Le serveur NPS (Network Policy Server) est le serveur central utilisé avec toutes les méthodes d’application de la protection d’accès réseau (NAP, Network Access Protection) pour évaluer les demandes d’accès client NAP. Les conditions d’intégrité requises par le réseau sont définies sur NPS à l’aide de stratégies qui accordent ou restreignent l’accès d’ordinateurs clients NAP en fonction de leur intégrité. Un serveur qui exécute NPS et qui héberge ces stratégies NAP est appelé serveur de stratégie de contrôle d’intégrité NAP. En fonction de votre déploiement, vous pouvez posséder un ou plusieurs serveurs de stratégies d’intégrité NAP sur votre réseau. Les clients RADIUS, les stratégies de demande de connexion, les stratégies réseau, les stratégies d’intégrité et les programmes de validation d’intégrité système sont utilisés par un serveur de stratégie de contrôle d’intégrité NAP pour définir et mettre en œuvre les conditions d’intégrité requises pour le réseau.

Lorsque vous installez une autorité HRA (Health Registration Authority), NPS est installé sur le même ordinateur automatiquement. Si vous avez déployé plus d’une autorité HRA et que vous préférez centraliser l’évaluation de la stratégie en plaçant vos stratégies d’intégrité NAP sur un autre ordinateur, vous devez configurer le serveur local exécutant NPS en tant que proxy RADIUS. Lorsque vous utilisez NPS en tant que proxy RADIUS, la stratégie de demande de connexion est configurée de manière à indiquer au serveur local exécutant NPS de transférer les demandes d’accès réseau à des groupes de serveurs RADIUS distants pour une évaluation.

Pour pus d’informations sur NPS, voir https://go.microsoft.com/fwlink/?LinkId=94389 (éventuellement en anglais).

Pour mener à bien cette procédure, il est nécessaire d’appartenir au groupe Domain Admins ou à un groupe équivalent. Examinez les détails concernant l’utilisation de comptes appropriés et d’appartenance à des groupes à l’adresse suivante https://go.microsoft.com/fwlink/?LinkId=83477 (éventuellement en anglais).

Vérifier la configuration du serveur de stratégie de contrôle d’intégrité NAP.

Utilisez les procédures suivantes pour vérifier la configuration du serveur local exécutant NPS en tant que serveur de stratégie de contrôle d’intégrité NAP. Si le serveur HRA local est configuré en tant que proxy RADIUS, voir Vérifier la configuration de proxy NPS.

Clients RADIUS

Si vous avez configuré des serveurs HRA distants en tant que proxys RADIUS pour transférer des demandes de connexion au serveur local exécutant NPS pour une évaluation, alors le serveur local exécutant NPS doit posséder une entrée de client RADIUS correspondante pour chaque serveur HRA distant. Le client de contrainte de mise en conformité IPsec NAP ne nécessite pas de clients RADIUS si tous les serveurs HRA sont également des serveurs de stratégie de contrôle d’intégrité NAP. Si vous utilisez des serveurs HRA avec NPS configuré en tant que proxy RADIUS, utilisez la procédure suivante pour vérifier que les clients RADIUS sont correctement configurés sur le serveur local exécutant NPS, afin qu’il puisse traiter des demandes de connexion de client reçues par des serveurs HRA distants.

Pour vérifier des clients RADIUS
  1. Cliquez sur Démarrer, sur Exécuter, tapez nps.msc, puis appuyez sur Entrée.

  2. Dans l’arborescence de la console NPS, double-cliquez sur Clients et serveurs RADIUS, puis cliquez sur Clients RADIUS.

  3. Dans le volet d’informations, double-cliquez sur le nom convivial d’un client RADIUS correspondant à un serveur HRA où NPS est installé et configuré en tant que proxy RADIUS. Si aucune entrée de client RADIUS n’est présente, utilisez la procédure suivante pour créer un nouveau client RADIUS. Cette procédure s’applique uniquement si vous disposez de serveurs HRA distants configurés pour transférer des demandes de connexion au serveur local exécutant NPS.

