Windows Server 2008Network Access Protection

8/8/2019 Windows Server 2008Network Access Protection

1/24

Introduction1. Prsentation de NAP

1.1 Une protection ncessaire 1.2 Des technologies prouves 1.3 Principe de fonctionnement de NAP

2. Les lments fondamentaux du systme de protection

2.1 Un nouveau serveur RADIUS : NPS 2.1.1 Clients et serveurs RADIUS 2.1.2 Les stratgies RADIUS 2.1.3 Network Access Protection 2.1.4 L'assistant de configuration de NPS 2.2 La configuration du client NAP 2.3 Les mthodes d'accs au rseau compatibles avec NAP 2.3.1 Le contrle d'accs par DHCP 2.3.2 Le contrle d'accs par 802.1X 2.3.3 Le contrle d'accs par IPSec 2.3.4 Le contrle d'accs par VPN 2.3.5 Le contrle d'accs par Terminal Server

3. Cas pratiques

3.1 Contrle de la conformit par DHCP 3.2 Contrle de la conformit par 802.1X 3.3 Contrle de la conformit par IPSec

Conclusion

IntroductionLe nouveau systme dexploitation serveur de Microsoft, Windows Server 2008, apporte avec lui de

nouvelles fonctionnalits. Parmi elles, la technologie de protection de laccs au rseau : NetworkAccess Protection , plus couramment appele NAP.

NAP est une technologie prometteuse visant empcher laccs complet au rseau un poste ntantpas conforme avec les rgles de scurit de lentreprise, telle que la prsence dun antivirus jour. Leprincipe de cette protection est de demander au client de fournir son tat de sant , au momentmme o il dsire pntrer sur le rseau. Si le client est non-conforme, il sera plac dans une zone dequarantaine de laquelle il ne pourra sortir tant quil ne se sera pas mis en conformit avec la stratgiedu rseau.

1. Prsentation de NAP1.1 Une protection ncessaireDepuis plusieurs annes maintenant, la question de la scurit informatique a pris une placeconsidrable dans les dcisions des entreprises. La majorit dentres elles nhsitent plus investir demanire consquente dans du matriel et des solutions de plus en plus pointues destines garantir lintgrit de leur infrastructure. La plupart du temps, les solutions misent en place visent protger lerseau des menaces extrieures (pare-feu, antivirus etc) ce qui, bien qutre une ncessit absoluepeut savrer de nos jours insuffisante. Imaginons ce scnario, qui malheureusement se produit deplus en plus souvent : un utilisateur qui rentre de quelques semaines de congs se connecte lundi

matin sur le rseau de son entreprise. Ses dfinitions antivirus ntant plus jour et les dernierscorrectifs de scurits nayant pas t installs, comment tre sr que cette machine nest pasinfecte par un malware ? Si cest effectivement le cas, cette machine pourra tout de mme se
http://www.labo-microsoft.com/articles/nap/http://www.labo-microsoft.com/articles/nap/0/#Pres1http://www.labo-microsoft.com/articles/nap/0/#Pres1.1http://www.labo-microsoft.com/articles/nap/0/#Pres1.2http://www.labo-microsoft.com/articles/nap/0/#Pres1.3http://www.labo-microsoft.com/articles/nap/1/#Fond2http://www.labo-microsoft.com/articles/nap/1/#Fond2.1http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.1http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.2http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.3http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.4http://www.labo-microsoft.com/articles/nap/1/#Fond2.2http://www.labo-microsoft.com/articles/nap/1/#Fond2.3http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.1http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.2http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.3http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.4http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.5http://www.labo-microsoft.com/articles/nap/2/#Pract3http://www.labo-microsoft.com/articles/nap/2/#Pract3.1http://www.labo-microsoft.com/articles/nap/2/#Pract3.2http://www.labo-microsoft.com/articles/nap/2/#Pract3.3http://www.labo-microsoft.com/articles/nap/3/http://www.labo-microsoft.com/articles/nap/http://www.labo-microsoft.com/articles/nap/0/#Pres1http://www.labo-microsoft.com/articles/nap/0/#Pres1.1http://www.labo-microsoft.com/articles/nap/0/#Pres1.2http://www.labo-microsoft.com/articles/nap/0/#Pres1.3http://www.labo-microsoft.com/articles/nap/1/#Fond2http://www.labo-microsoft.com/articles/nap/1/#Fond2.1http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.1http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.2http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.3http://www.labo-microsoft.com/articles/nap/1/#Fond2.1.4http://www.labo-microsoft.com/articles/nap/1/#Fond2.2http://www.labo-microsoft.com/articles/nap/1/#Fond2.3http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.1http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.2http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.3http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.4http://www.labo-microsoft.com/articles/template/multi/1/Default.asp#Fond2.3.5http://www.labo-microsoft.com/articles/nap/2/#Pract3http://www.labo-microsoft.com/articles/nap/2/#Pract3.1http://www.labo-microsoft.com/articles/nap/2/#Pract3.2http://www.labo-microsoft.com/articles/nap/2/#Pract3.3http://www.labo-microsoft.com/articles/nap/3/


2/24

connecter en toute srnit sur le rseau interne de lentreprise et ainsi risquer de contaminer lesmachines ntant pas immunises contre cette menace. La parade serait de connecter manuellementle poste risque de cet utilisateur sur un rseau isol sur lequel il pourrait appliquer les derniresmises jour avant de lui rendre un accs complet au reste du rseau, ce qui dans ltat actuel deschoses savrerait mission impossible.

La solution ? La technologie NAP, pour Network Access Protection (Protection de lAccsRseau) , dveloppe par Microsoft. NAP va permettre deffectuer cela de manire automatique ettransparente, que ce soit pour lutilisateur ou pour les quipes informatiques.

1.2 Des technologies prouvesIl existe actuellement plusieurs solutions pour filtrer laccs au rseau, notamment la norme 802.1xainsi que la technologie IPSec. Si cest deux solutions savrent parfaitement au point, il nen demeurepas moins quelles se basent sur une notion didentit (c'est--dire une phase dauthentification) pour autoriser ou refuser laccs au rseau un hte. Bien quutilisant des technologies existantes, telleIPSec, NAP sinscrit dans une optique diffrente. Il ne sagit plus de filtrer laccs au rseau enfonction du compte de lutilisateur ou de la machine, mais en fonction de son tat de sant. Par tat de

sant, on entend la conformit avec les rgles dictes dans lentreprise telles que la prsence dunpare-feu en tat de marche ou encore dun antivirus jour sur le systme.

