Dans le cadre des stratégies IPsec (Internet Protocol security) pour le Pare-feu Windows, la protection d’accès réseau NAP (Network Access Protection) se déploie à l’aide d’un serveur de certificats d’intégrité, un serveur d’Autorité HRA (Health Registration Authority), un serveur exécutant NPS et un client de contrainte IPsec. Le serveur de certificats d’intégrité délivre des certificats X.509 aux clients NAP reconnus conformes. Ces certificats sont ensuite utilisés pour authentifier les clients NAP lorsqu’ils initient des communications IPsec avec d’autres clients NAP sur un intranet.
Comme elle n’autorise que les communications entre clients conformes sur votre réseau, la contrainte IPsec fournit la plus forte implémentation de la protection d’accès réseau NAP. L’utilisation d’IPsec par cette méthode de contrainte vous permet de définir les configurations requises pour des communications sécurisées au niveau de l’adresse IP individuelle ou du numéro de port TCP/UDP.
Configuration requise
Pour déployer la protection NAP avec IPsec et HRA, vous devez configurer les éléments suivants :
-
Dans NPS, configurez la stratégie de demande de connexion, la stratégie réseau et la stratégie de contrôle d’intégrité NAP. Vous pouvez configurer ces stratégies individuellement à l’aide de la console NPS, ou utiliser l’Assistant Nouvelles stratégies de protection d’accès réseau.
-
Activez le client de contrainte de mise en conformité NAP IPsec et le service NAP sur les ordinateurs clients compatibles avec la protection NAP.
-
Installez HRA sur l’ordinateur local ou sur un ordinateur distant.
-
Installez et configurez les services de certificats Active Directory® et les Modèles de certificats.
-
Configurez la stratégie de groupe et tous les autres paramètres requis pour votre déploiement.
-
Configurez le Validateur d’intégrité de la sécurité Windows ou installez et configurez d’autres agents d’intégrité système et programmes de validation d’intégrité système, en fonction de votre déploiement NAP.
Si l’Autorité HRA n’est pas installée sur l’ordinateur local, vous devez aussi effectuer les opérations suivantes :
-
Installez NPS sur l’ordinateur qui exécute HRA.
-
Sur le serveur NPS HRA distant, configurez NPS en tant que proxy RADIUS (Remote Authentication Dial-In User Service) afin de transférer les demandes de connexion au serveur NPS local.
Pour plus d’informations sur HRA, ouvrez la console HRA, puis appuyez sur F1 pour accéder à l’aide.