Вы находитесь на странице: 1из 11

Windows Server 2008 Network Access Protection Introduction

Le nouveau systme dexploitation serveur de Microsoft, Windows Server 2008, apporte avec lui de nouvelles fonctionnalits. Parmi elles, la technologie de protection de laccs au rseau : Network Access Protection, plus couramment appele NAP. NAP est une technologie prometteuse visant empcher laccs complet au rseau un poste ntant pas conforme avec les rgles de scurit de lentreprise, telle que la prsence dun antivirus jour. Le principe de cette protection est de demander au client de fournir son tat de sant , au moment mme o il dsire pntrer sur le rseau. Si le client est non-conforme, il sera plac dans une zone de quarantaine de laquelle il ne pourra sortir tant quil ne se sera pas mis en conformit avec la stratgie du rseau.

1. Prsentation de NAP
1.1 Une protection ncessaire
Depuis plusieurs annes maintenant, la question de la scurit informatique a pris une place considrable dans les dcisions des entreprises. La majorit dentre elles nhsitent plus investir de manire consquente dans du matriel et des solutions de plus en plus pointues destines garantir lintgrit de leur infrastructure. La plupart du temps, les solutions misent en place visent protger le rseau des menaces extrieures (pare-feu, antivirus etc.) ce qui, bien qutre une ncessit absolue peut savrer de nos jours insuffisante. Imaginons ce scnario, qui malheureusement se produit de plus en plus souvent : un utilisateur qui rentre de quelques semaines de congs se connecte lundi matin sur le rseau de son entreprise. Ses dfinitions antivirus ntant plus jour et les derniers correctifs de scurits nayant pas t installs, comment tre sr que cette machine nest pas infecte par un malware ? Si cest effectivement le cas, cette machine pourra tout de mme se connecter en toute srnit sur le rseau interne de lentreprise et ainsi risquer de contaminer les machines ntant pas immunises contre cette menace. La parade serait de connecter manuellement le poste risque de cet utilisateur sur un rseau isol sur lequel il pourrait appliquer les dernires mises jour avant de lui rendre un accs complet au reste du rseau, ce qui dans ltat actuel des choses savrerait mission impossible. La solution ? La technologie NAP, pour Network Access Protection (Protection de lAccs Rseau), dveloppe par Microsoft. NAP va permettre deffectuer cela de manire automatique et transparente, que ce soit pour lutilisateur ou pour les quipes informatiques.

1.2 Des technologies prouves


Il existe actuellement plusieurs solutions pour filtrer laccs au rseau, notamment la norme 802.1x ainsi que la technologie IPSec. Si cest deux solutions savrent parfaitement au point, il nen demeure pas moins quelles se basent sur une notion didentit (c'est--dire une phase dauthentification) pour autoriser ou refuser laccs au rseau un hte. Bien quutilisant des technologies existantes, telle IPSec, NAP sinscrit dans une optique diffrente. Il ne sagit plus de filtrer laccs au rseau en fonction du compte de lutilisateur ou de la machine, mais en fonction de son tat de sant. Par tat de sant, on entend la conformit avec les rgles dictes dans lentreprise telles que la prsence dun pare-feu en tat de marche ou encore dun antivirus jour sur le systme.

1.3 Principe de fonctionnement de NAP


Le principe de fonctionnement global de NAP est bas sur un couple client/serveur. Lorsque le client tente daccder au rseau ou une ressource, il devra prsenter son bilan de sant lhte distant. Selon les critres quil soit conforme ou non avec les rgles de lentreprise il se verra autoriser communiquer avec lintgralit du rseau ou seulement une zone restreinte. Pour parvenir ce but, NAP repose sur un ensemble dlments interconnects permettant dvaluer ltat de sant du client puis de le transmettre au serveur. Voici les lments importants oprant dans la vrification de la conformit :

