Lorsqu’un ordinateur client NAP est connecté au réseau, il est contrôlé afin de garantir sa conformité aux spécifications d’intégrité en vigueur. Un ordinateur client de la protection d’accès réseau (NAP) est en mesure d’assurer en permanence un suivi de l’état d’intégrité par le biais de logiciels appelés agents d’intégrité système, ou SHA. Les spécifications d’intégrité sont définies sur les serveurs NAP à l’aide des logiciels correspondants appelés programmes de validation d’intégrité système, ou SHV. Il existe de nombreux types différents de SHA et de SHV disponibles.
Programme de validation d’intégrité de la sécurité Windows
Le programme de validation d’intégrité de la sécurité Windows (WSHV) est fourni avec Windows Server 2008 et Windows Server 2008 R2. Ce programme évalue l’état de fonctionnement des composants actifs sur les ordinateurs clients NAP qui sont répertoriés ci-dessous.
-
Pare-feu : si cette spécification est activée, l’ordinateur client doit être équipé d’un pare-feu inscrit auprès du Centre de sécurité Windows et activé pour toutes les connexions réseau.
-
Protection antivirus : si cette spécification est activée, l’ordinateur client doit être doté d’une application antivirus installée, inscrite auprès du Centre de sécurité Windows et activée. L’ordinateur client peut être également contrôlé afin de garantir que le fichier de signature antivirus est à jour.
-
Protection contre les logiciels espions : si cette spécification est activée, l’ordinateur client doit être doté d’un logiciel anti-espion installé, inscrit auprès du Centre de sécurité Windows et activé. L’ordinateur client peut être également contrôlé afin de garantir que le fichier de signature anti-espion est à jour. La protection contre les logiciels espions s’applique uniquement aux clients NAP exécutant Windows Vista ou Windows 7.
-
Mises à jour automatiques : si cette spécification est activée, l’ordinateur client doit être configuré pour vérifier les mises à jour auprès de Windows Update. Vous avez le choix de télécharger et d’installer ces mises à jour.
-
Protection par mise à jour de sécurité : si cette spécification est activée, l’ordinateur client doit avoir installé les mises à jour de sécurité selon l’une des quatre valeurs possibles correspondant à différents niveaux de gravité en matière de sécurité du centre MSRC (Microsoft Security Response Center). Le client doit également vérifier la présence de ces mises à jour au cours d’un laps de temps spécifié. Vous pouvez utiliser les services WSUS (Windows Server Update Services), Windows Update, ou ces deux solutions pour obtenir des mises à jour de sécurité.