    1. Cliquez avec le bouton droit sur Clients RADIUS, puis cliquez sur Nouveau.

    2. Sous Nom convivial, tapez un nom pour le client RADIUS (par exemple HRA-1).

    3. Sous Adresse (IP ou DNS), tapez l’adresse IP ou le nom DNS du serveur HRA distant, cliquez sur Vérifier, puis sur Résoudre.

    4. Confirmez que l’adresse IP affichée correspond au serveur HRA distant adéquat, puis cliquez sur OK.

    5. Sous Secret partagé et Confirmez le secret partagé, tapez le secret configuré dans les paramètres du groupe de serveurs RADIUS distants sur le serveur HRA distant.

    6. Si le serveur HRA distant a activé l’attribut d’authentificateur de message dans ses paramètres de configuration de groupe de serveurs RADIUS distants, alors activez la case à cocher Les messages de demande d’accès doivent contenir l’attribut d’authentificateur de message. Si cette option n’est pas activée sur l’autorité HRA distante, vérifiez alors que cette case à cocher est désactivée.

    7. Activez la case à cocher Le client RADIUS est compatible avec le protocole NAP et cliquez sur OK.

    8. Reprenez cette procédure afin de valider la configuration du nouveau client RADIUS.

  4. Dans la fenêtre Propriétés, vérifiez que la case à cocher Activer ce client RADIUS est activée.

  5. Vérifiez que la case à cocher Le client RADIUS est compatible avec le protocole NAP est activée.

  6. Si le serveur HRA distant est configuré de manière à exiger que les demandes d’accès contiennent l’attribut d’authentificateur de message, vérifiez alors que la case à cocher Les messages de demande d’accès doivent contenir l’attribut d’authentificateur de message est activée. Sinon, assurez-vous que cette case à cocher est désactivée.

  7. En regard de Nom du fournisseur, vérifiez que RADIUS Standard est sélectionné.

  8. Sous Adresse (IP ou DNS), confirmez que le nom DNS ou l’adresse IP répertorié correspond au serveur HRA distant correct, puis cliquez sur Vérifier.

  9. Dans la boîte de dialogue Vérifier le client, cliquez sur Résoudre.

  10. Sous Adresse IP, confirmez que l’adresse IP répertoriée corresponde à un serveur HRA qui a été configuré pour transférer des demandes vers le serveur local exécutant NPS et que le serveur local exécutant NPS dispose d’une connectivité réseau vers cette adresse IP.

  11. Cliquez sur OK. Si une non-concordance de secret partagé est suspectée, tapez le secret en regard de Secret partagé et Confirmez le secret partagé, puis cliquez sur OK.

  12. Répétez cette procédure pour chaque serveur HRA sur votre réseau configurée pour transférer des demandes de connexion vers le serveur local exécutant NPS pour un traitement.

Stratégies de demande de connexion

Les stratégies de demande de connexion sont des conditions et des paramètres qui valident des demandes d’accès réseau et spécifient si cette validation est effectuée. Utilisez la procédure suivante pour confirmer que la stratégie de demande de connexion sur le serveur local exécutant NPS est configurée pour la contrainte de mise en conformité IPSec NAP.

Pour vérifier les stratégies de demande de connexion
  1. Dans l’arborescence de la console NPS, double-cliquez sur Stratégies, puis cliquez sur Stratégies de demande de connexion.

  2. Dans le volet d’informations, double-cliquez sur la stratégie de demande de connexion utilisée pour authentifier les demandes d’accès réseau entrantes de clients NAP protégés par IPsec. Si cette stratégie n’est pas présente, suivez les étapes ci-dessous pour créer une stratégie de demande de connexion.

    1. Cliquez avec le bouton droit sur Stratégies de demande de connexion, puis sur Nouvelle.

    2. Sous Nom de la stratégie, tapez un nom pour la stratégie de demande de connexion (par exemple, IPsec NAP avec HRA).

    3. Sous Type de serveur d’accès réseau, sélectionnez Autorité d’inscription d’intégrité, puis cliquez sur Suivant.

    4. La stratégie de demande de connexion nécessite la spécification d’au moins une condition. Pour ajouter une condition qui ne refuse aucune demande d’accès entrante, cliquez sur Ajouter dans la page Spécifier les conditions.