1.3 Principe de fonctionnement de NAPLe principe de fonctionnement global de NAP est bas sur un couple client/serveur. Lorsque le clienttente daccder au rseau ou une ressource, il devra prsenter son bilan de sant lhte distant.Selon les critres quil soit conforme ou non avec les rgles de lentreprise il se verra autoriser communiquer avec lintgralit du rseau ou seulement une zone restreinte. Pour parvenir ce but,NAP repose sur un ensemble dlments interconnects permettant dvaluer ltat de sant du clientpuis de le transmettre au serveur. Voici les lments importants oprant dans la vrification de laconformit :

SHA (System Health Agent) : les agents de dtat systme analysent diffrents critres dusystme (pare-feu activ, mises jour automatique actives, version des signatures delantivirus etc). La force des SHA est quils reposent sur une structure modulaire ce qui signifiequil est parfaitement possible des diteurs tiers de fournir leur propre SHA afin de tester nimporte quel paramtre du client.

SoH (Statement of Health) : chaque SHA enregistre les informations collectes dans un SoHqui devient donc le bulletin dtat dun agent dtat.

SSoH (System Statement of Health) : tous les bulletins dtat prcdemment crs sontfusionns pour former le bulletin dtat du systme. Cest ce bulletin qui sera transmis auserveur distant.

EC (Enforcement Client) : il sagit du module client qui a pour mission denvoyer le SSoH au

serveur distant. Les EC sont par dfaut au nombre de cinq sur un client NAP. Il sagit desclients DHCP, VPN, 802.1X (filaire ou sans-fil) ainsi que IPSec. ES (Enforcement Server) : il sagit du module serveur sur le serveur daccs (DHCP, VPN etc)

qui doit rcuprer le SSoH du client. NPS (Network Policy Server) : il sagit du nouveau serveur Radius de Microsoft qui a

notamment la capacit de supporter NAP. SHV (System Health Validator) : les SHV sont la version serveur des SHA. Ils ont pour

mission de vrifier la conformit de la configuration du client grce lanalyse des SoH.


3/24

Fonctionnement thorique de la technologie NAP

Quelque soit la mthode de vrification de la conformit utilise, le principe reste toujours le mme :

1. Lorsque le client tente dtablir sa connexion sur un serveur requrant NAP, il est invit fournir son bulletin de sant .

2. Chaque SHA gnre un bulletin dtat SoH indiquant ltat de cet agent. Par exemple, unSHA destin contrler ltat dactivation du pare-feu indiquera dans son SoH si le pare-feuest activ ou non.

3. Les SoH de tous les SHA sont fusionns pour former le bulletin dtat du systme SSoH .4. Le SSoH est transmis par le service NAP au client rseau EC ncessaire.5. Le SSoH est rceptionn par le serveur rseau ES .6. Le serveur rseau ES envoi une demande daccs au serveur Radius NPS/NAP (message

Access-Request ) en lui transmettant le SSoH du client.7. Afin de valider ltat de sant, le serveur NPS transmet le SSoH au serveur dadministration

NAP qui dcompose le SSoH en SoH

8. Chaque SoH est transmis au validateur dtat SHV correspondant.9. Les SHV informent le serveur dadministration NAP du rsultat des analyses .


4/24

10. En fonction des rgles cres sur le serveur NPS, laccs est accord (message Access-Accept ) ou refus avec ventuellement la consigne ncessaire permettant au client de semettre en conformit avec les stratgies, le tout stock dans le SSoHR (Rponse SoH).

11. Le serveur daccs ES transmet, selon la rponse du serveur NPS, les informationsncessaires pour se connecter ou les informations ncessaires pour devenir conforme.

2. Les lments fondamentaux dusystme de protection

Actuellement, le seul systme dexploitation serveur capable de grer la technologie NAP estWindows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gre nativement

toutes les fonctionnalits de NAP, Windows XP quip du service pack 3 (SP3) est lui aussi enmesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPSLa grande nouveaut de Windows Server 2008 en ce qui concerne la protection rseau est soncomposant NPS, acronyme de Network Policy Server. Il sagit du nouveau serveur RADIUS deMicrosoft destin remplacer IAS (Internet Authentification Service). Rappelons quun serveur RADIUS a pour mission de centraliser lauthentification et lautorisation en sappuyant gnralementsur Active Directory. Entirement reconu, le service NPS se prsente comme la cl de voute de latechnologie NAP. Quelque soit la mthode denforcement que vous serez amens mettre en place,la configuration du service NPS sera une tape dterminante dans la procdure.


5/24

Voici les principales options du serveur NPS :

2.1.1 Clients et serveurs RADIUS

Dans notre cas, les clients RADIUS qui seront utiliss seront principalement le serveur daccs distantVPN ainsi que le matriel rseau supportant la norme 802.1X. Il est important de rappeler que lesdonnes transitant entre le client et le serveur RADIUS devraient toujours tre chiffres ( laidedIPSec par exemple). Il est aussi possible via ces options de configuration de crer un ou des


6/24

groupes de serveurs RADIUS distants. Cela permet notre serveur NPS de devenir proxy RADIUS enredirigeant des requtes dautres serveurs RADIUS de lentreprise.

2.1.2 Les stratgies RADIUS

Les stratgies de requtes de connexion : elles sont le point dentre des requtes clients. Cest sur cette page quil nous faudra crer nos stratgies de connexion, gnralement une par mthode deconnexion (DHCP, VPN, HRA etc).

Une stratgie de connexion NPS se dcompose en deux parties :

Les stratgies de requtes de connexion : elles sont le point dentre des requtes clients.Cest sur cette page quil nous faudra crer nos stratgies de connexion, gnralement unepar mthode de connexion (DHCP, VPN, HRA etc). Une stratgie de connexion NPS sedcompose en deux parties :

o Les conditions : configurez ici au minimum une condition qui permettra cette rgledtre slectionne pour cette demande de connexion. Vous pouvez ajoutez descritres comme lappartenance de lutilisateur un groupe spcifique, lheure de lademande ou encore son adresse IP. Pour chaque demande de connexion, NPSparcourra chaque rgle de connexion (par ordre de priorit) jusqu ce quil en trouveune dans laquelle les conditions spcifies correspondent aux paramtres de cettedemande. Si aucune rgle de connexion ne correspond avec la demande en cours,NPS renverra un accs refus au client RADIUS.

o Les paramtres de configuration : lorsque le serveur NPS a trouv une rglecorrespondant aux conditions prcdentes, il consultera les paramtres deconnexions pour savoir comment traiter cette demande. Loption importante dans cetonglet est la manire dont lauthentification sera ralise. Il est possible de rediriger les rgles sur un groupe de serveur RADIUS pralablement cr (voir prcdemment), dautoriser laccs sans vrifier lautorisation (dans ce cas, toutes lesrequtes de connexion correspondantes cette rgle seront automatiquementapprouves) ou encore, ce qui est le cas par dfaut, de traiter les demandes sur ceserveur NPS. Dans ce cas, la requte va tre analyse dans les stratgies rseau.

