maintenir le trafic malveillant à l'extérieur du réseau et les informations confidentielles à l'intérieur ;
gestion de l'accès sécurisé et protection des actifs d'entreprise facilitées grâce à une plateforme complète et conviviale ;
interopérabilité avec l'infrastructure de base des applications Microsoft, les systèmes d'entreprise tiers et les outils internes personnalisés.
Phase 4 : déploiement
Les solutions de sécurité de périmètre évaluées et approuvées sont mises en œuvre au cours de la phase de déploiement. Il est important d'effectuer des tests d'utilisation et des exercices d'alertes pour tout mécanisme de contrôle que vous ajoutez à votre environnement.
Informations complémentaires
Pour plus d'informations sur les produits et les mises en œuvre ISA Server, rendez-vous sur ISA Server TechCenter sur le site Microsoft TechNet à l'adresse : https://www.microsoft.com/technet/isa/default.mspx.
Point de contrôle de la rubrique
|
Exigences |
|---|---|
Les menaces de sécurité à la périphérie du serveur ont été évaluées, de même que des solutions pour atténuer ces menaces. |
|
|
Des solutions technologiques ont été implémentées pour assurer la protection contre les menaces issues d'Internet sur toute la périphérie des clients et des serveurs. |
.gif)
Exigence : analyse selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs
Public visé
Nous vous recommandons de lire cette section si vous ne disposez pas d'une surveillance selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs.
Vue d'ensemble
Dans le Guide des ressources d'optimisation d'infrastructure pour les responsables de l'implémentation : du niveau standardisé au niveau rationalisé, nous avons parlé de l'introduction de la meilleure pratique de gestion des niveaux de service pour plusieurs des exigences au niveau rationalisé. Les processus introduits pour la gestion des niveaux de service décrivaient comment les services sont définis et mesurés via les contrats de niveau de service (SLA). La surveillance selon modèle du niveau de service élève ces concepts au niveau dynamique en exigeant un moyen d'exprimer les modèles de service au niveau du système et de rapporter les niveaux de service réels, à travers plusieurs composants, d'après les contrats de niveau de service définis. Les progrès récents en matière de technologies et de normes industrielles, tels que le nouveau langage SML (Service Modeling Language), permettent aux entreprises de mettre en œuvre une gestion et une surveillance concrètes selon modèle du niveau de service.
Phase 1 : analyse
Pour satisfaire la condition requise du niveau rationalisé pour le processus de gestion ITIL/COBIT, votre entreprise a mis en œuvre des processus de gestion des niveaux de service et, de ce fait, a défini un catalogue de services. Le catalogue de services répertorie les services fournis, récapitule leurs caractéristiques, décrit les utilisateurs et indique les responsables de la maintenance. La phase d'analyse garantira que le catalogue de services est complet et actuel.
Phase 2 : identification
La phase d'identification désignera les services du catalogue faisant l'objet de modèles et leur attribuera des priorités. La liste des services désignés sera utilisée au cours de la phase d'évaluation et de planification lors de la réflexion sur les options technologiques et de la planification de la mise en œuvre. Cette condition requise porte sur un sous-ensemble de services informatiques, incluant des services clients ou de bureau, des services d'applications, puis une infrastructure de serveur.
Phase 3 : évaluation et planification
L'objectif de la phase d'évaluation et de planification est d'identifier les technologies nécessaires à la surveillance selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs. La technologie sélectionnée doit donc offrir la capacité à définir systématiquement des services à partir du catalogue de services de votre entreprise, ainsi qu'à surveiller la disponibilité et les événements des services définis.
System Center Operations Manager 2007
Operations Manager 2007 offre une approche de surveillance orientée service qui vous permet de surveiller vos services informatiques de bout en bout, d'adapter la surveillance aux grandes entreprises et aux environnements plus vastes et d'utiliser les connaissances Microsoft en termes d'applications et de systèmes d'exploitation pour résoudre les problèmes de fonctionnement. Operations Manager 2007 est la solution recommandée pour cette condition requise du modèle d'optimisation d'infrastructure et fournit les fonctionnalités nécessaires à la création et à la surveillance des modèles de services de bout en bout.