    5. Dans la fenêtre Sélectionner une condition, cliquez sur Restrictions relatives aux jours et aux heures, puis sur Ajouter.

    6. Dans la fenêtre Contraintes heure du jour, sélectionnez Autorisés. Vérifiez que tous les jours et heures sont autorisés, cliquez sur OK, puis sur Suivant.

    7. Si le serveur local exécutant NPS est un serveur de stratégie de contrôle d’intégrité NAP, vérifiez qu’Authentifier les demandes sur ce serveur est sélectionné, cliquez sur Suivant à trois reprises, puis sur Terminer. Si le serveur local exécutant NPS doit transférer des demandes vers un autre serveur pour l’évaluation, voir Vérifier la configuration du proxy NPS.

  3. Sous l’onglet Vue d’ensemble, vérifiez que la case à cocher Stratégie activée est activée.

  4. Sous l’onglet Vue d’ensemble, vérifiez que Type de serveur d’accès réseau correspond à Autorité d’inscription d’intégrité ou à Non spécifié. Pour plus d’informations sur la spécification d’un type de serveur d’accès, voir « Considérations supplémentaires » plus loin dans cette rubrique.

  5. Cliquez sur l’onglet Conditions et vérifiez qu’une correspondance est effectuée pour toutes les conditions configurées avec les clients NAP conformes et non conformes. Par exemple, les Restrictions relatives aux jours et aux heures peuvent être configurées afin de permettre un accès réseau uniquement à des jours et des heures spécifiques.

  6. Cliquez sur l’onglet Paramètres. Sous Méthodes d’authentification nécessaires, cliquez sur Méthodes d’authentification et vérifiez que la case à cocher Remplacer les paramètres d’authentification de stratégie réseau est désactivée.

  7. Sous Transfert de la demande de connexion, cliquez sur Authentification.

  8. Pour activer le serveur local exécutant NPS en tant que serveur de stratégie de contrôle d’intégrité NAP, vérifiez qu’Authentifier les demandes sur ce serveur est sélectionné.

  9. Cliquez sur OK pour fermer la fenêtre des propriétés.

Stratégies réseau

Les stratégies utilisent des conditions, des paramètres et des contraintes pour déterminer ceux qui peuvent se connecter au réseau. Pour évaluer l’état d’intégrité de clients NAP, il doit exister au moins une stratégie réseau qui sera appliquée aux ordinateurs conformes avec les spécifications d’intégrité et au moins une stratégie réseau qui sera appliquée aux ordinateurs non conformes. Utilisez la procédure suivante pour vérifier que ces stratégies ont été créées et configurées pour la contrainte de mise en conformité IPSec NAP.

Pour vérifier les stratégies réseau
  1. Dans l’arborescence de la console NPS, double-cliquez sur Stratégies, puis cliquez sur Stratégies réseau.

  2. Dans le volet d’informations, vérifiez que vous possédez au moins une stratégie pour les ordinateurs conformes et au moins une pour les ordinateurs non conformes et que ces stratégies possèdent un État Activé. Pour activer une stratégie, cliquez avec le bouton droit sur le nom de la stratégie, puis cliquez sur Activer. Si ces stratégies ne sont pas présentes, suivez les étapes ci-dessous pour créer une stratégie réseau.

    1. Cliquez avec le bouton droit sur Stratégies réseau, puis cliquez sur Nouveau.

    2. Sous Nom de la stratégie, tapez un nom pour la stratégie de réseau (par exemple, Conforme IPsec NAP avec HRA ou Non conforme IPsec NAP avec HRA).

    3. Sous Type de serveur d’accès réseau, sélectionnez Autorité d’inscription d’intégrité, puis cliquez sur Suivant.

    4. Dans la page Spécifier les conditions, cliquez sur Ajouter.

    5. Dans Sélectionner une condition, cliquez sur Stratégies de contrôle d’intégrité, puis sur Ajouter.

    6. Si cette stratégie réseau doit être appliquée à des ordinateurs clients conformes, sous Stratégies de contrôle d’intégrité, choisissez une stratégie de contrôle d’intégrité qui a été configurée pour correspondre à un état d’intégrité de client conforme, puis cliquez sur OK.

