NAP (Network Access Protection) est une technologie de création de stratégie d’intégrité, de contrainte de mise en conformité et de mise à jour du client qui est incluse dans Windows Vista®, Windows Server® 2008, Windows® 7 et Windows Server® 2008 R2. À l’aide de NAP, vous pouvez établir des stratégies d’intégrité qui définissent des contraintes (par exemple le logiciel, les mises à jour de sécurité et la configuration requis) que vous voulez imposer aux ordinateurs qui se connectent à votre réseau.
NAP met en œuvre des stratégies de contrôle d’intégrité en inspectant et en évaluant l’intégrité des ordinateurs clients, en limitant l’accès réseau des ordinateurs clients non conformes à la stratégie de contrôle d’intégrité et en les mettant à jour pour les rendre conformes à la stratégie de contrôle d’intégrité avant de leur accorder un accès réseau complet. La protection d’accès réseau (NAP) applique les stratégies d’intégrité sur les ordinateurs clients qui tentent de se connecter à un réseau. Elle procure également l’application continue de la conformité de l’intégrité pendant qu’un ordinateur client est connecté à un réseau.
La protection d’accès réseau (NAP) est une plateforme extensible qui fournit une infrastructure et un jeu d’interfaces de programmation d’application (API). Ce jeu d’API permet d’ajouter des composants aux clients NAP et aux serveurs exécutant NPS (Network Policy Server) qui vérifient l’intégrité d’un ordinateur, appliquent la stratégie de contrôle d’intégrité du réseau et mettent à jour les ordinateurs non conformes pour les mettre en conformité avec la stratégie de contrôle d’intégrité.
En elle-même, la protection d’accès réseau NAP ne fournit pas de composants pour vérifier l’intégrité d’un ordinateur ou le mettre à jour. D’autres composants, appelés agents d’intégrité système et programmes de validation d’intégrité système, inspectent l’état d’intégrité des ordinateurs clients et créent des rapports à ce sujet, valident l’état d’intégrité des ordinateurs clients par rapport à la stratégie de contrôle d’intégrité et fournissent des paramètres de configuration pour aider l’ordinateur client à respecter la stratégie de contrôle d’intégrité.
L’Agent d’intégrité système de la sécurité Windows (WSHA, Windows Security Health Agent) est inclus dans Windows Vista et Windows 7 en tant que partie intégrante du système d’exploitation. Le Validateur d’intégrité de la sécurité Windows (WSHV, Windows Security Health Validator) correspondant est inclus dans Windows Server 2008 et Windows Server 2008 R2 en tant que partie intégrante du système d’exploitation. En utilisant le jeu d’API NAP, d’autres produits peuvent aussi implémenter des agents d’intégrité système et des programmes de validation d’intégrité système pour les intégrer à NAP. Par exemple, un éditeur de logiciel antivirus peut utiliser ce jeu d’API pour créer un agent d’intégrité système et un programme de validation d’intégrité système personnalisés. Ces composants peuvent ensuite être intégrés aux solutions NAP que déploient les clients de l’éditeur de logiciel.
Si vous êtes un administrateur réseau ou système planifiant le déploiement de NAP, vous pouvez réaliser ce déploiement avec l’Agent d’intégrité système de la sécurité Windows et le Validateur d’intégrité de la sécurité Windows qui sont inclus dans le système d’exploitation. Vous pouvez aussi consulter d’autres fournisseurs de logiciel afin de déterminer s’ils peuvent fournir des agents d’intégrité système et des programmes de validation d’intégrité système pour leurs produits.
Vue d’ensemble de la protection d’accès réseau NAP
La plupart des organisations créent des stratégies réseau qui dictent le type de matériel et de logiciel pouvant être déployé sur leur réseau. Ces stratégies contiennent souvent des règles pour configurer les ordinateurs clients avant leur connexion au réseau. Par exemple, de nombreuses organisations requièrent que les ordinateurs clients exécutent un logiciel antivirus avec les toutes dernières mises à jour antivirus et disposent d’un pare-feu logiciel activé avant de se connecter au réseau de l’organisation. Un ordinateur client configuré conformément à la stratégie réseau de l’organisation peut être considéré comme conforme à la stratégie, alors qu’un ordinateur qui n’est pas configuré conformément à cette stratégie réseau peut être considéré comme non conforme à la stratégie.