SHA (System Health Agent) : les agents de dtat systme analysent diffrents critres du systme (pare-feu activ, mises jour automatique actives, version des signatures de lantivirus etc). La force des SHA est quils reposent sur une structure modulaire ce qui signifie quil est parfaitement possible des diteurs tiers de fournir leur propre SHA afin de tester nimporte quel paramtre du client. SoH (Statement of Health) : chaque SHA enregistre les informations collectes dans un SoH qui devient donc le bulletin dtat dun agent dtat. SSoH (System Statement of Health) : tous les bulletins dtat prcdemment crs sont fusionns pour former le bulletin dtat du systme. Cest ce bulletin qui sera transmis au serveur distant. EC (Enforcement Client) : il sagit du module client qui a pour mission denvoyer le SSoH au serveur distant. Les EC sont par dfaut au nombre de cinq sur un client NAP. Il sagit des clients DHCP, VPN, 802.1X (filaire ou sansfil) ainsi que IPSec. ES (Enforcement Server) : il sagit du module serveur sur le serveur daccs (DHCP, VPN etc) qui doit rcuprer le SSoH du client. NPS (Network Policy Server) : il sagit du nouveau serveur Radius de Microsoft qui a notamment la capacit de supporter NAP. SHV (System Health Validator) : les SHV sont la version serveur des SHA. Ils ont pour mission de vrifier la conformit de la configuration du client grce lanalyse des SoH.

Fonctionnement thorique de la technologie NAP

Quel que soit la mthode de vrification de la conformit utilise, le principe reste toujours le mme :
1. Lorsque le client tente dtablir sa connexion sur un serveur requrant NAP, il est invit fournir son bulletin de sant. 2. Chaque SHA gnre un bulletin dtat SoH indiquant ltat de cet agent. Par exemple, un SHA destin contrler ltat dactivation du pare-feu indiquera dans son SoH si le pare-feu est activ ou non. 3. Les SoH de tous les SHA sont fusionns pour former le bulletin dtat du systme SSoH. 4. Le SSoH est transmis par le service NAP au client rseau EC ncessaire. 5. Le SSoH est rceptionn par le serveur rseau ES. 6. Le serveur rseau ES envoi une demande daccs au serveur Radius NPS/NAP (message Access-Request ) en lui transmettant le SSoH du client. 7. Afin de valider ltat de sant, le serveur NPS transmet le SSoH au serveur dadministration NAP qui dcompose le SSoH en SoH 8. Chaque SoH est transmis au validateur dtat SHV correspondant. 9. Les SHV informent le serveur dadministration NAP du rsultat des analyses. 10. En fonction des rgles cres sur le serveur NPS, laccs est accord (message Access-Accept ) ou refus avec ventuellement la consigne ncessaire permettant au client de se mettre en conformit avec les stratgies, le tout stock dans le SSoHR (Rponse SoH). 11. Le serveur daccs ES transmet, selon la rponse du serveur NPS, les informations ncessaires pour se connecter ou les informations ncessaires pour devenir conforme.

2. Les lments fondamentaux du systme de protection


Actuellement, le seul systme dexploitation serveur capable de grer la technologie NAP est Windows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gre nativement toutes les fonctionnalits de NAP, Windows XP quip du service pack 3 (SP3) est lui aussi en mesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPS


La grande nouveaut de Windows Server 2008 en ce qui concerne la protection rseau est son composant NPS, acronyme de Network Policy Server. Il sagit du nouveau serveur RADIUS de Microsoft destin remplacer IAS (Internet Authentification Service). Rappelons quun serveur RADIUS a pour mission de centraliser lauthentification et lautorisation en sappuyant gnralement sur Active Directory. Entirement reconu, le service NPS se prsente comme la cl de voute de la technologie NAP. Quel que soit la mthode denforcement que vous serez amens mettre en place, la configuration du service NPS sera une tape dterminante dans la procdure.

Voici les principales options du serveur NPS :


2.1.1 Clients et serveurs RADIUS

Dans notre cas, les clients RADIUS qui seront utiliss seront principalement le serveur daccs distant VPN ainsi que le matriel rseau supportant la norme 802.1X. Il est important de rappeler que les donnes transitant entre le client et le serveur RADIUS devraient toujours tre chiffres ( laide dIPSec par exemple). Il est aussi possible via ces options de configuration de crer un ou des groupes de serveurs RADIUS distants. Cela permet notre serveur NPS de devenir proxy RADIUS en redirigeant des requtes dautres serveurs RADIUS de lentreprise.
2.1.2 Les stratgies RADIUS

Les stratgies de requtes de connexion : elles sont le point dentre des requtes clients. Cest sur cette page quil nous faudra crer nos stratgies de connexion, gnralement une par mthode de connexion (DHCP, VPN, HRA etc). Une stratgie de connexion NPS se dcompose en deux parties :

