Le petit câbleur : DirectAccess avec la protection d'accès réseau (NAP)

  • Article

DirectAccess est un outil performant. Associez-le à la protection d'accès réseau pour une efficacité maximale.

Par Le petit câbleur

Les utilisateurs distants disposent maintenant d'un accès plus sécurisé aux réseaux de votre entreprise. DirectAccess est une nouvelle fonctionnalité de Windows 7 et de Windows Server 2008 R2 qui offre aux utilisateurs distants un accès sécurisé aux ressources intranet sans qu'ils aient besoin de se connecter à un réseau privé virtuel (VPN).

La protection d'accès réseau (NAP) est également intégrée à Windows Server 2008 R2 et à Windows 7. Vous pouvez ainsi contrôler et évaluer l'intégrité des ordinateurs clients qui tentent de se connecter ou de communiquer sur un réseau.

La combinaison des deux outils s'avère très efficace. DirectAccess avec NAP vous permet de spécifier que seuls les clients DirectAccess qui répondent aux critères d'intégrité du système peuvent accéder aux ressources intranet via Internet.

Tunnels DirectAccess

Les clients DirectAccess qui utilisent des modèles d'accès intranet complet ou d'accès au serveur sélectionné créent les tunnels IPsec (Internet Protocol security) suivants vers un serveur DirectAccess :

  • Tunnel au niveau de l'infrastructure : atteint les serveurs DNS intranet et les contrôleurs des services de domaine Active Directory (AD DS, Active Directory Domain Services). Par défaut, ce tunnel demande les informations d'identification NT LAN Manager version 2 (NTLMv2) relatives à un certificat d'ordinateur et un compte d'ordinateur. Le client DirectAccess crée ce tunnel avant que l'utilisateur ouvre une session.
  • Tunnel au niveau de l'administration : atteint des emplacements intranet supplémentaires avant que l'utilisateur ouvre une session. Les serveurs d'administration Intranet peuvent également créer ce tunnel pour la gestion à distance des clients DirectAccess. Comme pour le tunnel au niveau de l'infrastructure, ce tunnel demande par défaut les informations d'identification NTLMv2 relatives à un certificat d'ordinateur et un compte d'ordinateur.
  • Tunnel au niveau de l'intranet : atteint des emplacements intranet qui ne figurent pas sur la liste des adresses de destination des règles des tunnels au niveau de l'infrastructure et de l'administration après la connexion de l'utilisateur. Par défaut, ce tunnel demande les informations d'identification Kerberos relatives à un certificat d'ordinateur et un compte utilisateur.

Mise en conformité IPsec et NAP

Il existe différentes méthodes de mise en conformité qui vous permettent de déployer NAP afin d'appliquer les exigences d'intégrité d'un système relatives à la connexion et à la communication. La méthode de mise en conformité IPsec utilise des certificats d'intégrité, qui sont des certificats numériques comportant l'identificateur d'objet (OID) Authentification de l'Agent SHA dans le champ Utilisation de clé améliorée (EKU), ainsi que les règles de sécurité de connexion qui nécessitent la protection IPsec pour le trafic intranet et l'authentification des homologue IPSec avec certificats d'intégrité.

Cette combinaison permet d'appliquer les exigences d'intégrité d'un système pour la communication entre les ordinateurs installés sur un intranet. Les ordinateurs qui ne sont pas conformes à ces exigences et qui ne disposent pas d'un certificat d'intégrité ne sont pas autorisés à communiquer sur l'intranet.

Le déploiement d'une mise en application IPsec nécessite les éléments suivants :

  • HRA (Health Registration Authority) : serveur Web répondant aux demandes des clients NAP relatives à la validation de l'intégrité de leur système et l'obtention d'un certificat d'intégrité.
  • Autorité de certification NAP (CA) : autorité de certification de votre infrastructure clés publiques (PKI), généralement dédiée, émettant les certificats d'intégrité pour les clients NAP conformes.
  • Serveur de stratégie d'intégrité NAP : serveur de stratégie réseau (NPS) chargé de valider les demandes d'intégrité d'un système.
  • Serveurs de mise à jour : serveurs contenant les ressources que les clients NAP doivent corriger pour être conforme.

Le cycle de vie des certificats d'intégrité obtenus par le biais de l'autorité HRA est court. Il se mesure généralement en heures. Vous pouvez également émettre des certificats d'exonération d'intégrité longue durée pour des serveurs qui requièrent des certificats d'intégrité pour l'authentification d'homologue IPSec, mais qui n'ont pas besoin de valider l'intégrité du système.

