Utilisez cette procédure pour vérifier que les ordinateurs clients NAP sont configurés pour la méthode de contrainte de mise en conformité IPsec (Internet Protocol security) du service NAP (Network Access Protection). Un ordinateur NAP est un ordinateur qui dispose des composants NAP installés et qui peut vérifier son état d’intégrité en envoyant des déclarations d’intégrité (SoHs) au serveur NPS (Network Policy Server) en vue d’une évaluation. Pour pus d’informations sur la protection d’accès réseau (NAP), voir https://go.microsoft.com/fwlink/?LinkId=94393 (éventuellement en anglais).

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Domain Admins ou à un groupe équivalent. Examinez les détails concernant l’utilisation de comptes appropriés et d’appartenance à des groupes à l’adresse suivante https://go.microsoft.com/fwlink/?LinkId=83477 (éventuellement en anglais).

Vérifier les composants clients NAP

Les composants NAP incluent le service d’agent NAP, un ou plusieurs clients de contrainte NAP et au moins un agent d’intégrité système. D’autres services peuvent aussi être requis s’ils prennent an charge un agent d’intégrité système installé. Tous ces composants fonctionnent ensemble afin d’analyser de manière continue l’état de l’intégrité d’un ordinateur client NAP et de fournir cet état à des serveurs NAP pour une évaluation.

Agent NAP

Le service d’agent NAP collecte et gère des informations d’intégrité sur l’ordinateur client. L’agent NAP traite aussi des déclarations d’intégrité à partir de tous les agents d’intégrité système installés et indique l’intégrité du client aux clients de contrainte. L’agent NAP doit être opérationnel pour autoriser les ordinateurs clients à demander ou à recevoir des certificats d’intégrité.

Pour vérifier que le service d’agent NAP est démarré
  1. Cliquez sur Démarrer, sur Panneau de configuration, sur Système et maintenance, sur Outils d’administration, puis double-cliquez sur Services.

  2. Dans la liste des services, sous Nom, double-cliquez sur Agent de protection d’accès réseau.

  3. Vérifiez que l’état de Service est Démarré et que Type de démarrage possède la valeur Automatique.

  4. Si le service n’est pas démarré, choisissez Automatique en regard de Type de démarrage, puis cliquez sur Démarrer.

  5. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de Protection d’accès réseau.

  6. Fermez la console Services.

Remarques

Le redémarrage du service d’agent NAP réinitialise automatiquement les agents d’intégrité système et l’ordinateur tente d’obtenir un nouveau certificat d’intégrité. Cela peut s’avérer utile lors de la résolution de problèmes liés à la protection d’accès réseau.

Client de contrainte IPsec NAP

Le client de contrainte IPsec NAP doit être installé et activé sur les ordinateurs clients. Le client de contrainte de mise en conformité NAP demande l’accès à un réseau, puis communique l’état d’intégrité d’un ordinateur client à d’autres composants de l’architecture du client NAP. Le client de contrainte IPsec NAP restreint l’accès aux réseaux protégés par IPsec en interagissant avec le magasin de certificats sur un ordinateur client.

Pour vérifier que le client de contrainte IPsec NAP est initialisé
  1. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, puis sur Invite de commandes.

  2. À l’invite de commandes, tapez netsh nap client show state, puis appuyez sur Entrée. Cette commande affiche l’état NAP de l’ordinateur client.

  3. Dans la sortie de commande, sous État du client de contrainte des principes de protection des informations personnelles, vérifiez que l’état de Partie de confiance IPSec est Initialisé = Oui.

Vérifiez la configuration du client IPsec.

Les clients NAP doivent être configurés avec des paramètres qui leur permettent de communiquer avec des composants de serveur NAP. Vous pouvez configurer ces paramètres à l’aide de la Stratégie de groupe, de la console Configuration du client NAP ou de la ligne de commande. Pour la méthode de contrainte de mise en conformité IPsec, les paramètres du client NAP incluent Stratégie de demande et Groupes de serveurs approuvés.