    7. Si cette stratégie réseau doit être appliquée à des ordinateurs clients non conformes, sous Stratégies de contrôle d’intégrité, choisissez une stratégie de contrôle d’intégrité qui a été configurée pour correspondre à un état d’intégrité de client non conforme, puis cliquez sur OK.

    8. Cliquez sur Suivant, sélectionnez Accès accordé, puis cliquez sur Suivant.

    9. Dans la page Configurer les méthodes d’authentification, activez la case à cocher Vérifier uniquement l’intégrité de l’ordinateur, puis cliquez deux fois sur Suivant.

    10. Dans la page Configurer les paramètres, cliquez sur Contrainte de mise en conformité NAP.

    11. Choisissez un mode de mise en conformité pour cette stratégie. Pour plus d’informations, voir Modes de mise en conformité NAP plus loin dans cette rubrique.

    12. Pour activer la mise à jour automatique de clients non conformes, activez la case à cocher Activer la mise à jour automatique des ordinateurs clients. Si vous ne souhaitez pas activer la mise à jour automatique, désactivez cette case à cocher.

    13. Cliquez sur Suivant, puis sur Terminer.

    14. Reprenez cette procédure afin de valider la configuration de la nouvelle stratégie réseau.

  3. Dans le volet d’informations, vérifiez que l’Ordre de traitement des stratégies est correctement configuré pour votre déploiement. Les stratégies plus spécifiques sont traitées avant les stratégies plus générales. Pour modifier l’ordre des stratégies, cliquez avec le bouton droit sur le nom de la stratégie, puis cliquez sur Monter ou sur Descendre.

  4. Dans le volet d’informations, vérifiez que vos stratégies NAP conformes et non conformes sont configurées avec un Type d’accès Accorder l’accès. Pour configurer les autorisations d’accès, cliquez avec le bouton droit sur le nom de stratégie, cliquez sur Propriétés, sur l’onglet Vue d’ensemble, puis sélectionnez Accorder l’accès.

  5. Dans le volet d’informations, vérifiez que la Source de vos stratégies utilisées pour traiter les clients NAP protégés par IPsec est Autorité d’inscription d’intégrité ou Non spécifié. Pour plus d’informations sur la spécification d’un type de serveur d’accès, voir « Considérations supplémentaires » plus loin dans cette rubrique.

  6. Dans le volet d’informations, double-cliquez sur le nom d’une stratégie réseau utilisée pour la correspondance de clients conformes, puis cliquez sur l’onglet Conditions.

  7. Vérifiez que l’une des conditions au moins spécifiée est Stratégie de contrôle d’intégrité et que Valeur corresponde à une stratégie de contrôle d’intégrité que vous avez configurée pour la correspondance avec un état d’intégrité de client conforme. Si cette condition n’est pas trouvée, suivez les étapes ci-dessous.

    1. Cliquez sur Ajouter, sur Stratégies de contrôle d’intégrité, puis sur Ajouter.

    2. Sous Stratégies de contrôle d’intégrité, choisissez une stratégie qui corresponde à un état d’intégrité de client conforme, puis cliquez sur OK. Si aucune stratégie de contrôle d’intégrité n’est disponible, vérifiez alors les stratégies de contrôle d’intégrité et répétez cette procédure.

  8. Cliquez sur l’onglet Contraintes, puis cliquez sur Méthodes d’authentification.

  9. Vérifiez que la case à cocher Vérifier uniquement l’intégrité de l’ordinateur est activée.

  10. Cliquez sur l’onglet Paramètres, puis sur Contrainte de mise en conformité NAP.

  11. Vérifiez qu’Autoriser un accès réseau complet est sélectionné pour cette stratégie réseau conforme, puis cliquez sur OK. La vérification d’une stratégie réseau conforme est alors terminée.