DirectAccess avec NAP

DirectAccess avec NAP réunit la conformité aux spécifications d'intégrité et le processus de connexion DirectAccess. Lorsque vous combinez DirectAccess et NAP pour appliquer les exigences d'intégrité d'un système avant d'autoriser l'accès aux ressources intranet, vous utilisez l'infrastructure NAP pour émettre des certificats d'intégrité (HRA, Autorité de certification NAP, serveurs de stratégie de contrôle d'intégrité NAP) et pour corriger l'intégrité du système (serveurs de mise à jour). Vous pouvez également profiter des règles de sécurité de connexion DirectAccess pour les tunnels au niveau de l'infrastructure, de l'administration et de l'intranet.

Par défaut, les règles configurées sur le client et sur le serveur DirectAccess pour les tunnels au niveau de l'infrastructure, de l'administration et de l'intranet n'exigent pas de certificat d'intégrité pour l'authentification. L'ensemble des règles à modifier pour exiger des certificats d'intégrité dépend des éléments suivants :

  • Mode de déploiement NAP (rapport ou mise en conformité complète)

Le mode de rapports ne nécessite pas de conformité aux spécifications d'intégrité du système. Les clients DirectAccess non conformes peuvent accéder à l'intranet. C'est pourquoi les règles de sécurité de connexion DirectAccess ne nécessitent aucune modification.

Le mode de mise en conformité complète nécessite la conformité aux spécifications d'intégrité du système. Dans ce mode, vous devez configurer les règles de sécurité de connexion pour exiger les certificats d'intégrité, au lieu des certificats d'ordinateur habituels.

  • Emplacement de vos HRA et serveurs de mise à jour

Vous pouvez placer vos HRA et vos serveurs de mise à jour sur votre intranet ou sur Internet.

Les sections suivantes décrivent ces deux possibilités d'emplacements, ainsi que les modifications à apporter pour que les règles de sécurité de connexion exigent des certificats d'intégrité.

HRA et serveurs de mise à jour sur le réseau intranet

Lorsque les HRA et les serveurs de mise à jour sont situés sur l'intranet, les clients DirectAccess doivent pouvoir y accéder avec des certificats d'ordinateur, même s'ils ne possèdent pas de certificat d'intégrité. La validation de l'intégrité a lieu après la création des tunnels au niveau de l'infrastructure et de l'administration. Le client DirectAccess a besoin du tunnel au niveau de l'infrastructure pour accéder à un serveur DNS intranet et résoudre les noms intranet et du tunnel au niveau de l'administration pour accéder aux HRA et aux serveurs de mise à jour.

Figure 1  DirectAccess with NAP when the HRAs and remediation servers are on the intranet.

Figure 1  DirectAccess avec NAP lorsque les HRA et les serveurs de mise à jour sont situés sur intranet.

Cependant, en mode de mise en conformité complète, le client DirectAccess nécessite un certificat d'intégrité pour pouvoir atteindre d'autres ressources intranet. C'est pourquoi les exigences de certificat d'intégrité s'appliquent uniquement aux règles de sécurité de connexion pour le tunnel intranet.

Étapes de configuration

Pour configurer DirectAccess avec NAP lorsque les HRA et les serveurs de mise à jour sont situés sur intranet, vous devez :

  • ajouter les adresses IPv6 des serveurs HRA et de mise à jour à la liste des serveurs d'administration. Pour ce faire, utilisez la troisième étape de l'assistant d'installation DirectAccess ou les commandes Netsh.exe.
  • configurer la règle du tunnel au niveau de l'intranet dans l'objet de stratégie de groupe (GPO) du serveur DirectAccess pour exiger les certificats d'intégrité par le biais d'une commande Netsh.exe.

Pour des instructions détaillées, consultez la page Configurer les règles de sécurité de connexion DirectAccess pour NAP.

Lorsque vous utilisez Netsh.exe pour personnaliser ces règles, les modifications sont écrasées lors l'application suivante des paramètres de l'assistant d'installation DirectAccess. Pour vous assurer que les paramètres personnalisés sont préservés, vous devez cesser d'utiliser l'assistant d'installation DirectAccess dans le cadre de modifications de la configuration, ou compiler une liste des modifications personnalisées dans un script que vous exécuterez chaque fois que vous appliquerez les paramètres de l'assistant d'installation DirectAccess.