NAP vous permet d’utiliser NPS pour créer des stratégies qui définissent l’intégrité de l’ordinateur client. NAP vous permet également de mettre en œuvre les stratégies de contrôle d’intégrité de client que vous créez et de mettre à jour automatiquement les clients compatibles NAP pour qu’ils respectent la stratégie de contrôle d’intégrité de client. NAP assure une détection continue de l’intégrité de l’ordinateur client pour se prémunir contre les situations où un ordinateur client conforme au moment de sa connexion au réseau de l’organisation devient non conforme durant la connexion.
NAP assure une protection complémentaire de l’ordinateur client et du réseau de l’organisation en vérifiant que les ordinateurs qui se connectent au réseau sont conformes aux stratégies réseau de l’organisation et aux stratégies de contrôle d’intégrité de client. Ceci protège le réseau contre les éléments nuisibles susceptibles d’être introduits par les ordinateurs clients, par exemple les virus informatiques, et, réciproquement, les ordinateurs clients contre les éléments nuisibles qui pourraient être introduits par le réseau auquel ils se connectent.
Par ailleurs, la mise à jour automatique NAP réduit les périodes de temps pendant lesquelles les ordinateurs clients non conformes sont empêchés d’accéder aux ressources du réseau. Une fois la mise à jour automatique configurée et les clients mis en conformité, les composants clients NAP peuvent rapidement mettre à jour l’ordinateur à l’aide des ressources que vous fournissez sur un réseau de mise à jour, ce qui permet à ce client d’être autorisé plus rapidement par NPS à se connecter au réseau.
NPS et NAP
NPS peut se comporter en serveur de stratégie NAP pour toutes les méthodes de contrainte de mise en conformité NAP.
Lorsque vous configurez NPS en tant que serveur de stratégie de contrôle d’intégrité NAP, il évalue les déclarations d’intégrité (SoH) envoyées par les ordinateurs clients compatibles NAP qui veulent se connecter au réseau. Vous pouvez configurer dans NPS des stratégies NAP qui permettent à des ordinateurs clients de mettre à jour leur configuration pour devenir compatibles avec la stratégie réseau de votre organisation.
Intégrité de l’ordinateur client
L’intégrité se définit comme une information au sujet d’un ordinateur client que NAP utilise pour déterminer s’il faut ou non autoriser ce client à accéder à un réseau. Une évaluation de l’état d’intégrité de l’ordinateur client représente l’état de la configuration de cet ordinateur client en comparaison avec l’état qui est requis par la stratégie de contrôle d’intégrité.
Voici quelques exemples de mesures de l’intégrité :
-
L’état opérationnel du Pare-feu Windows. Le pare-feu est-il activé ou désactivé ?
-
L’état de mise à jour des signatures antivirus. Les signatures antivirus sont-elles les plus récentes disponibles ?
-
L’état d’installation des mises à jour de sécurité. Est-ce que les mises à jour de sécurité les plus récentes sont installées sur le client ?
L’état d’intégrité de l’ordinateur client est encapsulé dans une déclaration d’intégrité qui est émise pour les composants clients NAP. Les composants clients NAP envoient la déclaration d’intégrité aux composants serveurs NAP en vue d’une évaluation pour déterminer si le client est conforme à la stratégie de contrôle d’intégrité et peut bénéficier d’un accès réseau complet.
Dans la terminologie NAP, le fait de vérifier qu’un ordinateur satisfait à vos exigences en matière d’intégrité est appelé validation de stratégie de contrôle d’intégrité. NPS réalise la validation de stratégie de contrôle d’intégrité pour NAP.
Fonctionnement de la contrainte de mise en conformité NAP
NAP met en œuvre les stratégies de contrôle d’intégrité avec des composants côté client qui inspectent et évaluent l’intégrité des ordinateurs clients, des composants côté serveur qui limitent l’accès réseau des ordinateurs clients considérés comme non conformes et des composants côté client et serveur qui participent à la mise à jour des ordinateurs clients non conformes en vue de les faire bénéficier d’un accès réseau complet.
Principaux processus NAP
Pour protéger l’accès au réseau, NAP utilise trois processus : la validation de stratégie, la contrainte de mise en conformité NAP assortie de restrictions réseau et la mise à jour et le suivi de la conformité.