Les stratgies rseau : deuxime tape du traitement dune requte de connexion, il sagitde vrifier dans les stratgies rseau si la demande doit-tre ou non autorise. Pour cela, ilfaut crer des rgles de rseau. Ces rgles se dcomposent en trois parties :

o Les conditions : comme pour les requtes de connexion, il sagit de spcifier descritres permettant au serveur NPS de dfinir quelle rgle il doit utiliser pour traiter cette demande. Dans le cas de NAP, cest ici quil sera possible de vrifier si larequte provient dun client compatible avec NAP, et si oui, si le client est conforme( compliant ) avec les rgles de sant de lentreprise.

o Les contraintes de connexion : lorsque NPS trouve dans la liste une rgle de rseauutilisable pour autoriser cette demande de connexion, il consulte la liste des

contraintes. Il sagit notamment dans notre cas des mthodes dauthentification. Il estpossible de slectionner des mthodes conventionnelles (MS-CHAP v2, EAP) maisaussi deffectuer uniquement un test de sant, ce qui aura pour effet de ne pasauthentifier lutilisateur. Cela est par exemple utile dans le cas de lenforcement par DHCP qui ne permet pas de fournir les informations dauthentification.

o Les paramtres de configuration de la rgle : cest la partie la plus importante en cequi concerne NAP. Cest ici quil nous est possible de spcifier si le client peutaccder lintgralit du rseau (cas o la machine cliente est considre comme en bonne sant vis vis des rgles de lentreprise) ou si elle doit tre restreinte la zone de quarantaine (machine non-conforme). Cest aussi dans cet onglet quil estpossible de spcifier si lauto-remdiation (facult dindiquer au client non-conformece quil doit faire pour devenir conforme) doit tre utilis.

Les stratgies de sant : cest ici quil nous faudra configurer les rgles de lentreprise enmatire de bonne sant . Typiquement, il nous faudra crer deux stratgies de sant : lapremire indiquant que si le client passe avec succs tous les tests dtat il sera considr


7/24

comme conforme et la deuxime dans laquelle on pourrait dire que si le client choue unseul de ces tests il doit tre considr comme non-conforme

2.1.3 Network Access ProtectionSystem Health Validators : cest ici quil est possible de configurer les validateurs dtat systme

(SHV). Par dfaut, il nexiste quun seul SHV : celui fournit par Microsoft qui a pour fonctionnalitdauditer : ltat du pare-feu, de lantivirus, de la protection antispyware, des mises jour automatiques ainsi que des mises jour installes sur le client. Concernant les mises jour, NPSpourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de sassurer dela conformit du client. Sous Windows XP SP3, la seule option en moins est lanalyse de lantispyware(car non gre dans le centre de scurit de Windows). Cest aussi ici quil est possible de choisir ladcision qui devra tre prise dans le cas o un SHV ou un SHA nest pas disponible. Groupes deserveurs de remdiation : lorsquun client est considr comme non conforme par les stratgies NPS,il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformit.Cela peut inclure des serveurs fournissant les mises jour du systme ou encore de lantivirus.

2.1.4 L'assistant de configuration de NPS

NPS dispose dun assistant simplifiant la cration des stratgies NAP (stratgie de connexion, derseau et de sant). Cet assistant, disponible en cliquant sur le nom du serveur NPS la racine de laconsole, permet de crer toutes les rgles ncessaires au fonctionnement de NAP selon la mthodede connexion que vous choisirez. Bien quassez pratique, il est important de toujours vrifier ce quecontiennent les rgles ainsi cres afin de sassurer quelles correspondent la politique delentreprise, mais aussi quelles sont suffisamment prcises.

2.2 La configuration du client NAP

Au niveau du client, la configuration se rsume activer (si ce nest dj le cas) le service dAgent deProtection Rseau (NAP) ainsi qu activer les mthodes denforcement (Enforcement Client, EC) utiliser. Pour activer ces EC, il suffit douvrir la console MMC de NAP(dmarrer\excuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP ).Lorsque NAP est en fonction sur le client, les messages de contrle sont affichs directement dans labarre des tches. Ces messages permettent lutilisateur de savoir sil a accs ou non la totalit durseau et dans la ngative de consulter les raisons de sa non-conformit. Grace aux stratgies degroupes (GPO), il est possible via Active Directory de configurer tous vos clients dun seul coup. Pour cela, Microsoft a rajout de nouvelles options concernant NAP dans ses modles de GPO. Il est ainsipossible de forcer le dmarrage du service NAP sur le client, de choisir les mthodes denforcementqui devront tre utilises mais aussi de configurer les options ncessaires IPSec (autorit decertification racine de confiance, les IP des serveurs HRA ou encore cration des rgles de connexionIPSec dans la console avance du pare-feu Windows).


8/24

2.3 Les mthodes d'accs au rseau compatiblesavec NAP

Sur Windows Server 2008, NAP dispose nativement de cinq mthodes denforcement chacune

rpondant des besoins diffrents. De par la conception modulaire des composants de NAP, il estpossible denvisager de futures mthodes denforcement. Concernant laccs physique au rseau delentreprise, il existe trois composants permettant de contrler ltat du client : laccs au serveur DHCP, le filtrage laide du protocole 802.1X ainsi que les stratgies IPSec. Pour les clients seconnectant distance via VPN, il est aussi possible via le nouveau serveur daccs distant (Routingand Remote Access Server, RRAS) de Windows Server 2008 deffectuer un contrle lors de laconnexion dun client VPN. Rcemment, Microsoft a aussi dcid de rendre utilisable NAP auxutilisateurs des services de Terminal Server (bureau ou application distante).