Surveillance des services de bureau
Dans Operations Manager 2007, la surveillance des services de bureau fait appel à deux mécanismes de surveillance de l'activité des ordinateurs de bureau : AEM (Agentless Exception Monitoring, Analyse d'erreurs d'application) et la collecte de données du Programme d'amélioration de l'expérience utilisateur.
Agentless Exception Monitoring (AEM)
AEM vous permet de surveiller les incidents des systèmes d'exploitation et les erreurs des applications. Les clients générant des rapports d'erreurs sont configurés avec la Stratégie de groupe pour rediriger les rapports vers un serveur de gestion Operations Manager 2007, plutôt que directement vers Microsoft. En arrêtant les rapports d'erreurs sur un serveur de gestion, Operations Manager 2007 peut fournir des vues et des rapports détaillés, regroupant les données d'erreurs de votre entreprise. Les vues et rapports fournissent des informations sur les échecs et proposent des solutions, si possible, pour aider à résoudre les problèmes.
Vous pouvez déterminer la fréquence d'erreur d'un système d'exploitation ou d'une application et le nombre d'ordinateurs et d'utilisateurs affectés. Ainsi, vous pouvez concentrer vos efforts sur les points faibles de votre entreprise.
Lorsque les rapports d'erreurs sont synchronisés de façon anonyme avec Microsoft, par la déclaration de confidentialité du service de rapport d'erreurs Microsoft, les réponses disponibles pour les erreurs respectives sont fournies. Vous pouvez également utiliser AEM pour fournir des solutions aux problèmes rencontrés avec vos applications développées en interne.
Programme d'amélioration de l'expérience utilisateur
Lorsque vous choisissez de participer au Programme d'amélioration de l'expérience utilisateur, vous configurez les clients avec la Stratégie de groupe pour rediriger les rapports du Programme d'amélioration de l'expérience utilisateur vers un serveur de gestion Operations Manager 2007, plutôt que directement vers Microsoft. Les serveurs de gestion sont configurés pour transférer ces rapports à Microsoft.
Les rapports du Programme d'amélioration de l'expérience utilisateur transférés de votre entreprise à Microsoft sont combinés aux rapports du Programme d'amélioration de l'expérience utilisateur d'autres entreprises et de clients individuels pour aider Microsoft à résoudre les problèmes et à améliorer les produits et fonctionnalités Microsoft les plus utilisés par les clients. Pour plus d'informations sur le Programme d'amélioration de l'expérience utilisateur, rendez-vous à l'adresse : https://www.microsoft.com/products/ceip/fr-fr/default.mspx.
Packs d'administration pour les applications et systèmes d'exploitation des stations de travail Windows
Ensuite, viennent les packs d'administration pour les applications et systèmes d'exploitation des stations de travail Windows, inclus avec Operations Manager 2007 :
Windows Vista®
Windows XP
Windows 2000
Microsoft Information Worker
Surveillance du service d'application distribuée
Dans Operations Manager 2007, un service d'application distribuée surveille l'intégrité d'une application distribuée que vous définissez. Il crée les analyses, les règles, les vues et les rapports nécessaires à la surveillance de votre application distribuée et des composants individuels qu'elle contient. Lors de la création d'une application distribuée dans Operations Manager 2007, vous créez d'abord le service qui définit l'objet de surveillance de l'application distribuée à un niveau élevé. Ensuite, vous définissez les composants individuels qui font partie de l'application distribuée que vous voulez surveiller.