Les stratgies de requtes de connexion : elles sont le point dentre des requtes clients. Cest sur cette page quil nous faudra crer nos stratgies de connexion, gnralement une par mthode de connexion (DHCP, VPN, HRA etc). Une stratgie de connexion NPS se dcompose en deux parties : o Les conditions : configurez ici au minimum une condition qui permettra cette rgle dtre slectionne pour cette demande de connexion. Vous pouvez ajouter des critres comme lappartenance de

lutilisateur un groupe spcifique, lheure de la demande ou encore son adresse IP. Pour chaque demande de connexion, NPS parcourra chaque rgle de connexion (par ordre de priorit) jusqu ce quil en trouve une dans laquelle les conditions spcifies correspondent aux paramtres de cette demande. Si aucune rgle de connexion ne correspond avec la demande en cours, NPS renverra un accs refus au client RADIUS. Les paramtres de configuration : lorsque le serveur NPS a trouv une rgle correspondant aux conditions prcdentes, il consultera les paramtres de connexions pour savoir comment traiter cette demande. Loption importante dans cet onglet est la manire dont lauthentification sera ralise. Il est possible de rediriger les rgles sur un groupe de serveur RADIUS pralablement cr (voir prcdemment), dautoriser laccs sans vrifier lautorisation (dans ce cas, toutes les requtes de connexion correspondantes cette rgle seront automatiquement approuves) ou encore, ce qui est le cas par dfaut, de traiter les demandes sur ce serveur NPS. Dans ce cas, la requte va tre analyse dans les stratgies rseau.

Les stratgies rseau : deuxime tape du traitement dune requte de connexion, il sagit de vrifier dans les stratgies rseau si la demande doit-tre ou non autorise. Pour cela, il faut crer des rgles de rseau. Ces rgles se dcomposent en trois parties : o Les conditions : comme pour les requtes de connexion, il sagit de spcifier des critres permettant au serveur NPS de dfinir quelle rgle il doit utiliser pour traiter cette demande. Dans le cas de NAP, cest ici quil sera possible de vrifier si la requte provient dun client compatible avec NAP, et si oui, si le client est conforme ( compliant ) avec les rgles de sant de lentreprise. o Les contraintes de connexion : lorsque NPS trouve dans la liste une rgle de rseau utilisable pour autoriser cette demande de connexion, il consulte la liste des contraintes. Il sagit notamment dans notre cas des mthodes dauthentification. Il est possible de slectionner des mthodes conventionnelles (MS-CHAP v2, EAP) mais aussi deffectuer uniquement un test de sant, ce qui aura pour effet de ne pas authentifier lutilisateur. Cela est par exemple utile dans le cas de lenforcement par DHCP qui ne permet pas de fournir les informations dauthentification. o Les paramtres de configuration de la rgle : cest la partie la plus importante en ce qui concerne NAP. Cest ici quil nous est possible de spcifier si le client peut accder lintgralit du rseau (cas o la machine cliente est considre comme en bonne sant vis vis des rgles de lentreprise) ou si elle doit tre restreinte la zone de quarantaine (machine non-conforme). Cest aussi dans cet onglet quil est possible de spcifier si lauto-remdiation (facult dindiquer au client non-conforme ce quil doit faire pour devenir conforme) doit tre utilis. Les stratgies de sant : cest ici quil nous faudra configurer les rgles de lentreprise en matire de bonne sant . Typiquement, il nous faudra crer deux stratgies de sant : la premire indiquant que si le client passe avec succs tous les tests dtat il sera considr comme conforme et la deuxime dans laquelle on pourrait dire que si le client choue un seul de ces tests il doit tre considr comme non-conforme

2.1.3 Network Access Protection System Health Validators : cest ici quil est possible de configurer les validateurs dtat systme (SHV). Par dfaut, il nexiste quun seul SHV : celui fournit par Microsoft qui a pour fonctionnalit dauditer : ltat du pare-feu, de lantivirus, de la protection antispyware, des mises jour automatiques ainsi que des mises jour installes sur le client. Concernant les mises jour, NPS pourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de sassurer de la conformit du client. Sous Windows XP SP3, la seule option en moins est lanalyse de lantispyware (car non gre dans le centre de scurit de Windows). Cest aussi ici quil est possible de choisir la dcision qui devra tre prise dans le cas o un SHV ou un SHA nest pas disponible. Groupes de serveurs de remdiation : lorsquun client est considr comme non conforme par les stratgies NPS, il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformit. Cela peut inclure des serveurs fournissant les mises jour du systme ou encore de lantivirus. 2.1.4 L'assistant de configuration de NPS

NPS dispose dun assistant simplifiant la cration des stratgies NAP (stratgie de connexion, de rseau et de sant). Cet assistant, disponible en cliquant sur le nom du serveur NPS la racine de la console, permet de crer toutes les rgles ncessaires au fonctionnement de NAP selon la mthode de connexion que vous choisirez. Bien quassez pratique, il est important de toujours vrifier ce que contiennent les rgles ainsi

cres afin de sassurer quelles correspondent la politique de lentreprise, mais aussi quelles sont suffisamment prcises.