Accspar

Infrastructurencessaire Avantages Inconvnients

Niveau descurit

Difficult demise en place

DHCP Serveurs : DHCP,

NPS

Facilit de mise en

place

Protection facilement

contournableVPN Serveurs : RRAS,NPS

Protection de l'accs distance via VPN

Systme d'authentificationpar certificats obligatoires

TS Serveurs : NPS,IIS, TSProtection de l'accs

distant via TSProtection rserve un

usage spcifique

802.1X

Serveur :NPSMatriel rseau

compatible

802.1X et VLAN

Efficacit, utilisableen filaire ou sans-fil

Matriel compatible 802.1Xobligatoire, configuration du

matriel obligatoire

IPSecServeurs : NPS,

HRA, IIS, PKI(IGC)

Mthode la plusscurise, chaqueposte dcide avec

qui il peutcommuniquer.

Difficult de mise en place

2.3.1 Le contrle d'accs par DHCP

La protection rseau par DHCP prsente lavantage de contrler la conformit du client au momentmme o il tente de se connecter au rseau (actuellement seul ladressage IPv4 est support). Lafonction mise en quarantaine du client est base sur la configuration IP qui sera renvoye au clientnon-conforme. Pour cela, une nouvelle classe DHCP ddie NAP t cr permettant deconfigurer des options spcifiques aux clients non conformes. Sa trs grande simplicit de mise enplace cache nanmoins un inconvnient de taille : il est ais pour un utilisateur dutiliser uneconfiguration IP manuelle et donc de contourner la protection. Il est prfrable dans la mesure dupossible dopter pour lune des deux autres mthodes de contrle de laccs au rseau physique.

2.3.2 Le contrle d'accs par 802.1X

Le protocole 802.1X est une norme permettant du matriel rseau tel quun commutateur ou unpoint daccs sans-fil de faire appel un serveur Radius pour authentifier et autoriser les connexionsdun client. Dans le cas de NAP, lintrt va tre de se baser sur ltat de sant du client pour indiquer au matriel non pas si la connexion doit tre accepte ou refuse mais plutt avec qui le client aura la


9/24

possibilit de communiquer. Pour cela il est ncessaire de faire appel une autre fonctionnalit de lapartie matrielle : les VLAN (Virtual Local Area Network). Ces rseaux virtuels permettront dans notrecas de crer deux VLAN distincts : le premier pour les machines conformes, et le deuxime rservaux postes en quarantaine et en attente de remdiation. Cette mthode de contrle daccs reposantprincipalement sur la partie matrielle de votre rseau, il vous faudra avoir du matriel compatible etles connaissances pour mettre en place ce type dinfrastructure. Si vous utilisez dj des systmes

dauthentification par 802.1X il sagit dun excellent moyen de mettre en place efficacement NAP.

2.3.3 Le contrle d'accs par IPSec

La mthode denforcement par IPSec se dmarque par son mode de fonctionnement. A linverse desquatre autres solutions disponibles, laccs ne sera plus filtr au point dentre du rseau (DHCP,VPN etc) mais ce sera chaque machine qui dcidera en fonction de sa configuration si elle peut ounon communiquer avec des htes non conformes. Son principe de fonctionnement part impose uncomposant supplmentaire pour fonctionner : lautorit denregistrement de sant (Health RegistrationAuthorities, HRA). Le rle de cette autorit est de fournir un certificat de sant aux clients conformesavec les rgles inscrites sur le serveur NPS. Ce certificat est un certificat numrique utilisant la normeX509 V3 disposant de deux rles : lauthentification du client et la preuve de la conformit. Lavantage

de ce systme de certificat est quil suffira un client de prsenter son certificat un hte distant pour lui prouver que son tat de sant t dclar conforme par le serveur NPS. Ce certificat a une durede vie trs faible permettant dviter les tches dadministration inhrentes la gestion des certificatsrvoqus. Cette mthode est la plus scurise car elle permet dobtenir une infrastructure scurisepar IPSec qui se base aussi sur ltat de sant du client pour la phase dauthentification.

2.3.4 Le contrle d'accs par VPN

En rendant le service daccs distant (RRAS, Routing and Remote Access Server) de WindowsServer 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clientsdistants. La configuration est relativement aise puisquil suffit dutiliser une authentification par PEAP(Protected-Extensible Authentification Protocol). La mise en quarantaine seffectuera laide de filtresIP configurs sur le serveur NPS. Le niveau de scurit de cette solution dpend directement desstratgies daccs que vous avez cres, et notamment la manire dont seront traits les clients nesupportant par NAP.

2.3.5 Le contrle d'accs par Terminal Server

TS Gateway permet aux utilisateurs de se connecter sur le rseau de lentreprise partir dInternet enutilisant une connexion scurise (RDP over HTTPS). En fonction de votre politique, les utilisateurspourront avoir accs au bureau entier de Windows ou alors une ou plusieurs applications.Limplmentation de NAP permet daugmenter la scurit de votre rseau en acceptant seulement lesclients avec un bulletin de sant conforme votre politique.

2. Les lments fondamentaux dusystme de protection

Actuellement, le seul systme dexploitation serveur capable de grer la technologie NAP estWindows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gre nativementtoutes les fonctionnalits de NAP, Windows XP quip du service pack 3 (SP3) est lui aussi enmesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPSLa grande nouveaut de Windows Server 2008 en ce qui concerne la protection rseau est soncomposant NPS, acronyme de Network Policy Server. Il sagit du nouveau serveur RADIUS de


10/24

Microsoft destin remplacer IAS (Internet Authentification Service). Rappelons quun serveur RADIUS a pour mission de centraliser lauthentification et lautorisation en sappuyant gnralementsur Active Directory. Entirement reconu, le service NPS se prsente comme la cl de voute de latechnologie NAP. Quelque soit la mthode denforcement que vous serez amens mettre en place,la configuration du service NPS sera une tape dterminante dans la procdure.