Surveillance de l'infrastructure
Operations Manager 2007 permet toujours une surveillance complète de l'état de l'infrastructure de serveur et, par rapport à Operations Manager 2005, propose de nouvelles fonctionnalités pour surveiller les périphériques SNMP tels que les routeurs, serveurs d'impression et ordinateurs n'exécutant pas Windows, même si le périphérique ou le système d'exploitation ne présente pas de pack d'administration. Pour surveiller ces périphériques ou autres systèmes d'exploitation, vous pouvez créer des analyses et des règles utilisant SNMP. Les analyses et règles SNMP peuvent collecter des données à partir des événements ou interruptions SNMP et générer des alertes ou modifier l'état d'intégrité de l'objet surveillé.
Phase 4 : déploiement
La phase de déploiement implémente les plans découlant de la réflexion menée au cours de trois précédentes phases. Si votre entreprise a sélectionné System Center Operations Manager 2007 comme technologie pour définir et surveiller vos services informatiques, vous trouverez des conseils détaillés sur le déploiement dans la bibliothèque de documents en ligne pour System Center Operations Manager 2007 sur Microsoft TechNet (cette page peut être en anglais).
Informations complémentaires
Pour plus d'informations sur la configuration utilisateur, rendez-vous sur le site Microsoft TechNet et lancez une recherche sur « configuration utilisateur ».
Point de contrôle de la rubrique
|
Exigences |
|---|---|
|
|
|
|
|
Une solution automatisée a été implémentée pour définir et analyser les niveaux de service. |
Si vous avez effectué les étapes répertoriées ci-dessus, votre entreprise présente la configuration minimale requise de la surveillance selon modèle du niveau de service de l'infrastructure des ordinateurs de bureau, applications et serveurs.
Passez à la question d'auto-évaluation suivante.
Exigence : solution de quarantaine pour les ordinateurs infectés ou sans correctif
Public visé
Nous vous recommandons de lire cette section si vous n'avez pas de solution de quarantaine pour les ordinateurs infectés ou sans correctif.
Vue d'ensemble
Dans l'environnement actuel, conscient du facteur sécurité, la protection du réseau et des données sensibles est un sujet très difficile à gérer. Il n'est plus suffisant de se fier uniquement aux défenses périphériques et aux antivirus pour protéger les ressources réseau et les informations confidentielles. Les organisations et les professionnels de la sécurité sont à présent conscients du fait que les risques internes au réseau, qu'ils soient intentionnels ou accidentels, peuvent s'avérer bien plus dangereux que les menaces externes. Pour passer au niveau dynamique, vous devez disposer d'un mécanisme permettant d'isoler les ordinateurs non gérés de votre réseau d'entreprise.
La disponibilité généralisée d'Internet a conduit à d'importants changements dans la façon dont les entreprises travaillent. Afin de conserver leur avance sur la concurrence, les entreprises ont de plus en plus besoin que leurs employés se connectent à leurs réseaux à partir d'emplacements distants, tels que leur domicile, les filiales, les hôtels, les cybercafés ou les sites des clients.
Phase 1 : analyse
La phase d'analyse du projet de solution de quarantaine commence par faire un autre inventaire des configurations de sécurité client suivies dans les processus de gestion des configurations. Au niveau dynamique, nous pouvons supposer que les exigences associées au niveau standardisé pour la gestion des correctifs et les contrôles antivirus sont en place, tout comme les exigences associées du niveau rationalisé en termes de gestion des configurations. La phase d'analyse examine les éléments de configuration client et vérifie qu'ils sont à jour.
Phase 2 : identification
Au cours de la phase d'identification, nous déterminerons les configurations à contrôler et à ajouter à la configuration minimale requise pour évaluer si un ordinateur client représente une menace lorsqu'il se connecte aux ressources réseau. Généralement, la configuration minimale requise exige que toutes les mises à jour logicielles et programmes antivirus requis soient installés et que les signatures soient à jour. Durant la phase d'identification, vous devez également porter votre attention sur la gestion des correctifs, l'analyse de la configuration et les pratiques de mise à jour antivirus, mais aussi sur la façon la plus simple d'appliquer tous ces éléments à la solution de quarantaine à mettre en œuvre.