  12. Dans le volet d’informations, double-cliquez sur le nom d’une stratégie réseau utilisée pour la correspondance de clients non conformes, puis cliquez sur l’onglet Conditions.

  13. Vérifiez que l’une des conditions au moins spécifiée est Stratégie de contrôle d’intégrité et que Valeur corresponde à une stratégie de contrôle d’intégrité que vous avez configurée pour la correspondance avec un état d’intégrité de client non conforme. Si cette condition n’est pas trouvée, suivez les étapes ci-dessous.

    1. Cliquez sur Ajouter, sur Stratégies de contrôle d’intégrité, puis sur Ajouter.

    2. Sous Stratégies de contrôle d’intégrité, choisissez une stratégie qui corresponde à un état d’intégrité de client non conforme, puis cliquez sur OK. Si aucune stratégie de contrôle d’intégrité n’est disponible, vérifiez alors les stratégies de contrôle d’intégrité et répétez cette procédure.

  14. Cliquez sur l’onglet Contraintes, puis cliquez sur Méthodes d’authentification.

  15. Vérifiez que la case à cocher Vérifier uniquement l’intégrité de l’ordinateur est activée.

  16. Cliquez sur l’onglet Paramètres, puis sur Contrainte de mise en conformité NAP.

    • Vérifiez qu’Autoriser un accès limité est sélectionné pour cette stratégie réseau non conforme si vous avez déployé NAP en mode de mise en conformité complet.

    • Vérifiez qu’Autoriser un accès complet au réseau pour une durée limitée est sélectionné pour cette stratégie réseau non conforme si vous avez déployé NAP en mode de mise en œuvre différée.

    • Vérifiez qu’Autoriser un accès réseau complet est sélectionné pour cette stratégie réseau non conforme si vous avez déployé NAP en mode de création de rapports.

    • Vérifiez que la case à cocher Activer la mise à jour automatique des ordinateurs clients est activée si vous souhaitez activer la mise à jour automatique des clients NAP non conformes.

  17. Cliquez sur OK.

  18. Répétez ces étapes comme requis pour vérifier la configuration de chacune des stratégies réseau utilisées pour évaluer des demandes d’accès à partir de clients NAP protégés par IPsec.

Modes de mise en conformité NAP

Lorsque vous activez NAP sur votre réseau, trois modes de mise en conformité sont disponibles. Utilisez ces modes de mise en conformité pour échelonner votre déploiement NAP.

  • Pour activer le mode de création de rapports, sélectionnez Autoriser un accès réseau complet pour les ordinateurs clients NAP conformes et non conformes. En mode de création de rapports, l’état d’intégrité des ordinateurs clients est consigné mais l’accès réseau n’est pas restreint. Les ordinateurs conformes et non conformes reçoivent des certificats d’intégrité.

  • Pour activer le mode de mise en œuvre différée, sélectionnez Autoriser un accès réseau complet dans votre stratégie réseau conforme et Autoriser un accès complet au réseau pour une durée limitée dans votre stratégie réseau non conforme. Vous devez également spécifier une date et une heure lors desquelles l’accès des clients non conformes sera restreint. En mode de mise en œuvre différée, les ordinateurs clients reçoivent immédiatement des notifications NAP s’ils ne sont pas conformes avec les conditions d’intégrité requises par le réseau, mais que leur accès n’est pas restreint avant l’heure et la date spécifiées.

  • Pour activer le mode de mise en conformité complet, sélectionnez Autoriser un accès réseau complet dans votre stratégie réseau conforme et Autoriser un accès limité dans votre stratégie réseau non conforme. En mode de mise en conformité complet, l’accès réseau des ordinateurs clients est immédiatement restreint s’ils ne sont pas conformes avec conditions d’intégrité requises par le réseau.

