Vous pouvez utiliser la console de configuration du client NAP pour spécifier les mécanismes de sécurité qui sont utilisés par un ordinateur client pour communiquer avec des serveurs HRA (Health Registration Authority). Vous pouvez également utiliser cette console pour spécifier les serveurs HRA avec lesquels un ordinateur client peut communiquer. Un ordinateur client doit communiquer avec un serveur HRA pour obtenir un certificat d’intégrité. Un certificat d’intégrité est requis pour la protection d’accès réseau (NAP) avec contrainte IPsec (Internet Protocol security).
Pour spécifier le mécanisme de sécurité utilisé par un client pour communiquer avec un serveur HRA, vous devez configurer la stratégie de demande. La stratégie de demande spécifie l’algorithme de clé asymétrique, l’algorithme de hachage et le fournisseur de services de chiffrement utilisés par un ordinateur client quand il initie une communication avec un serveur HRA. Vous pouvez spécifier un seul algorithme de clé asymétrique, un seul algorithme de hachage et un seul fournisseur de services de chiffrement sur un ordinateur client.
Quand vous configurez un algorithme de clé asymétrique, un algorithme de hachage ou un fournisseur de services de chiffrement sur le client, vous devez configurer exactement la même stratégie de demande sur le serveur HRA. Par exemple, si vous configurez les clients pour un chiffrement de la communication à l’aide du seul algorithme de clé asymétrique RSA (Rivest-Shamir-Adelman) avec une longueur de clé minimale de 128, vous devez alors configurer les serveurs HRA de façon à ce qu’ils acceptent une communication qui est chiffrée avec exactement le même algorithme de clé asymétrique, avec exactement la même longueur de clé minimale. Si les serveurs HRA et les ordinateurs clients ne sont pas configurés de façon à utiliser la même stratégie de demande, ces serveurs HRA ne pourront pas communiquer avec les ordinateurs clients ; il est possible que ces ordinateurs clients soient considérés non conformes, et que leur connectivité réseau s’en trouve limitée. Si vous ne configurez pas les paramètres de stratégie de demande sur un ordinateur client, celui-ci entame un processus de négociation avec le serveur HRA en utilisant le mécanisme de sécurité par défaut pour le chiffrement de la communication.
Important | |
Il est recommandé de ne pas modifier les paramètres de stratégie de demande à moins d’avoir entièrement testé vos propres paramètres dans un environnement de test sécurisé. La modification des paramètres de stratégie de demande peut provoquer la perte de la connectivité réseau des ordinateurs clients. |
Pour spécifier les serveurs HRA avec lesquels vous voulez qu’un ordinateur client communique, vous devez configurer un groupe de serveurs approuvés. Un groupe de serveurs approuvés consiste en un ou plusieurs serveurs HRA. S’il y a plusieurs serveurs HRA dans un groupe de serveurs approuvés, vous pouvez spécifier l’ordre dans lequel les ordinateurs clients tentent de contacter les serveurs. Ceci est utile s’il y a plusieurs serveurs HRA dans différents segments ou domaines du réseau, et que vous voulez définir les priorités selon lesquelles un client tente de se connecter aux serveurs. Vous devez configurer au moins un groupe de serveurs approuvés, sans quoi un ordinateur client ne saura pas comment contacter un serveur HRA pour obtenir un certificat d’intégrité.
Configurer la stratégie de demande du client NAP
Configurer des groupes de serveurs approuvés pour des clients NAP