11/24


Dans notre cas, les clients RADIUS qui seront utiliss seront principalement le serveur daccs distantVPN ainsi que le matriel rseau supportant la norme 802.1X. Il est important de rappeler que lesdonnes transitant entre le client et le serveur RADIUS devraient toujours tre chiffres ( laidedIPSec par exemple). Il est aussi possible via ces options de configuration de crer un ou desgroupes de serveurs RADIUS distants. Cela permet notre serveur NPS de devenir proxy RADIUS enredirigeant des requtes dautres serveurs RADIUS de lentreprise.






o Les paramtres de configuration : lorsque le serveur NPS a trouv une rgle

correspondant aux conditions prcdentes, il consultera les paramtres deconnexions pour savoir comment traiter cette demande. Loption importante dans cetonglet est la manire dont lauthentification sera ralise. Il est possible de rediriger les rgles sur un groupe de serveur RADIUS pralablement cr (voir prcdemment), dautoriser laccs sans vrifier lautorisation (dans ce cas, toutes lesrequtes de connexion correspondantes cette rgle seront automatiquementapprouves) ou encore, ce qui est le cas par dfaut, de traiter les demandes sur ceserveur NPS. Dans ce cas, la requte va tre analyse dans les stratgies rseau.



o Les contraintes de connexion : lorsque NPS trouve dans la liste une rgle de rseauutilisable pour autoriser cette demande de connexion, il consulte la liste descontraintes. Il sagit notamment dans notre cas des mthodes dauthentification. Il estpossible de slectionner des mthodes conventionnelles (MS-CHAP v2, EAP) maisaussi deffectuer uniquement un test de sant, ce qui aura pour effet de ne pasauthentifier lutilisateur. Cela est par exemple utile dans le cas de lenforcement par DHCP qui ne permet pas de fournir les informations dauthentification.

o Les paramtres de configuration de la rgle : cest la partie la plus importante en ce

qui concerne NAP. Cest ici quil nous est possible de spcifier si le client peutaccder lintgralit du rseau (cas o la machine cliente est considre comme en bonne sant vis vis des rgles de lentreprise) ou si elle doit tre restreinte


12/24

la zone de quarantaine (machine non-conforme). Cest aussi dans cet onglet quil estpossible de spcifier si lauto-remdiation (facult dindiquer au client non-conformece quil doit faire pour devenir conforme) doit tre utilis.



2.1.3 Network Access ProtectionSystem Health Validators : cest ici quil est possible de configurer les validateurs dtat systme(SHV). Par dfaut, il nexiste quun seul SHV : celui fournit par Microsoft qui a pour fonctionnalitdauditer : ltat du pare-feu, de lantivirus, de la protection antispyware, des mises jour automatiques ainsi que des mises jour installes sur le client. Concernant les mises jour, NPSpourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de sassurer dela conformit du client. Sous Windows XP SP3, la seule option en moins est lanalyse de lantispyware(car non gre dans le centre de scurit de Windows). Cest aussi ici quil est possible de choisir ladcision qui devra tre prise dans le cas o un SHV ou un SHA nest pas disponible. Groupes de

serveurs de remdiation : lorsquun client est considr comme non conforme par les stratgies NPS,il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformit.Cela peut inclure des serveurs fournissant les mises jour du systme ou encore de lantivirus.



2.2 La configuration du client NAPAu niveau du client, la configuration se rsume activer (si ce nest dj le cas) le service dAgent deProtection Rseau (NAP) ainsi qu activer les mthodes denforcement (Enforcement Client, EC) utiliser. Pour activer ces EC, il suffit douvrir la console MMC de NAP(dmarrer\excuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP ).Lorsque NAP est en fonction sur le client, les messages de contrle sont affichs directement dans labarre des tches. Ces messages permettent lutilisateur de savoir sil a accs ou non la totalit durseau et dans la ngative de consulter les raisons de sa non-conformit. Grace aux stratgies de

groupes (GPO), il est possible via Active Directory de configurer tous vos clients dun seul coup. Pour cela, Microsoft a rajout de nouvelles options concernant NAP dans ses modles de GPO. Il est ainsipossible de forcer le dmarrage du service NAP sur le client, de choisir les mthodes denforcementqui devront tre utilises mais aussi de configurer les options ncessaires IPSec (autorit decertification racine de confiance, les IP des serveurs HRA ou encore cration des rgles de connexionIPSec dans la console avance du pare-feu Windows).


13/24


Sur Windows Server 2008, NAP dispose nativement de cinq mthodes denforcement chacunerpondant des besoins diffrents. De par la conception modulaire des composants de NAP, il estpossible denvisager de futures mthodes denforcement. Concernant laccs physique au rseau delentreprise, il existe trois composants permettant de contrler ltat du client : laccs au serveur DHCP, le filtrage laide du protocole 802.1X ainsi que les stratgies IPSec. Pour les clients seconnectant distance via VPN, il est aussi possible via le nouveau serveur daccs distant (Routing

and Remote Access Server, RRAS) de Windows Server 2008 deffectuer un contrle lors de laconnexion dun client VPN. Rcemment, Microsoft a aussi dcid de rendre utilisable NAP auxutilisateurs des services de Terminal Server (bureau ou application distante).

Accspar


Niveau descurit


DHCP Serveurs : DHCP,NPSFacilit de mise en

placeProtection facilement

contournable

VPN Serveurs : RRAS,NPSProtection de l'accs distance via VPN




usage spcifique

802.1X


compatible802.1X et VLAN



matriel obligatoire


HRA, IIS, PKI(IGC)







14/24


Le protocole 802.1X est une norme permettant du matriel rseau tel quun commutateur ou unpoint daccs sans-fil de faire appel un serveur Radius pour authentifier et autoriser les connexionsdun client. Dans le cas de NAP, lintrt va tre de se baser sur ltat de sant du client pour indiquer au matriel non pas si la connexion doit tre accepte ou refuse mais plutt avec qui le client aura lapossibilit de communiquer. Pour cela il est ncessaire de faire appel une autre fonctionnalit de lapartie matrielle : les VLAN (Virtual Local Area Network). Ces rseaux virtuels permettront dans notrecas de crer deux VLAN distincts : le premier pour les machines conformes, et le deuxime rservaux postes en quarantaine et en attente de remdiation. Cette mthode de contrle daccs reposantprincipalement sur la partie matrielle de votre rseau, il vous faudra avoir du matriel compatible etles connaissances pour mettre en place ce type dinfrastructure. Si vous utilisez dj des systmesdauthentification par 802.1X il sagit dun excellent moyen de mettre en place efficacement NAP.