Stratégies d’intégrité

Les stratégies d’intégrité définissent les programmes de validation d’intégrité système (SHV) évalués, ainsi que leur utilisation dans la validation de la configuration d’ordinateurs qui tentent de se connecter à votre réseau. En fonction des résultats des vérifications des programmes de validation d’intégrité système, les stratégies de contrôle d’intégrité classent l’état d’intégrité des clients. Vous avez besoin d’au moins une stratégie de contrôle d’intégrité qui corresponde à un état d’intégrité de client conforme, et d’au moins une stratégie de contrôle d’intégrité qui corresponde à un état d’intégrité de client non conforme. Utilisez la procédure suivante pour vérifier que ces stratégies de contrôle d’intégrité conformes et non conformes ont été configurées sur le serveur de stratégie de contrôle d’intégrité NAP.

Pour vérifier les stratégies d’intégrité
  1. Dans la console NPS, double-cliquez sur Stratégies, puis cliquez sur Stratégies de contrôle d’intégrité.

  2. Dans le volet d’informations, sous Nom de la stratégie, double-cliquez sur le nom d’une stratégie de contrôle d’intégrité conforme. Si cette stratégie n’est pas présente, utilisez les étapes ci-dessous pour créer une stratégie de contrôle d’intégrité conforme.

    1. Cliquez avec le bouton droit sur Stratégies de contrôle d’intégrité, puis cliquez sur Nouveau.

    2. Sous Nom de la stratégie, tapez un nom pour la stratégie de contrôle d’intégrité conforme (par exemple, Conforme IPsec NAP avec HRA).

    3. Sous Contrôles du client par les programmes de validation d’intégrité système (SHV), sélectionnez Réussite de tous les contrôles SHV pour le client pour créer une stratégie de contrôle d’intégrité stricte, ou sélectionnez Réussite d’un ou de plusieurs contrôles SHV pour le client afin de créer une stratégie de contrôle d’intégrité plus modérée.

    4. Sous Programmes de validation d’intégrité système (SHV) utilisés dans cette stratégie de contrôle d’intégrité, activez la case à cocher située en regard de chaque programme de validation d’intégrité système qui doit être utilisé pour l’évaluation de l’intégrité d’un client. Le Validateur d’intégrité de la sécurité Windows est disponible par défaut. D’autres programmes de validation d’intégrité système sont disponibles s’ils ont été installés.

    5. Cliquez sur OK.

  3. Sous Contrôles du client par les programmes de validation d’intégrité système (SHV), vérifiez qu’Réussite de tous les contrôles SHV pour le client ou qu’Réussite d’un ou de plusieurs contrôles SHV pour le client est sélectionné. Ces conditions servent à créer des stratégies conformes qui sont plus ou moins restrictives, respectivement.

  4. Sous Programmes de validation d’intégrité système (SHV) utilisés dans cette stratégie de contrôle d’intégrité, vérifiez que les cases à cocher situées en regard des programmes de validation d’intégrité système qui doivent être utilisés pour l’évaluation de l’intégrité sur vos ordinateurs clients NAP protégés par IPsec sont activées, puis cliquez sur OK.

  5. Dans le volet d’informations, sous Nom de la stratégie, double-cliquez sur le nom d’une stratégie de contrôle d’intégrité non conforme. Si cette stratégie n’est pas présente, utilisez les étapes ci-dessous pour créer une stratégie de contrôle d’intégrité non conforme.

    1. Cliquez avec le bouton droit sur Stratégies de contrôle d’intégrité, puis cliquez sur Nouveau.

    2. Sous Nom de la stratégie, tapez un nom pour la stratégie de contrôle d’intégrité non conforme (par exemple, Non conforme IPsec NAP avec HRA).

    3. Sous Contrôles du client par les programmes de validation d’intégrité système (SHV), sélectionnez Échec d’un ou de plusieurs contrôles SHV pour le client pour créer une stratégie de contrôle d’intégrité stricte, ou sélectionnez Échec de tous les contrôles SHV pour le client afin de créer une stratégie de contrôle d’intégrité plus modérée.

    4. Sous Programmes de validation d’intégrité système (SHV) utilisés dans cette stratégie de contrôle d’intégrité, activez la case à cocher située en regard de chaque programme de validation d’intégrité système qui doit être utilisé pour l’évaluation de l’intégrité d’un client. Le Validateur d’intégrité de la sécurité Windows est disponible par défaut. D’autres programmes de validation d’intégrité système sont disponibles s’ils ont été installés.