Fonctionnement

Le processus suivant décrit le fonctionnement de DirectAccess avec NAP pour un client DirectAccess lorsque les HRA et les serveurs de mise à jour sont situés sur intranet seulement :

  1. Au démarrage du client DirectAccess, lorsque ce dernier tente d'ouvrir une session sur le domaine AD DS à l'aide de son compte d'ordinateur, le tunnel au niveau de l'infrastructure est créé à l'aide du certificat d'ordinateur. [tunnel au niveau de l'infrastructure]
  2. Au démarrage de l'agent NAP, le client DirectAccess résout le nom de domaine complet (FQDN) d'une URL HRA configurée, crée le tunnel au niveau de l'administration à l'aide du certificat d'ordinateur et envoie les informations relatives à l'état d'intégrité au HRA. [tunnel au niveau de l'administration]
  3. Le HRA envoie les informations relatives à l'état d'intégrité du client DirectAccess au serveur de stratégie de contrôle d'intégrité NAP. [trafic intranet]
  4. Le serveur de stratégie de contrôle d'intégrité NAP évalue ces informations, vérifie la conformité et envoie les résultats au HRA. [trafic intranet]
  5. Le HRA envoie les résultats de cette évaluation au client DirectAccess. [tunnel au niveau de l'administration]
  6. Si l'état est conforme, le HRA reçoit un certificat d'intégrité émanant d'une autorité de certification NAP et l'adresse au client DirectAccess. [tunnel au niveau de l'administration]
  7. Lorsque le client DirectAccess tente d'accéder à une ressource sur l'intranet, le tunnel au niveau de l'intranet est créé à l'aide du certificat d'intégrité. [tunnel au niveau de l'intranet]

En cas de non-conformité du client DirectAccess :

  1. Le HRA adresse au client DirectAccess les résultats de l'évaluation d'intégrité, comprenant les instructions de rétablissement de l'intégrité. Le certificat d'intégrité n'est pas émis. [tunnel au niveau de l'administration]
  2. En fonction des composants d'évaluation d'intégrité installés, le client DirectAccess peut être amené à accéder aux serveurs de mise à jour pour corriger son état d'intégrité. Dans ce cas, le client DirectAccess envoie une demande de mise à jour aux serveurs de mise à jour appropriés. [tunnel au niveau de l'administration]
  3. Ces serveurs fournissent au client DirectAccess les paramètres ou les mises à jour nécessaires pour respecter les exigences d'intégrité du système. [tunnel au niveau de l'administration]
  4. Le client DirectAccess envoie les informations relatives à l'état d'intégrité mises à jour au HRA. [tunnel au niveau de l'administration]
  5. Le HRA envoie ces informations mises à jour au serveur de stratégie de contrôle d'intégrité NAP. Si les mises à jour demandées ont été effectuées, ce serveur vérifie la conformité et envoie les résultats au HRA. [trafic intranet]
  6. Le HRA reçoit un certificat d'intégrité émanant de l'autorité de certification NAP. [trafic intranet]
  7. Le HRA adresse le certificat d'intégrité au client DirectAccess. [tunnel au niveau de l'administration]
  8. Lorsque le client DirectAccess tente d'accéder à une ressource sur l'intranet, le tunnel au niveau de l'intranet est créé à l'aide du certificat d'intégrité. [tunnel au niveau de l'intranet]

HRA et serveurs de mise à jour sur Internet

Lorsque les HRA et les serveurs de mise à jour sont situés sur Internet, les clients DirectAccess peuvent y accéder en permanence. La validation de leur intégrité est indépendante des tunnels DirectAccess.

La Figure 2 illustre la configuration lorsque les HRA et les serveurs de mise à jour sont situés sur Internet uniquement. Pour plus d'informations sur cette configuration, consultez l'article « Protection d'accès réseau (NAP) sur Internet », paru dans la colonne Le Petit câbleur du numéro de juin 2009.

Figure 2  DirectAccess with NAP when the HRAs and remediation servers are on the Internet.

Figure 2  DirectAccess avec NAP lorsque les HRA et les serveurs de mise à jour sont situés sur Internet.

Pour le mode de mise en conformité complète, le client DirectAccess nécessite un certificat d'intégrité pour pouvoir atteindre n'importe quelle ressource intranet, à l'exception des serveurs d'administration, qui peuvent s'avérer nécessaires pour gérer ou prendre en charge à distance des clients DirectAccess non conformes depuis l'intranet. De ce fait, les exigences de certificat d'intégrité s'appliquent uniquement aux règles de sécurité de connexion pour les tunnels au niveau de l'infrastructure, de l'intranet et de l'administration (facultatif).

Étapes de configuration

Pour configurer DirectAccess avec NAP lorsque les serveurs HRA et de mise à jour sont situés sur Internet, vous devez modifier les règles des tunnels au niveau de l'infrastructure, de l'intranet et de l'administration dans l'objet de stratégie de groupe (GPO) du serveur DirectAccess pour exiger les certificats d'intégrité par le biais de commandes Netsh.exe.

Les commandes suivantes utilisent les noms par défaut des objets de stratégie de groupe et des règles de sécurité de connexion, tels que configurés par l'assistant d'installation DirectAccess dans Windows Server 2008 R2 :

  1. À l'invite de commande de niveau administrateur, exécutez la commande netsh –c advfirewall.
  2. À l'invite netsh advfirewall, exécutez les commandes suivantes :

 

set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

Remarques : DomainName est le nom de domaine complet (FQDN) de votre domaine AD DS. CANameString est la valeur du champ Auth1CAName dans l'affichage de la commande consec show rule name=« DirectAccess Policy-DaServerToCorp ».