2.2 La configuration du client NAP


Au niveau du client, la configuration se rsume activer (si ce nest dj le cas) le service dAgent de Protection Rseau (NAP) ainsi qu activer les mthodes denforcement (Enforcement Client, EC) utiliser. Pour activer ces EC, il suffit douvrir la console MMC de NAP (dmarrer\excuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP). Lorsque NAP est en fonction sur le client, les messages de contrle sont affichs directement dans la barre des tches. Ces messages permettent lutilisateur de savoir sil a accs ou non la totalit du rseau et dans la ngative de consulter les raisons de sa non-conformit. Grace aux stratgies de groupes (GPO), il est possible via Active Directory de configurer tous vos clients dun seul coup. Pour cela, Microsoft a rajout de nouvelles options concernant NAP dans ses modles de GPO. Il est ainsi possible de forcer le dmarrage du service NAP sur le client, de choisir les mthodes denforcement qui devront tre utilises mais aussi de configurer les options ncessaires IPSec (autorit de certification racine de confiance, les IP des serveurs HRA ou encore cration des rgles de connexion IPSec dans la console avance du pare-feu Windows).

2.3 Les mthodes d'accs au rseau compatibles avec NAP


Sur Windows Server 2008, NAP dispose nativement de cinq mthodes denforcement chacune rpondant des besoins diffrents. De par la conception modulaire des composants de NAP, il est possible denvisager de futures mthodes denforcement. Concernant laccs physique au rseau de lentreprise, il existe trois composants permettant de contrler ltat du client : laccs au serveur DHCP, le filtrage laide du protocole 802.1X ainsi que les stratgies IPSec. Pour les clients se connectant distance via VPN, il est aussi possible via le nouveau serveur daccs distant (Routing and Remote Access Server, RRAS) de Windows Server 2008 deffectuer un contrle lors de la connexion dun client VPN. Rcemment, Microsoft a aussi dcid de rendre utilisable NAP aux utilisateurs des services de Terminal Server (bureau ou application distante). Accs par Infrastructure ncessaire Niveau de scurit Difficult de mise en place

Avantages Facilit de mise en place Protection de l'accs distance via VPN

Inconvnients Protection facilement contournable Systme d'authentification par certificats obligatoires

DHCP Serveurs : DHCP, NPS

VPN

Serveurs : RRAS, NPS

TS

Protection de Protection rserve Serveurs : NPS, IIS, TS l'accs distant un via TS usage spcifique Matriel compatible 802.1X obligatoire, configuration du matriel obligatoire

Serveur : Efficacit, NPS Matriel 802.1X utilisable en rseau compatible filaire ou sans-fil 802.1X et VLAN Mthode la plus scurise, Serveurs : NPS, HRA, chaque poste IPSec IIS, PKI (IGC) dcide avec qui il peut communiquer.

Difficult de mise en place

2.3.1 Le contrle d'accs par DHCP

La protection rseau par DHCP prsente lavantage de contrler la conformit du client au moment mme o il tente de se connecter au rseau (actuellement seul ladressage IPv4 est support). La fonction mise en quarantaine du client est base sur la configuration IP qui sera renvoye au client non-conforme. Pour cela, une nouvelle classe DHCP ddie NAP a t cr permettant de configurer des options spcifiques aux clients non conformes. Sa trs grande simplicit de mise en place cache nanmoins un inconvnient de taille : il est ais pour un utilisateur dutiliser une configuration IP manuelle et donc de contourner la protection. Il est prfrable dans la mesure du possible dopter pour lune des deux autres mthodes de contrle de laccs au rseau physique.
2.3.2 Le contrle d'accs par 802.1X

