Les stratégies de contrôle d’intégrité consistent en un ou plusieurs programmes de validation d’intégrité système et d’autres paramètres qui vous permettent de définir les configurations d’ordinateur client requises pour les ordinateurs compatibles avec la protection d’accès réseau (NAP) qui tentent de se connecter à votre réseau.
Lorsqu’un client compatible NAP tente de se connecter au réseau, il envoie une déclaration d’intégrité au serveur NPS (Network Policy Server). La déclaration d’intégrité est un rapport sur l’état de la configuration du client, que NPS compare à la configuration requise définie dans la stratégie de contrôle d’intégrité. Si l’état de la configuration du client ne correspond pas à la configuration requise définie dans la stratégie de contrôle d’intégrité, NPS effectue l’une des actions suivantes, selon la configuration de la protection d’accès réseau NAP :
-
La demande de connexion du client NAP est rejetée.
-
Le client NAP est placé sur un réseau restreint où des serveurs de mise à jour peuvent le mettre en conformité avec la stratégie de contrôle d’intégrité. Une fois devenu conforme à la stratégie de contrôle d’intégrité, le client est autorisé à se connecter.
-
Le client NAP est autorisé à se connecter au réseau bien qu’il ne soit pas conforme à la stratégie de contrôle d’intégrité.
Vous pouvez définir des stratégies de contrôle d’intégrité de client dans NPS en ajoutant un ou plusieurs programmes de validation d’intégrité système à la stratégie de contrôle d’intégrité.
Après avoir configuré une stratégie de contrôle d’intégrité avec un ou plusieurs programmes de validation d’intégrité système, vous pouvez l’ajouter à la condition Stratégies de contrôle d’intégrité d’une stratégie réseau que vous voulez utiliser pour appliquer la protection NAP lorsque des ordinateurs clients se connectent à votre réseau.
Utilisation de plusieurs programmes de validation d’intégrité système dans une stratégie de contrôle d’intégrité
Le Validateur d’intégrité de la sécurité Windows est inclus par défaut dans NPS. En outre, d’autres sociétés fournissent pour leurs produits compatibles NAP des paires de programmes de validation d’intégrité système et d’agents d’intégrité système.
Si vous voulez utiliser un produit compatible NAP, vous pouvez suivre sa documentation pour installer l’agent d’intégrité système sur les ordinateurs clients compatibles NAP, puis installer le programme de validation d’intégrité système sur le serveur exécutant NPS. Après avoir installé le programme de validation d’intégrité système sur le serveur, vous pouvez le configurer et l’ajouter à une stratégie de contrôle d’intégrité.
Après avoir configuré votre stratégie de contrôle d’intégrité avec les programmes de validation d’intégrité système que vous voulez utiliser, vous pouvez l’ajouter aux paramètres d’une stratégie réseau.