    5. Cliquez sur OK.

  6. Sous Contrôles du client par les programmes de validation d’intégrité système (SHV), vérifiez qu’Échec d’un ou de plusieurs contrôles SHV pour le client ou qu’Échec de tous les contrôles SHV pour le client est sélectionné. Ces conditions servent à créer des stratégies non conformes qui sont plus ou moins restrictives, respectivement.

  7. Sous Programmes de validation d’intégrité système (SHV) utilisés dans cette stratégie de contrôle d’intégrité, vérifiez que les cases à cocher situées en regard des programmes de validation d’intégrité système qui doivent être utilisés pour l’évaluation de l’intégrité sur vos ordinateurs clients NAP protégés par IPsec sont activées, puis cliquez sur OK.

  8. Répétez ces étapes pour toutes les stratégies de contrôle d’intégrité utilisées dans l’évaluation de vos ordinateurs clients NAP protégés par IPsec.

Programmes de validation d’intégrité système (SHV)

Les programmes de validation d’intégrité système (SHV) définissent des conditions de logiciels et de configuration requises pour les ordinateurs qui tentent de se connecter à votre réseau. Utilisez la procédure suivante pour vérifier que des programmes de validation d’intégrité système sont correctement configurés pour votre déploiement.

Pour vérifier les programmes de validation d’intégrité système (SHV)
  1. Dans la console NPS, double-cliquez sur Protection d’accès réseau, puis cliquez sur Programmes de validation d’intégrité système.

  2. Dans le volet d’informations, sous Nom, double-cliquez sur le nom d’un programmes de validation d’intégrité système installé.

  3. La configuration de programmes de validation d’intégrité système varie en fonction de l’implémentation. Si vous utilisez le Programme de validation d’intégrité système Windows, cliquez sur Configurer.

    • Pour configurer des spécifications d’intégrité pour des ordinateurs exécutant Windows Vista, cliquez sur l’onglet Windows Vista.

    • Pour configurer des spécifications d’intégrité pour des ordinateurs exécutant Windows XP avec Service Pack 3, cliquez sur l’onglet Windows XP.

  4. Activez les spécifications d’intégrité en sélectionnant les cases à cocher situées en regard de composants d’intégrité. Désactivez ces cases à cocher pour désactiver les spécifications. Les spécifications d’intégrité disponibles lors de l’utilisation du Programme de validation d’intégrité système Windows incluent : Pare-feu, Protection antivirus, Protection contre les logiciels espions, Mises à jour automatiques et Protection par mise à jour de sécurité.

  5. Cliquez sur OK, puis configurez les résolutions du code d’erreur pour votre déploiement. Les résolutions du code d’erreur déterminent la manière dont les clients sont évalués sous les conditions d’erreur répertoriées. Vous pouvez sélectionner de renvoyer un état Conforme ou Non conforme pour chaque condition.

  6. Cliquez sur OK, puis fermez la console NPS.

Vérifier la configuration du proxy NPS

Utilisez la procédure suivante pour vérifier la configuration du serveur local exécutant NPS en tant que proxy RADIUS. Cette procédure ne s’applique pas si le serveur local exécutant NPS est configuré en tant que serveur de stratégie de contrôle d’intégrité NAP.

Pour vérifier la configuration du proxy NPS
  1. Cliquez sur Démarrer, sur Exécuter, tapez nps.msc, puis appuyez sur Entrée.

  2. Dans l’arborescence de la console, double-cliquez sur Clients et serveurs RADIUS, puis cliquez sur Groupes de serveurs RADIUS distants.

  3. Dans le volet d’informations, sous Nom du groupe, double-cliquez sur le nom d’un groupe de serveurs RADIUS distants. Si aucune entrée de groupe de serveurs RADIUS distants n’apparaît, suivez les étapes ci-dessous pour ajouter un groupe de serveurs RADIUS distants.