Phase 3 : évaluation et planification
Au cours de la phase d'évaluation et de planification, nous déterminons les technologies disponibles pour activer les fonctionnalités souhaitées, détecter les configurations non conformes et verrouiller les routines définies dans la phase d'identification. Le niveau dynamique requiert que les connexions distantes aux ressources réseau, au moins, soient contrôlées via une solution de quarantaine. Ces connexions distantes sont généralement établies avec les technologies de réseau privé virtuel (VPN). Cette section fait principalement référence au Guide de planification de la mise en œuvre de services de mise en quarantaine avec Microsoft Virtual Private Network de Microsoft TechNet. Nous présenterons également la protection d'accès réseau incluse dans Windows Vista et Windows Server 2008 pour les services de mise en quarantaine sur site.
Réseaux privés virtuels (VPN)
Les connexions VPN permettent aux employés et aux partenaires de se connecter à un réseau local (LAN) d'entreprise sur un réseau public, en toute sécurité. L'accès distant qui fait intervenir les technologies VPN est porteur de nombreuses opportunités professionnelles nouvelles, telles que l'administration distante et la sécurité élevée des applications.
Bien qu'un VPN fournisse un accès sécurisé via le chiffrement des données à travers le tunnel VPN, il n'empêche pas les intrusions de logiciels malveillants, tels que les virus ou les vers qui s'exécutent à partir de l'ordinateur en accès distant. Les attaques des virus ou des vers peuvent infecter les ordinateurs qui se connectent au LAN. La mise en quarantaine VPN avec les fonctionnalités de contrôle de quarantaine de l'accès réseau de Windows Server 2003 fournit un mécanisme pour résoudre ces problèmes. La mise en quarantaine VPN garantit que les ordinateurs qui se connectent au réseau à l'aide de protocoles VPN subissent des vérifications avant et après la connexion et sont isolés tant qu'ils ne satisfont pas la stratégie de sécurité requise.
La solution de mise en quarantaine VPN place tous les ordinateurs en cours de connexion, répondant à la stratégie d'accès distant indiquée, dans un réseau de quarantaine et vérifie qu'ils satisfont la stratégie de sécurité de l'entreprise. Le serveur VPN d'accès distant lève les restrictions de quarantaine et autorise l'accès aux ressources réseau de l'entreprise uniquement lorsque l'ordinateur en accès distant réussit toutes les vérifications de connexion.
La mise en quarantaine VPN fonctionne en retardant la connectivité totale à un réseau privé tandis qu'elle examine et valide la configuration de l'ordinateur en accès distant par rapport aux normes de l'entreprise. Si l'ordinateur qui se connecte n'est pas conforme à la stratégie de l'entreprise, le processus de mise en quarantaine peut installer des Service Packs, des mises à jour de sécurité et des définitions de virus avant de l'autoriser à se connecter aux autres ressources réseau.
Exigences pour la mise en quarantaine VPN
La mise en œuvre de la mise en quarantaine VPN requiert les composants suivants :
Clients d'accès distant compatibles avec la quarantaine
Serveur d'accès distant compatible avec la quarantaine
Serveur RADIUS (Remote Access Dial-In User Service) compatible avec la quarantaine (facultatif)
Ressources de quarantaine
Base de données de comptes
Stratégie d'accès distant de quarantaine
Processus de connexion avec mise en quarantaine VPN (Virtual Private Network)
La figure suivante illustre une approche de la mise en quarantaine VPN faisant appel aux serveurs de ressources situés sur un sous-réseau de mise en quarantaine.