La mthode denforcement par IPSec se dmarque par son mode de fonctionnement. A linverse desquatre autres solutions disponibles, laccs ne sera plus filtr au point dentre du rseau (DHCP,VPN etc) mais ce sera chaque machine qui dcidera en fonction de sa configuration si elle peut ounon communiquer avec des htes non conformes. Son principe de fonctionnement part impose uncomposant supplmentaire pour fonctionner : lautorit denregistrement de sant (Health RegistrationAuthorities, HRA). Le rle de cette autorit est de fournir un certificat de sant aux clients conformesavec les rgles inscrites sur le serveur NPS. Ce certificat est un certificat numrique utilisant la normeX509 V3 disposant de deux rles : lauthentification du client et la preuve de la conformit. Lavantagede ce systme de certificat est quil suffira un client de prsenter son certificat un hte distant pour lui prouver que son tat de sant t dclar conforme par le serveur NPS. Ce certificat a une durede vie trs faible permettant dviter les tches dadministration inhrentes la gestion des certificatsrvoqus. Cette mthode est la plus scurise car elle permet dobtenir une infrastructure scurisepar IPSec qui se base aussi sur ltat de sant du client pour la phase dauthentification.

2.3.4 Le contrle d'accs par VPNEn rendant le service daccs distant (RRAS, Routing and Remote Access Server) de WindowsServer 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clientsdistants. La configuration est relativement aise puisquil suffit dutiliser une authentification par PEAP(Protected-Extensible Authentification Protocol). La mise en quarantaine seffectuera laide de filtresIP configurs sur le serveur NPS. Le niveau de scurit de cette solution dpend directement desstratgies daccs que vous avez cres, et notamment la manire dont seront traits les clients nesupportant par NAP.



Les lments fondamentaux dusystme de protection

Actuellement, le seul systme dexploitation serveur capable de grer la technologie NAP estWindows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gre nativement


15/24

toutes les fonctionnalits de NAP, Windows XP quip du service pack 3 (SP3) est lui aussi enmesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPS

La grande nouveaut de Windows Server 2008 en ce qui concerne la protection rseau est soncomposant NPS, acronyme de Network Policy Server. Il sagit du nouveau serveur RADIUS deMicrosoft destin remplacer IAS (Internet Authentification Service). Rappelons quun serveur RADIUS a pour mission de centraliser lauthentification et lautorisation en sappuyant gnralementsur Active Directory. Entirement reconu, le service NPS se prsente comme la cl de voute de latechnologie NAP. Quelque soit la mthode denforcement que vous serez amens mettre en place,la configuration du service NPS sera une tape dterminante dans la procdure.


16/24



Dans notre cas, les clients RADIUS qui seront utiliss seront principalement le serveur daccs distantVPN ainsi que le matriel rseau supportant la norme 802.1X. Il est important de rappeler que lesdonnes transitant entre le client et le serveur RADIUS devraient toujours tre chiffres ( laidedIPSec par exemple). Il est aussi possible via ces options de configuration de crer un ou des


17/24

groupes de serveurs RADIUS distants. Cela permet notre serveur NPS de devenir proxy RADIUS enredirigeant des requtes dautres serveurs RADIUS de lentreprise.






o Les paramtres de configuration : lorsque le serveur NPS a trouv une rglecorrespondant aux conditions prcdentes, il consultera les paramtres deconnexions pour savoir comment traiter cette demande. Loption importante dans cetonglet est la manire dont lauthentification sera ralise. Il est possible de rediriger les rgles sur un groupe de serveur RADIUS pralablement cr (voir prcdemment), dautoriser laccs sans vrifier lautorisation (dans ce cas, toutes lesrequtes de connexion correspondantes cette rgle seront automatiquementapprouves) ou encore, ce qui est le cas par dfaut, de traiter les demandes sur ceserveur NPS. Dans ce cas, la requte va tre analyse dans les stratgies rseau.



o Les contraintes de connexion : lorsque NPS trouve dans la liste une rgle de rseauutilisable pour autoriser cette demande de connexion, il consulte la liste des

contraintes. Il sagit notamment dans notre cas des mthodes dauthentification. Il estpossible de slectionner des mthodes conventionnelles (MS-CHAP v2, EAP) maisaussi deffectuer uniquement un test de sant, ce qui aura pour effet de ne pasauthentifier lutilisateur. Cela est par exemple utile dans le cas de lenforcement par DHCP qui ne permet pas de fournir les informations dauthentification.

o Les paramtres de configuration de la rgle : cest la partie la plus importante en cequi concerne NAP. Cest ici quil nous est possible de spcifier si le client peutaccder lintgralit du rseau (cas o la machine cliente est considre comme en bonne sant vis vis des rgles de lentreprise) ou si elle doit tre restreinte la zone de quarantaine (machine non-conforme). Cest aussi dans cet onglet quil estpossible de spcifier si lauto-remdiation (facult dindiquer au client non-conformece quil doit faire pour devenir conforme) doit tre utilis.



18/24


2.1.3 Network Access ProtectionSystem Health Validators : cest ici quil est possible de configurer les validateurs dtat systme

(SHV). Par dfaut, il nexiste quun seul SHV : celui fournit par Microsoft qui a pour fonctionnalitdauditer : ltat du pare-feu, de lantivirus, de la protection antispyware, des mises jour automatiques ainsi que des mises jour installes sur le client. Concernant les mises jour, NPSpourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de sassurer dela conformit du client. Sous Windows XP SP3, la seule option en moins est lanalyse de lantispyware(car non gre dans le centre de scurit de Windows). Cest aussi ici quil est possible de choisir ladcision qui devra tre prise dans le cas o un SHV ou un SHA nest pas disponible. Groupes deserveurs de remdiation : lorsquun client est considr comme non conforme par les stratgies NPS,il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformit.Cela peut inclure des serveurs fournissant les mises jour du systme ou encore de lantivirus.



2.2 La configuration du client NAP

Au niveau du client, la configuration se rsume activer (si ce nest dj le cas) le service dAgent deProtection Rseau (NAP) ainsi qu activer les mthodes denforcement (Enforcement Client, EC) utiliser. Pour activer ces EC, il suffit douvrir la console MMC de NAP(dmarrer\excuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP ).Lorsque NAP est en fonction sur le client, les messages de contrle sont affichs directement dans labarre des tches. Ces messages permettent lutilisateur de savoir sil a accs ou non la totalit durseau et dans la ngative de consulter les raisons de sa non-conformit. Grace aux stratgies degroupes (GPO), il est possible via Active Directory de configurer tous vos clients dun seul coup. Pour cela, Microsoft a rajout de nouvelles options concernant NAP dans ses modles de GPO. Il est ainsipossible de forcer le dmarrage du service NAP sur le client, de choisir les mthodes denforcementqui devront tre utilises mais aussi de configurer les options ncessaires IPSec (autorit decertification racine de confiance, les IP des serveurs HRA ou encore cration des rgles de connexionIPSec dans la console avance du pare-feu Windows).