    1. Dans l’arborescence de la console, sous Clients et serveurs RADIUS, cliquez avec le bouton droit sur Groupes de serveurs RADIUS distants, puis cliquez sur Nouveau.

    2. Sous Nom du groupe, tapez un nom pour le groupe de serveurs RADIUS distants (par exemple, Serveur1 de stratégie de contrôle d’intégrité NAP).

    3. Cliquez sur Ajouter, puis sous Serveur, tapez le nom DNS ou l’adresse IP d’un serveur exécutant NPS configuré pour évaluer les demandes de connexion de client IPsec NAP transmises depuis le serveur HRA local.

    4. Cliquez sur Vérifier, puis sur Résoudre. Confirmez que l’adresse IP affichée est correcte pour votre déploiement, puis cliquez sur OK.

    5. Cliquez sur l’onglet Authentification/Gestion.

    6. Sous Secret partagé et Confirmez le secret partagé, tapez le secret configuré dans les paramètres NPS sur le serveur de stratégie de contrôle d’intégrité NAP.

    7. Cliquez deux fois sur OK.

  4. Dans la fenêtre des propriétés du groupe de serveurs, sous Serveur RADIUS, cliquez sur le nom d’un serveur Radius distant, puis sur Modifier.

  5. Sous l’onglet Adresse, cliquez sur Vérifier.

  6. Dans la boîte de dialogue Vérifier le client, cliquez sur Résoudre. Vérifiez que l’adresse IP du client RADIUS correspond à un serveur de stratégie de contrôle d’intégrité NAP sur votre réseau, qui est configuré avec un proxy RADIUS correspondant au serveur local exécutant NPS.

  7. Cliquez sur OK, puis sur l’onglet Authentification/Gestion.

  8. Vérifiez que les ports d’authentification et de gestion conviennent à votre déploiement. Le port d’authentification par défaut est 1812 et le port de gestion par défaut est 1813.

  9. Vérifiez que la case à cocher La demande doit contenir l’attribut d’authentificateur de message soit activée uniquement si la spécification de message de demande d’accès correspondante pour l’attribut d’authentificateur de message est activée sur le serveur de stratégie de contrôle d’intégrité NAP. Désactivez cette case à cocher si le serveur de stratégie de contrôle d’intégrité NAP ne nécessite pas cet attribut.

  10. Si une non-concordance de secret partagé est suspectée, tapez le secret en regard de Secret partagé et Confirmez le secret partagé, puis cliquez deux fois sur OK.

  11. Dans la console NPS, double-cliquez sur Stratégies, puis cliquez sur Stratégies de demande de connexion.

  12. Dans le volet d’informations, double-cliquez sur la stratégie de demande de connexion utilisée pour authentifier les demandes d’accès réseau entrantes de clients NAP protégés par IPsec.

  13. Cliquez sur l’onglet Paramètres, puis sous Transfert de la demande de connexion, cliquez sur Authentification.

  14. Vérifiez que Transférer les demandes au groupe de serveurs RADIUS distants suivant pour authentification soit sélectionné, puis assurez-vous que le nom du groupe de serveurs RADIUS distants sélectionné corresponde aux serveurs de stratégie de contrôle d’intégrité NAP corrects sur votre réseau.

  15. Répétez ces étapes pour tous les groupes et serveurs distants exécutant NPS.

  16. Fermez la console NPS.

Considérations supplémentaires

Si le type de serveur d’accès réseau dans la stratégie de demande de connexion et la stratégie réseau est défini par Non spécifié, NPS utilise cette stratégie pour évaluer toutes les demandes de connexion provenant de n’importe quel type de serveur d’accès réseau. Si le type de serveur d’accès réseau possède la valeur Autorité d’inscription d’intégrité, alors seules les demandes de connexion transmises depuis un serveur HRA sont évaluées par cette stratégie. Si une ou plusieurs stratégies activées possèdent une source spécifiée d’Autorité d’inscription d’intégrité, alors toutes les stratégies avec une source Non spécifiée sont ignorées par NPS lors du traitement de demandes d’accès au réseau NAP protégé par IPsec.

Références supplémentaires