.gif "Figure 9. Cheminement du processus de mise en quarantaine VPN")
Figure 9. Cheminement du processus de mise en quarantaine VPN
La mise en quarantaine VPN met en œuvre un processus modifié lorsque l'utilisateur tente de se connecter au réseau distant. Le processus comprend les étapes suivantes :
L'ordinateur effectue une vérification de validation de la stratégie d'intégrité avant connexion pour vérifier qu'il répond à certaines exigences en termes d'intégrité. Cette étape peut impliquer des correctifs logiciels, des mises à jour de sécurité et des signatures de virus. Le script de pré-connexion stocke localement les résultats de cette vérification. Une entreprise peut également effectuer des vérifications de sécurité après connexion, si elle le souhaite.
Une fois les vérifications de pré-connexion réussies, l'ordinateur se connecte au serveur d'accès distant via le VPN.
Le serveur d'accès distant authentifie les informations d'identification de l'utilisateur auprès du serveur RADIUS, par rapport au nom d'utilisateur et au mot de passe stockés dans le service d'annuaire Active Directory®. Dans ce processus, RADIUS est un composant facultatif.
Si Active Directory authentifie l'utilisateur, le serveur d'accès distant place le client en quarantaine, à l'aide de la stratégie d'accès distant de mise en quarantaine VPN. L'accès de l'ordinateur client en accès distant est limité aux ressources de quarantaine indiquées dans la stratégie d'accès distant. La mise en quarantaine peut être appliquée de deux façons sur l'ordinateur client en accès distant : en utilisant un délai d'expiration spécifique pour que l'ordinateur client ne reste pas indéfiniment en quarantaine ou en utilisant un filtre IP pour limiter le trafic IP aux ressources réseau indiquées.
Le script de post-connexion avertit le serveur d'accès distant que le client satisfait les exigences spécifiques. Si la connexion ne répond pas aux exigences dans le délai imparti, le script avertit l'utilisateur et met fin à la connexion.
Le serveur d'accès distant désactive le mode quarantaine de l'ordinateur client en supprimant le filtre IP et en accordant l'accès approprié aux ressources réseau indiquées par la stratégie d'accès distant.
Protection d'accès réseau
La protection d'accès réseau est une plate-forme d'application des stratégies, intégrée aux systèmes d'exploitation Windows Vista et Windows Server 2008, qui vous permet de mieux protéger vos actifs réseau en faisant appliquer la conformité aux exigences d'intégrité système.
Exigences en matière d'intégrité des ordinateurs
Vous devez garantir que les ordinateurs qui se connectent à votre réseau et communiquent dessus sont conformes aux exigences d'intégrité système. Par exemple, les ordinateurs conformes sont équipés des logiciels de sécurité appropriés (comme une protection antivirus), des dernières mises à jour du système d'exploitation et présentent la configuration adéquate (comme des pare-feux activés au niveau de l'hôte). Ce défi est compliqué par la nature mobile des ordinateurs portables susceptibles de se déplacer entre différents hotspots Internet et autres réseaux privés, puis par l'utilisation de connexions avec accès distant par les ordinateurs privés. Si un ordinateur qui se connecte n'est pas conforme, il peut exposer votre réseau aux attaques de logiciels malveillants, tels que les virus et vers qui s'exécutent au niveau du réseau. Pour vous protéger des ordinateurs non conformes, vous devez :
Configurer, de façon centrale, un ensemble de stratégies indiquant les exigences d'intégrité système.
Vérifier l'intégrité système avant d'autoriser un accès illimité au réseau privé ou à ses ressources.
Limiter l'accès des ordinateurs non conformes à un réseau restreint contenant les ressources leur permettant de passer à un état conforme.
La protection d'accès réseau fournit des composants et une infrastructure qui vous aideront à valider et à faire appliquer la conformité aux stratégies d'intégrité système pour l'accès réseau et la communication.
