Une infrastructure de protection d’accès réseau (NAP) comprend des ordinateurs clients NAP, des points de contrainte de mise en conformité NAP et des serveurs de stratégie de contrôle d’intégrité NAP. Des composants facultatifs offrent des serveurs de mises à jour et des serveurs de spécifications d’intégrité.

Ordinateurs clients NAP

Pour accéder au réseau, un client NAP regroupe tout d’abord des informations sur son intégrité grâce à des logiciels installés localement, les agents d’intégrité système (SHA). Chaque agent d’intégrité système installé sur l’ordinateur client fournit des informations sur l’activité actuelle ou les paramètres actifs pour lesquels ils doivent assurer le suivi. Ces informations sont collectées par l’agent NAP, un service s’exécutant sur l’ordinateur local. Le service de l’agent NAP résume l’état d’intégrité de l’ordinateur et transmet ces informations à un ou plusieurs clients de contrainte de mise en conformité NAP. Un client de contrainte est un logiciel qui interagit avec des points de contrainte de mise en conformité NAP pour accéder ou communiquer sur le réseau.

Points de contrainte de mise en conformité NAP

Un point de contrainte de mise en conformité NAP est un serveur ou un périphérique matériel qui fournit un niveau d’accès réseau à l’ordinateur client NAP. Chaque technologie de contrainte de mise en conformité NAP utilise un type de point de contrainte de mise en conformité NAP différent. Reportez-vous au tableau suivant.

Méthode de contrainte de mise en conformité NAP Point de contrainte de mise en conformité NAP

Sécurité du protocole Internet (IPsec)

Autorité HRA (Health Registration Authority) et serveur NPS (Network Policy Server)

802.1X

Commutateur (connexion filaire) ou point d’accès sans fil (connexion sans fil)

Réseau privé virtuel

RRAS

DHCP

DHCP et serveur NPS

Passerelle des services Bureau à distance

Passerelle des services Bureau à distance et serveur NPS

Lorsqu’un point de contrainte de mise en conformité NAP exécute Windows Server 2008 ou Windows Server 2008 R2, il s’agit alors d’un serveur de contrainte de mise en conformité NAP. Tous les serveurs de contrainte de mise en conformité NAP doivent exécuter Windows Server 2008 ou Windows Server 2008 R2. Dans la protection d’accès réseau (NAP) appliquant la contrainte de mise en conformité 802.1X, le point de contrainte de mise en conformité NAP est un commutateur compatible IEEE 802.1X ou un point d’accès sans fil. Les serveurs de contrainte de mise en conformité NAP pour les méthodes de contrainte IPsec, DHCP ou par passerelle des services Bureau à distance doivent également exécuter le serveur NPS configuré comme proxy RADIUS ou comme serveur de stratégie de contrôle d’intégrité NAP. La protection d’accès réseau (NAP) utilisant la contrainte VPN ne nécessite pas l’installation du serveur NPS sur le serveur VPN.

Serveurs de stratégie de contrôle d’intégrité NAP

Un serveur de stratégie de contrôle d’intégrité NAP est un ordinateur exécutant Windows Server 2008 ou Windows Server 2008 R2 sur lequel est installé et configuré le service de rôle NPS pour évaluer l’intégrité des ordinateurs clients NAP. Toutes les technologies de contrainte de mise en conformité NAP nécessitent au moins un serveur de stratégie de contrôle d’intégrité. Un serveur de stratégie de contrôle d’intégrité NAP utilise des stratégies et des paramètres pour évaluer les demandes d’accès réseau qui sont soumises par les ordinateurs clients NAP.

Serveurs de mise à jour de la protection d’accès réseau (NAP)

Les serveurs de mise à jour de la protection d’accès réseau (NAP) offrent des mises à jour et des services aux ordinateurs clients non conformes. Selon la façon dont vous concevez votre réseau de mise à jour, des ordinateurs conformes peuvent également avoir accès à un serveur de mise à jour. Certains exemples de serveurs de mise à jour de la protection d’accès réseau comportent les éléments suivants :

  • Serveurs de signatures antivirus. Si des stratégies de contrôle d’intégrité exigent que les ordinateurs possèdent une signature antivirus récente, les ordinateurs non conformes doivent avoir accès à un serveur qui leur fournisse ces mises à jour.