Exécutez la dernière commande uniquement si vous avez défini des serveurs d'administration et que vous souhaitez empêcher les clients DirectAccess non conformes d'y accéder.

Fonctionnement

Le processus suivant décrit le fonctionnement de DirectAccess avec NAP pour un client DirectAccess lorsque les HRA et les serveurs de mise à jour sont situés sur Internet uniquement :

  1. Au démarrage du client DirectAccess, ce dernier tente d'ouvrir une session sur le domaine AD DS à l'aide de son compte d'ordinateur et crée le tunnel au niveau de l'infrastructure. Cette tentative échoue étant donné que le client DirectAccess ne dispose pas de certificat d'intégrité. [trafic Internet]
  2. A démarrage de l'agent NAP, le client DirectAccess résout le nom de domaine complet (FQDN) d'une URL HRA et envoie les informations relatives à l'état d'intégrité au HRA situé sur Internet. [trafic Internet]
  3. Le HRA envoie les informations relatives à l'état d'intégrité du client DirectAccess vers un serveur de stratégie de contrôle d'intégrité NAP. [trafic intranet]
  4. Le serveur de stratégie de contrôle d'intégrité NAP évalue ces informations, vérifie la conformité et envoie les résultats au HRA. [trafic intranet]
  5. Le HRA envoie les résultats de cette évaluation au client DirectAccess. [trafic Internet]
  6. Si l'état est conforme, le HRA reçoit un certificat d'intégrité émanant d'une autorité de certification NAP et l'adresse au client DirectAccess. [trafic Internet]
  7. Lorsque l'ordinateur client DirectAccess tente à nouveau d'ouvrir une session sur le domaine AD DS à l'aide de son compte d'ordinateur, ou s'il tente de résoudre un nom de domaine complet du réseau intranet, le tunnel au niveau de l'infrastructure est créé à l'aide du certificat d'intégrité. [tunnel au niveau de l'infrastructure]
  8. Lorsque le client DirectAccess doit accéder à une ressource sur l'intranet, le tunnel au niveau de l'intranet est créé à l'aide du certificat d'intégrité. [tunnel au niveau de l'intranet]

En cas de non-conformité du client DirectAccess :

  1. Le HRA adresse au client DirectAccess les résultats de l'évaluation d'intégrité, comprenant les instructions de rétablissement de l'intégrité. Le certificat d'intégrité n'est pas émis. [trafic Internet]
  2. En fonction des composants d'évaluation d'intégrité installés, le client DirectAccess peut être amené à accéder aux serveurs de mise à jour pour corriger son état d'intégrité. Dans ce cas, le client DirectAccess envoie une demande de mise à jour aux serveurs de mise à jour appropriés. [trafic Internet]
  3. Ces serveurs fournissent au client DirectAccess les paramètres ou les mises à jour nécessaires pour respecter les exigences d'intégrité du système. [trafic Internet]
  4. Le client DirectAccess envoie les informations relatives à l'état d'intégrité mises à jour au HRA. [trafic Internet]
  5. Le HRA envoie ces informations mises à jour au serveur de stratégie de contrôle d'intégrité NAP. Si toutes les mises à jour demandées ont été effectuées, ce serveur vérifie la conformité et envoie les résultats au HRA. [trafic intranet]
  6. Le HRA reçoit un certificat d'intégrité émanant de l'autorité de certification NAP. [trafic intranet]
  7. Le HRA adresse le certificat d'intégrité au client DirectAccess. [trafic Internet]
  8. Lorsque l'ordinateur client DirectAccess tente à nouveau d'ouvrir une session sur le domaine AD DS à l'aide de son compte d'ordinateur, ou s'il tente de résoudre un nom de domaine complet du réseau intranet, le tunnel au niveau de l'infrastructure est créé à l'aide du certificat d'intégrité. [tunnel au niveau de l'infrastructure]
  9. Lorsque le client DirectAccess doit accéder à une ressource sur l'intranet, le tunnel au niveau de l'intranet est créé à l'aide du certificat d'intégrité. [tunnel au niveau de l'intranet]

Joseph Daviesest rédacteur technique principal de l'équipe de rédaction spécialisée dans les réseaux Windows chez Microsoft. Il est l'auteur et le co-auteur de plusieurs ouvrages publiés par Microsoft Press, parmi lesquels « Windows Server 2008 Networking and Network Access Protection (NAP) », « Understanding IPv6 », deuxième édition et « Windows Server 2008 TCP/IP Protocols and Services ».

Contenu associé :