Validation de la stratégie d'intégrité
Lorsqu'un utilisateur tente de se connecter à votre réseau, la protection d'accès réseau valide l'état d'intégrité de l'ordinateur d'après les stratégies d'intégrité que vous avez définies. Vous pouvez ensuite choisir quoi faire si un ordinateur n'est pas conforme. Dans un environnement de surveillance seule, tous les ordinateurs autorisés se voient accorder l'accès au réseau même si certains d'entre eux ne sont pas conformes aux stratégies d'intégrité, mais que l'état de conformité de chacun d'eux est journalisé. Dans un environnement d'accès restreint, les ordinateurs conformes aux stratégies d'intégrité bénéficient d'un accès illimité au réseau, mais les ordinateurs non conformes aux stratégies d'intégrité ou non compatibles avec la protection d'accès réseau disposent d'un accès limité à un réseau restreint. Dans les deux environnements, les ordinateurs compatibles avec la protection d'accès réseau peuvent automatiquement devenir conformes et vous pouvez définir des exceptions au processus de validation. La protection d'accès réseau inclut également des outils de migration pour vous aider à définir les exceptions les plus adaptées aux besoins de votre réseau.
Conformité aux stratégies d'intégrité
Vous pouvez contribuer à garantir la conformité aux stratégies d'intégrité en choisissant de mettre automatiquement à jour les ordinateurs non conformes via des logiciels de gestion, tels que Microsoft Systems Management Server. Dans un environnement de surveillance seule, les ordinateurs auront accès au réseau même avant qu'ils ne soient mis à jour avec les logiciels requis ou les changements de configuration. Dans un environnement d'accès restreint, les ordinateurs non conformes aux stratégies d'intégrité ont un accès limité tant que les mises à jour logicielles et de configuration ne sont pas terminées. Et encore une fois, dans les deux environnements, les ordinateurs compatibles avec la protection d'accès réseau peuvent automatiquement devenir conformes et vous pouvez définir des exceptions aux stratégies.
Accès réseau limité
Vous pouvez protéger vos actifs réseau en limitant l'accès des ordinateurs non conformes aux exigences de stratégies d'intégrité. Vous pouvez définir le niveau d'accès dont bénéficieront les ordinateurs non conformes. Les limites de l'accès réseau peuvent être temporelles ou physiques (accès limité à un réseau restreint, à une seule ressource voire aucun accès aux ressources internes). Si vous ne configurez pas de ressources de mise à jour d'intégrité, l'accès limité durera le temps de la connexion. Si vous configurez des ressources de mise à jour d'intégrité, l'accès limité durera uniquement le temps que l'ordinateur soit rendu conforme. Vous pouvez combiner l'utilisation de la surveillance et de la conformité aux stratégies d'intégrité sur vos réseaux et configurer des exceptions pour les deux.
Phase 4 : déploiement
Le niveau dynamique requiert uniquement qu'une solution de mise en quarantaine VPN soit mise en œuvre pour les utilisateurs en accès distant. Des solutions de protection d'accès réseau sont recommandées si votre entreprise utilise une infrastructure Windows Server 2008. Le guide de la fonctionnalité de contrôle de quarantaine pour l'accès réseau de Windows Server 2003 fournit des conseils supplémentaires sur la planification et le déploiement des solutions de mise en quarantaine.
Pour déployer le contrôle de quarantaine pour l'accès réseau, les étapes de base (présentées dans l'ordre) sont les suivantes :
créer des ressources de quarantaine ;
créer un script ou un programme qui valide la configuration client ;
installer Rqs.exe sur des serveurs d'accès distant ;
créer un nouveau profil CM (Connection Manager) de mise en quarantaine avec le kit d'administration de Connection Manager (CMAK) de Windows Server 2003 ;
distribuer le profil CM pour l'installer sur les ordinateurs clients en accès distant ;
configurer une stratégie d'accès distant de quarantaine.
Création de ressources de quarantaine
Pour autoriser vos clients en accès distant à accéder aux ressources du serveur de noms, du serveur Web ou du serveur de fichiers lorsqu'ils sont en mode quarantaine, vous devez désigner ces serveurs et leurs ressources comme étant à la disposition des clients en accès distant.