  • Services WSUS (Windows Server Update Services). Si les stratégies de contrôle d’intégrité exigent que les ordinateurs aient installé les mises à jour de sécurité ou d’autres mises à jour de logiciels récentes, vous pouvez les fournir en plaçant les services WSUS sur votre réseau de mise à jour.

  • Serveurs de composants System Center. Les points de distribution, les points de mise à jour de logiciels et les points de gestion System Center Configuration Manager hébergent les mises à jour de logiciels indispensables pour mettre les ordinateurs en conformité. Lorsque vous déployez la protection d’accès réseau (NAP) avec Configuration Manager, les ordinateurs NAP exigent un accès aux ordinateurs exécutant ces rôles de système de site afin de télécharger leur stratégie de configuration de client, procéder à l’analyse de conformité de la mise à jour des logiciels et télécharger les mises à jour requises.

  • Contrôleurs de domaine. Les ordinateurs non conformes peuvent nécessiter un accès aux services de domaine sur le réseau non conforme à des fins d’authentification, également pour télécharger des stratégies à partir du composant Stratégie de groupe ou gérer des paramètres de profil de domaine.

  • Serveurs DNS. Les ordinateurs non conformes doivent avoir accès au système DNS afin de résoudre des noms d’hôte.

  • Serveur DHCP. Les ordinateurs non conformes doivent avoir accès à un serveur DHCP si le profil IP du client change sur le réseau non conforme ou si le bail DHCP expire.

  • Serveurs de résolution de problèmes. Lorsque vous configurez un groupe de serveurs de mise à jour, vous avez la possibilité de fournir une URL de résolution de problèmes ainsi que des instructions expliquant comment mettre en conformité les ordinateurs avec vos stratégies de contrôle d’intégrité. Vous pouvez proposer une URL différente pour chaque stratégie réseau. Ces URL doivent être accessibles sur le réseau de mise à jour.

  • Autres services. Vous pouvez offrir un accès à Internet sur le réseau de mise à jour afin que les ordinateurs non conformes puissent joindre des services de mise à jour tels que Windows Update et d’autres ressources Internet.

Serveurs de spécifications d’intégrité

Un serveur de spécifications d’intégrité est un ordinateur qui fournit des conditions de stratégie de contrôle d’intégrité et des informations d’évaluation de l’intégrité à un ou plusieurs programmes de validation d’intégrité système. Si l’état d’intégrité signalé par les ordinateurs clients NAP peut être validé par le serveur NPS sans qu’un autre périphérique soit consulté, un serveur de spécifications d’intégrité n’est pas obligatoire. Par exemple, le serveur WSUS n’est pas considéré comme serveur de spécifications d’intégrité lorsqu’il est utilisé avec le programme de validation d’intégrité de la sécurité Windows (WSHV, Windows Security Health Validator). Même si un administrateur peut utiliser la solution WSUS pour spécifier quelles mises à jour les ordinateurs clients doivent avoir installées, c’est l’ordinateur client qui signale s’il les a installées. Dans ce cas, le serveur WSUS est un serveur de mise à jour, et non un serveur de spécifications d’intégrité.

Un serveur de spécifications d’intégrité est utilisé si vous déployez la protection d’accès réseau (NAP) avec le programme de validation d’intégrité système de Configuration Manager. Ce programme contacte un serveur de catalogues global pour valider l’état d’intégrité du client en vérifiant la référence de l’état d’intégrité qui est publiée dans les services de domaine Active Directory. Ainsi, un contrôleur de domaine est un serveur de spécifications d’intégrité si vous avez déployé le programme de validation d’intégrité système de Configuration Manager. D’autres programmes de validation d’intégrité système peuvent également utiliser des serveurs de spécifications d’intégrité.

Références supplémentaires


Table des matières