Validation de stratégie
Avec NPS, vous pouvez créer des stratégies de contrôle d’intégrité de client en utilisant des programmes de validation d’intégrité système qui permettent à NAP de détecter, d’appliquer et de mettre à jour des configurations d’ordinateur client.
L’Agent d’intégrité système de la sécurité Windows et le Validateur d’intégrité de la sécurité Windows fournissent les fonctionnalités suivantes pour les ordinateurs compatibles NAP :
-
Un logiciel de pare-feu est installé et activé sur l’ordinateur client.
-
Un logiciel antivirus est installé et exécuté sur l’ordinateur client.
-
Les dernières mises à jour antivirus ont été installées sur l’ordinateur client.
-
Un logiciel anti-espion est installé et exécuté sur l’ordinateur client.
-
Les dernières mises à jour anti-espion ont été installées sur l’ordinateur client.
-
Microsoft Update est activé sur l’ordinateur client.
En outre, si des ordinateurs clients compatibles NAP exécutent l’agent Windows Update et sont enregistrés auprès d’un serveur WSUS (Windows Server Update Service), NAP peut vérifier que les dernières mises à jour de sécurité sont installées en se basant sur une des quatre valeurs possibles qui correspondent aux niveaux de gravité définis en matière de sécurité par le centre MSRC (Microsoft Security Response Center).
Lorsque vous créez des stratégies qui définissent l’état d’intégrité de l’ordinateur client, ces stratégies sont validées par NPS. Les composants NAP côté client envoient une déclaration d’intégrité au serveur NPS durant la procédure de connexion. NPS examine la déclaration d’intégrité et la compare aux stratégies de contrôle d’intégrité.
Contrainte de mise en conformité NAP assortie de restrictions réseau
NAP ne permet pas aux ordinateurs clients non conformes d’accéder au réseau ou ne leur accorde qu’un accès limité à un réseau restreint spécial appelé réseau de mise à jour. Ce réseau de mise à jour permet aux ordinateurs clients d’accéder à des serveurs de mise à jour, qui leur fournissent des mises à jour logicielles, et à d’autres serveurs clés de la protection d’accès réseau, tels que les serveurs HRA (Health Registration Authority), qui sont nécessaires pour mettre les clients NAP non conformes en conformité avec la stratégie de contrôle d’intégrité.
Dans la stratégie réseau NPS, le paramètre de contrainte de mise en conformité NAP vous permet d’utiliser NAP pour limiter l’accès réseau ou observer l’état des ordinateurs clients compatibles NAP qui ne respectent pas votre stratégie de contrôle d’intégrité réseau.
Vous pouvez choisir de restreindre l’accès, de retarder la restriction d’accès ou d’autoriser l’accès avec des paramètres de stratégie réseau.
Mise à jour
Les ordinateurs clients non conformes qui sont placés dans un réseau restreint peuvent subir une mise à jour. La mise à jour est le processus consistant à mettre automatiquement à jour un ordinateur client pour le rendre conforme aux stratégies de contrôle d’intégrité actuelles. Par exemple, un réseau restreint peut contenir un serveur FTP (File Transfer Protocol) qui met automatiquement à jour les signatures antivirus des ordinateurs clients dont les signatures sont périmées.
Suivi de la conformité
NAP peut mettre les ordinateurs clients déjà connectés au réseau en conformité avec la stratégie de contrôle d’intégrité. Cette fonctionnalité s’avère utile pour protéger un réseau de façon continue, dans la mesure où les stratégies de contrôle d’intégrité évoluent et où l’intégrité des ordinateurs clients change. Par exemple, NAP détermine que l’ordinateur client se trouve dans un état non conforme si un administrateur désactive son pare-feu par inadvertance alors qu’une stratégie de contrôle d’intégrité requiert que le Pare-feu Windows soit activé. En pareil cas, NAP déconnecte l’ordinateur client du réseau de l’organisation et le connecte au réseau de mise à jour jusqu’à ce que son Pare-feu Windows soit réactivé.
Vous pouvez utiliser des paramètres NAP dans des stratégies réseau NPS pour configurer les mises à jour automatiques de telle sorte que les composants clients NAP essaient automatiquement de mettre à jour les ordinateurs clients non conformes. De même que les paramètres de contrainte de mise en conformité NAP, la mise à jour automatique se configure dans les paramètres de la stratégie réseau.