Création d'un script ou d'un programme qui valide la configuration client
Le script ou programme de quarantaine que vous créez peut être un fichier exécutable (*.exe) ou, simplement, un fichier de commande (*.cmd ou *.bat). Dans le script, exécutez l'ensemble des tests pour vous assurer que le client en accès distant est conforme à la stratégie réseau.
Installation de Rqs.exe sur des serveurs d'accès distant
Les composants du service Agent de quarantaine pour clients distants (Rqs.exe) répondent aux messages des clients en accès distant compatibles avec le service de quarantaine, qui indiquent que leurs scripts ont été correctement exécutés.
Création d'un nouveau profil CM de mise en quarantaine avec le kit d'administration de Connection Manager de Windows Server 2003
Un profil CM de mise en quarantaine est un profil CM d'accès distant normal pour l'accès réseau à distance ou l'accès VPN, présentant les ajouts suivants :
Vous devez ajouter une action de post-connexion pour exécuter le script ou le programme que vous avez créé pour vérifier la conformité à la stratégie réseau et inclure le script ou programme au profil. Cette action est effectuée via l'écran Actions personnalisées de l'assistant CMAK.
Vous devez ajouter le composant de notification au profil. Cette action est effectuée via l'écran Fichiers supplémentaires de l'assistant CMAK.
Pour plus d'informations sur l'utilisation d'actions personnalisées dans le CMAK, consultez la rubrique concernant l'incorporation d'actions personnalisées dans l'aide et le support de Windows Server 2003.
Distribution du profil CM pour l'installer sur les ordinateurs clients en accès distant
Une fois le profil CM de mise en quarantaine créé, il doit être distribué et installé sur tous vos ordinateurs clients en accès distant. Le profil lui-même est un fichier exécutable qui doit être exécuté sur le client en accès distant pour installation et pour configurer la connexion réseau de quarantaine.
Configuration d'une stratégie d'accès distant de quarantaine
Si le routage et l'accès distant sont configurés avec le fournisseur d'authentification Windows, configurez la stratégie d'accès distant de quarantaine sur le serveur d'accès distant à l'aide du composant logiciel enfichable Routage et accès distant. Si le routage et l'accès distant sont configurés avec le fournisseur d'authentification RADIUS, configurez la stratégie d'accès distant de quarantaine sur le serveur IAS à l'aide du composant logiciel enfichable Service d'authentification Internet.
Synthèse
La mise en quarantaine VPN avec contrôle de quarantaine pour l'accès réseau fournit une méthode gérée de prévention de l'accès total à votre intranet tant que la configuration de l'ordinateur client en accès distant n'a pas été vérifiée comme étant conforme aux stratégies réseau. Le contrôle de quarantaine pour l'accès réseau utilise un profil CM contenant un script de quarantaine incorporé et un composant notificateur, un composant d'écoute s'exécutant sur un serveur d'accès distant Windows Server 2003 et une stratégie d'accès distant de quarantaine. Pour déployer le contrôle de quarantaine pour l'accès réseau, vous devez désigner et configurer des ressources de mise en quarantaine, créer un script de mise en quarantaine, installer le composant d'écoute sur les serveurs d'accès distant, créer et distribuer le profil CM de mise en quarantaine et configurer une stratégie d'accès distant de quarantaine.
Informations complémentaires
Pour plus d'informations sur la configuration utilisateur, rendez-vous sur le site Microsoft TechNet et lancez une recherche sur « configuration utilisateur ».
Point de contrôle de la rubrique
|
Exigences |
|---|---|
|
Les technologies permettant la mise en quarantaine réseau pour les utilisateurs sur site et distants ont été évaluées. |
|
Une solution de mise en quarantaine VPN a été implémentée pour les utilisateurs distants. |
Si vous avez effectué les étapes répertoriées ci-dessus, votre entreprise présente la configuration minimale requise des capacités de la solution de mise en quarantaine intégrée pour les ordinateurs infectés ou sans correctif du modèle d'optimisation d'infrastructure.
Passez à la question d'auto-évaluation suivante.