19/24


Sur Windows Server 2008, NAP dispose nativement de cinq mthodes denforcement chacune

rpondant des besoins diffrents. De par la conception modulaire des composants de NAP, il estpossible denvisager de futures mthodes denforcement. Concernant laccs physique au rseau delentreprise, il existe trois composants permettant de contrler ltat du client : laccs au serveur DHCP, le filtrage laide du protocole 802.1X ainsi que les stratgies IPSec. Pour les clients seconnectant distance via VPN, il est aussi possible via le nouveau serveur daccs distant (Routingand Remote Access Server, RRAS) de Windows Server 2008 deffectuer un contrle lors de laconnexion dun client VPN. Rcemment, Microsoft a aussi dcid de rendre utilisable NAP auxutilisateurs des services de Terminal Server (bureau ou application distante).

Accspar


Niveau descurit


DHCP Serveurs : DHCP,

NPS

Facilit de mise en

place

Protection facilement

contournableVPN Serveurs : RRAS,NPS

Protection de l'accs distance via VPN




usage spcifique

802.1X


compatible

802.1X et VLAN



matriel obligatoire


HRA, IIS, PKI(IGC)







Le protocole 802.1X est une norme permettant du matriel rseau tel quun commutateur ou unpoint daccs sans-fil de faire appel un serveur Radius pour authentifier et autoriser les connexionsdun client. Dans le cas de NAP, lintrt va tre de se baser sur ltat de sant du client pour indiquer au matriel non pas si la connexion doit tre accepte ou refuse mais plutt avec qui le client aura la


20/24

possibilit de communiquer. Pour cela il est ncessaire de faire appel une autre fonctionnalit de lapartie matrielle : les VLAN (Virtual Local Area Network). Ces rseaux virtuels permettront dans notrecas de crer deux VLAN distincts : le premier pour les machines conformes, et le deuxime rservaux postes en quarantaine et en attente de remdiation. Cette mthode de contrle daccs reposantprincipalement sur la partie matrielle de votre rseau, il vous faudra avoir du matriel compatible etles connaissances pour mettre en place ce type dinfrastructure. Si vous utilisez dj des systmes

dauthentification par 802.1X il sagit dun excellent moyen de mettre en place efficacement NAP.


La mthode denforcement par IPSec se dmarque par son mode de fonctionnement. A linverse desquatre autres solutions disponibles, laccs ne sera plus filtr au point dentre du rseau (DHCP,VPN etc) mais ce sera chaque machine qui dcidera en fonction de sa configuration si elle peut ounon communiquer avec des htes non conformes. Son principe de fonctionnement part impose uncomposant supplmentaire pour fonctionner : lautorit denregistrement de sant (Health RegistrationAuthorities, HRA). Le rle de cette autorit est de fournir un certificat de sant aux clients conformesavec les rgles inscrites sur le serveur NPS. Ce certificat est un certificat numrique utilisant la normeX509 V3 disposant de deux rles : lauthentification du client et la preuve de la conformit. Lavantage

de ce systme de certificat est quil suffira un client de prsenter son certificat un hte distant pour lui prouver que son tat de sant t dclar conforme par le serveur NPS. Ce certificat a une durede vie trs faible permettant dviter les tches dadministration inhrentes la gestion des certificatsrvoqus. Cette mthode est la plus scurise car elle permet dobtenir une infrastructure scurisepar IPSec qui se base aussi sur ltat de sant du client pour la phase dauthentification.

2.3.4 Le contrle d'accs par VPN

En rendant le service daccs distant (RRAS, Routing and Remote Access Server) de WindowsServer 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clientsdistants. La configuration est relativement aise puisquil suffit dutiliser une authentification par PEAP(Protected-Extensible Authentification Protocol). La mise en quarantaine seffectuera laide de filtresIP configurs sur le serveur NPS. Le niveau de scurit de cette solution dpend directement desstratgies daccs que vous avez cres, et notamment la manire dont seront traits les clients nesupportant par NAP.



3. Cas pratiquesCette partie va tre consacre la mise en place de NAP avec les trois enforcements suivants :DHCP, 802.1x et enfin IPSec. Cela permettra dillustrer la manire de fonctionnement des diffrentesmthodes daccs rseau.

3.1 Contrle de la conformit par DHCP

Composants ncessaires :Pour la mise en place du DHCP avec NAP, nous allons avoir besoin du matriel suivant :


21/24

1. Un Windows Server 20082. Un client sous Windows Vista ou XP SP3

Configuration de Windows Server 2008 :Sur ce serveur nous allons installer les rles suivants : Contrleur de domaine, DNS, DHCP, NPS.Une fois les diffrents rles installs, la premire tape est dactiver la fonctionnalit de NAP sur

ltendue DHCP. Cette option se configure dans les proprits de ltendue grce au nouvel onglet Network Access Protection . Il est aussi possible de configurer le comportement du serveur DHCPsi le serveur NPS est inaccessible dans les proprits IPv4.Au niveau des options dtendue, une nouvelle classe dutilisateur est ajoute Default NetworkAccess Protection Class . Cette nouvelle option est utilise lorsque un client non conforme fait unedemande dadresse IP. Les clients conformes utiliseront la classe dutilisateur par dfaut.La dernire tape est la configuration du serveur NPS en crant les stratgies rseaux avec ou sanslaide de lassistant.

3.2 802.1xComposants ncessaires :

1. Un Windows Server 2008 excutant NPS2. Un client sous Windows Vista ou XP SP33. Un commutateur ou une borne wifi prenant en charge le protocole 802.1X et la gestion des

VLAN

Configuration de Windows Server 2008 :La configuration de la partie systme est relativement simple. Premirement, il faut installer uncertificat dordinateur sur notre Windows Server 2008 permettant de faire fonctionner correctementlauthentification PEAP (Protected Extensible Authentication Protocol).Afin dautoriser le client RADIUS communiquer avec notre serveur NPS, il faut lajouter comme clientRADIUS et slectionner la case indiquant que le client RADIUS est compatible avec NAP ( Client isNAP-Capable ).Vient ensuite la configuration des stratgies NPS. Pour cela nous crerons une stratgie de connexionpossdant une condition base sur ladresse IP du client RADIUS, c'est--dire le point daccs ou lecommutateur 802.1X.Dernier point concernant la configuration de notre serveur NPS : crer la rgle de rseau permettantde spcifier sur quel VLAN doit tre un client Conforme et sur quel VLAN sera un client non-conforme . Pour cela nous ferons appel lattribut VLAN ID de RADIUS.