Stratégie de demande

Vous n’avez pas besoin de modifier les paramètres de stratégie de demande par défaut sur des ordinateurs clients NAP. En cas de modification de ces paramètres, il est alors important de vérifier que des paramètres similaires sont activés sur vos serveurs NAP. Par défaut, un ordinateur client NAP initie un processus de négociation avec un serveur NAP à l’aide d’un mécanisme de sécurité par défaut mutuellement acceptable pour les communications chiffrées. Il est recommandé d’utiliser les paramètres de stratégie de demande par défaut.

Pour afficher les paramètres de stratégie de demande
  1. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, puis sur Invite de commandes.

  2. Si la stratégie de groupe est utilisée pour déployer les paramètres de client NAP, à l’invite de commandes, tapez netsh nap client show group, puis appuyez sur Entrée. Si la stratégie locale est utilisée pour déployer les paramètres de client NAP, à l’invite de commandes, tapez netsh nap client show config, puis appuyez sur Entrée. Ces commandes affichent les paramètres de configuration NAP pour la stratégie de groupe et la stratégie locale sur les ordinateurs clients.

  3. Dans la sortie de commande, vérifiez que les paramètres Fournisseur de services de chiffrement et Algorithme de hachage correspondent aux paramètres configurés sur l’autorité HRA. Le fournisseur de services de chiffrement par défaut est Microsoft RSA SChannel Cryptographic Provider, keylength = 2048. L’algorithme de hachage par défaut est sha1RSA (1.3.14.3.2.29).

Groupes de serveurs approuvés

Les groupes de serveurs approuvés sont configurés dans les paramètres d’inscription d’intégrité de client afin que les ordinateurs clients NAP puissent contacter des sites Web utilisés par l’autorité HRA pour traiter des demandes de certificat d’intégrité. Si des groupes de serveurs approuvés ne sont pas configurés ou sont incorrectement configurés, les ordinateurs clients NAP échouent lors de la tentative d’acquisition de certificats d’intégrité.

Pour vérifier la configuration des groupes de serveurs approuvés
  1. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, puis sur Invite de commandes.

  2. Si la stratégie de groupe est utilisée pour déployer les paramètres de client NAP, à l’invite de commandes, tapez netsh nap client show group, puis appuyez sur Entrée. Si la stratégie locale est utilisée pour déployer les paramètres de client NAP, à l’invite de commandes, tapez netsh nap client show config, puis appuyez sur Entrée. Ces commandes affichent les paramètres de configuration NAP pour la stratégie de groupe et la stratégie locale sur les ordinateurs clients.

  3. Dans la sortie de commande, sous Configuration du groupe de serveurs approuvés, vérifiez que la configuration est correcte pour les entrées en regard de Ordre de traitement, Groupe, Require Https et URL.

Remarques

Un ordinateur client NAP tente ensuite d’obtenir un certificat d’intégrité à partir de la première URL dans tous les groupes de serveurs approuvés configurés, sauf si ce serveur a été indiqué comme indisponible. Pour plus d’informations, voir Vérifier la configuration des services Internet (IIS) et Présentation des conditions d’authentification requises de l’autorité HRA.

Consulter des événements clients NAP

La consultation d’informations contenues dans des événements clients NAP peut vous aider à résoudre des problèmes. Cela peut aussi vous aider à comprendre la fonctionnalité cliente NAP.

Pour consulter des événements clients NAP dans l’Observateur d’événements
  1. Cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, puis sur Exécuter.

  2. Tapez eventvwr.msc et appuyez sur Entrée.

  3. Dans l’arborescence de gauche, accédez à Observateur d’événements (Local)\Journaux Applications et Services\Microsoft\Windows\Protection d’accès réseau\Opérationnel.

  4. Cliquez sur un événement dans le volet du milieu.

  5. Par défaut, l’onglet Général est affiché. Cliquez sur l’onglet Détails pour afficher des informations supplémentaires.

  6. Vous pouvez aussi cliquer avec le bouton droit sur un événement, puis cliquer sur Propriétés de l’événement pour ouvrir une nouvelle fenêtre afin de consulter des événements.

Références supplémentaires