Configuration de la partie matrielle :Le commutateur ou le point daccs sans-fil devra tre configur de manire grer deux VLAN. Lepremier sera rserv aux ordinateurs ayant t dclar conforme par le serveur NPS, et le deuximesera constitu des machines en quarantaine. Ce dernier VLAN devra bien sr contenir les ventuelsserveurs de remdiation. Dernier point de la configuration matrielle : activer le protocole 802.1X afinde rediriger lauthentification sur le serveur NPS.

3.3 IPSecAvec lutilisation de NAP, IPSec utilisera lauthentification par certificat. Il faudra donc mettre en placeune infrastructure de gestion de cls (IGC ou PKI Public Key Infrastructure). Le principe pour chaque ordinateur est de demander un certificat de sant pour pouvoir communiquer avec les autres

postes.IPsec va diviser votre rseau en trois zones logiques. Le but de cette division est de limiter laccs auxordinateurs nayant pas de certificat de sant et de permettre aux ordinateurs conformes votre


22/24

politique de sant de pourvoir communiquer de faon scuris. De cette manire, les ordinateursconformes auront un accs total au rseau et les non-conformes ne pourront accder quau serveur de remediation pour se mettre jour ou au HRA pour demander un certificat de sant.Les trois zones logiques sont les suivantes :

La zone scurise :

Les ordinateurs de cette zone ont obligatoirement un certificat de sant valide et ils vont exiger uncertificat de sant pour les authentifications entrantes mais ne vont pas exiger de certificat pour lesconnexions sortantes. Grce cette politique, les ordinateurs de la zone scurise ont accs auxressources de toutes les zones et seulement les ordinateurs ayant un certificat de sant ont accs auxressources de cette zone.On peut par exemple mettre dans cette zone les serveurs Mails et le serveur NPS.

La zone intermdiaire :Les ordinateurs membres de cette zone ont tous un certificat de sant valide mais ne vont pas exiger de certificats pour les connexions entrantes. Cette politique permet aux ordinateurs membres de lazones scurise et intermdiaire de communiquer de faon scurise. Les autres ordinateurs nayantpas de certificats de sant pourront aussi communiquer avec les ordinateurs de cette zone.On met gnralement dans cette zone le serveur HRA pour que les clients conformes nayant pas decertificat puissent en avoir un. On y inclut aussi les serveurs de remediation pour mettre jour lesclients non conformes.

La zone restreinte :Dans cette zone se trouve les ordinateurs nayant pas de certificats de sant valide. Il peut y avoir lesordinateurs non conformes et les conformes mais qui nont pas encore reu leur certificat de sant.Les ordinateurs de cette zone ont accs aux ressources de la zone intermdiaire pour demander uncertificat de sant au HRA ou se mettre jour pour devenir conforme en se connectant au serveur de remediation .


23/24

Composants ncessaires :

1. Un Windows Server 20032. Un Windows Server 20083. Un client sous Windows Vista ou XP SP3

Configuration de Windows Server 2003Notre Windows Server 2003 devra grer les rles suivants : Contrleur de domaine et autorit decertification racine.Aprs linstallation des diffrents rles, nous allons crer un groupe de scurit local dexemption pour


24/24

y mettre le serveur NPS. Les ordinateurs de ce groupe dexemption pourront avoir un certificat desant sans vrification. Ce certificat est valable un an alors que les certificats de sant pour les clientsdevront tre renouveler par dfaut toutes les 4 heures.Il faudra ensuite configurer les modles de certificats. Le plus simple est de dupliquer le modle decertificat Authentification de station de travail pour crer le certificat de sant et de le publier dansActive Directory. Dans longlet scurit du certificat, il faudra ajouter le groupe dexemption pour quil

puisse sinscrire automatiquement ce certificat.Le paramtre dinscription automatique des certificats doit aussi tre activ laide dune GPOs.La dernire tape sur le serveur 2003 consiste crer deux OUs : Zone intermdiaire et Zonescurise . Nous mettrons dans ces OUs les ordinateurs appartenant aux deux zones : Scurise etintermdiaire.

Configuration de Windows Server 2008 :Le serveur 2008 devra grer les rles suivants : NPS, HRA, autorit de certification et IISLautorit de certification doit tre une autorit de certification secondaire (Subordinate CA) en mode Standalone (cest dire quelle ne devra pas utiliser Active Directory pour fonctionner).La premire chose faire est de rajouter le serveur NPS au groupe AD dexemption crprcdemment pour quil puisse rcuprer un certificat de sant valable 1 an.Le HRA doit permettre au service rseau de dlivrer et de grer les certificats. Cette permission est configurer dans longlet scurit de lautorit de certification.La dernire tape est de configurer le serveur NPS. La faon la plus simple est de crer directementles stratgies rseaux avec lassistant de configuration.

Plannification :De par sa gestion non-centralise, cest dire que la connexion rseau nest pas contrle en ununique point dentre comme pour les autres mthodes denforcement, le dploiement de NAP par IPSec dans un environnement de production se doit tre planifi avec encore plus de soin que pour les autres solutions et la phase de test doit tre rigoureuse et approfondie. En effet, une erreur deconfiguration pourrait entraner une rupture de la communication des clients avec tous les autreshtes rseaux. Si cela survenait, il faudrait reprendre la configuration de chaque machines la main.

3. ConclusionBien quencore en version bta, NAP sannonce dj comme une technologie quasi incontournablepour contrler efficacement ltat des machines de nos infrastructures informatiques. Microsoft arussi un tour de force avec ce produit en basant son systme sur des technologies telle IPSec,dsormais courantes en entreprise. Dautre part, avec sa structure modulaire et les nombreuxpartenaires de Microsoft impliqus dans cette aventure, il ya fort parier que NAP voluerarapidement pour combler tous les besoins de lentreprise dans un domaine assez nouveau en scuritinformatique : le contrle de laccs rseau par ltat de sant.

Windows Server 2008Network Access Protection

Documents

Transcript of Windows Server 2008Network Access Protection