Le protocole 802.1X est une norme permettant du matriel rseau tel quun commutateur ou un point daccs sans-fil de faire appel un serveur Radius pour authentifier et autoriser les connexions dun client. Dans le cas de NAP, lintrt va tre de se baser sur ltat de sant du client pour indiquer au matriel non pas si la connexion doit tre accepte ou refuse mais plutt avec qui le client aura la possibilit de communiquer. Pour cela il est ncessaire de faire appel une autre fonctionnalit de la partie matrielle : les VLAN (Virtual Local Area Network). Ces rseaux virtuels permettront dans notre cas de crer deux VLAN distincts : le premier pour les machines conformes, et le deuxime rserv aux postes en quarantaine et en attente de remdiation. Cette mthode de contrle daccs reposant principalement sur la partie matrielle de votre rseau, il vous faudra avoir du matriel compatible et les connaissances pour mettre en place ce type dinfrastructure. Si vous utilisez dj des systmes dauthentification par 802.1X il sagit dun excellent moyen de mettre en place efficacement NAP.
2.3.3 Le contrle d'accs par IPSec

La mthode denforcement par IPSec se dmarque par son mode de fonctionnement. A linverse des quatre autres solutions disponibles, laccs ne sera plus filtr au point dentre du rseau (DHCP, VPN etc) mais ce sera chaque machine qui dcidera en fonction de sa configuration si elle peut ou non communiquer avec des htes non conformes. Son principe de fonctionnement part impose un composant supplmentaire pour fonctionner : lautorit denregistrement de sant (Health Registration Authorities, HRA). Le rle de cette autorit est de fournir un certificat de sant aux clients conformes avec les rgles inscrites sur le serveur NPS. Ce certificat est un certificat numrique utilisant la norme X509 V3 disposant de deux rles : lauthentification du client et la preuve de la conformit. Lavantage de ce systme de certificat est quil suffira un client de prsenter son certificat un hte distant pour lui prouver que son tat de sant a t dclar conforme par le

serveur NPS. Ce certificat a une dure de vie trs faible permettant dviter les tches dadministration inhrentes la gestion des certificats rvoqus. Cette mthode est la plus scurise car elle permet dobtenir une infrastructure scurise par IPSec qui se base aussi sur ltat de sant du client pour la phase dauthentification.
2.3.4 Le contrle d'accs par VPN

En rendant le service daccs distant (RRAS, Routing and Remote Access Server) de Windows Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients distants. La configuration est relativement aise puisquil suffit dutiliser une authentification par PEAP (Protected-Extensible Authentification Protocol). La mise en quarantaine seffectuera laide de filtres IP configurs sur le serveur NPS. Le niveau de scurit de cette solution dpend directement des stratgies daccs que vous avez cres, et notamment la manire dont seront traits les clients ne supportant par NAP.
2.3.5 Le contrle d'accs par Terminal Server

TS Gateway permet aux utilisateurs de se connecter sur le rseau de lentreprise partir dInternet en utilisant une connexion scurise (RDP over HTTPS). En fonction de votre politique, les utilisateurs pourront avoir accs au bureau entier de Windows ou alors une ou plusieurs applications. Limplmentation de NAP permet daugmenter la scurit de votre rseau en acceptant seulement les clients avec un bulletin de sant conforme votre politique.

3. Cas pratiques
Cette partie va tre consacre la mise en place de NAP avec les trois renforcements suivants : DHCP, 802.1x et enfin IPSec. Cela permettra dillustrer la manire de fonctionnement des diffrentes mthodes daccs rseau.

3.1 Contrle de la conformit par DHCP


Composants ncessaires : Pour la mise en place du DHCP avec NAP, nous allons avoir besoin du matriel suivant :
1. Un Windows Server 2008 2. Un client sous Windows Vista ou XP SP3

Configuration de Windows Server 2008 : Sur ce serveur nous allons installer les rles suivants : Contrleur de domaine, DNS, DHCP, NPS. Une fois les diffrents rles installs, la premire tape est dactiver la fonctionnalit de NAP sur ltendue DHCP. Cette option se configure dans les proprits de ltendue grce au nouvel onglet Network Access Protection . Il est aussi possible de configurer le comportement du serveur DHCP si le serveur NPS est inaccessible dans les proprits IPv4. Au niveau des options dtendue, une nouvelle classe dutilisateur est ajoute Default Network Access Protection Class . Cette nouvelle option est utilise lorsque un client non conforme fait une demande dadresse IP. Les clients conformes utiliseront la classe dutilisateur par dfaut. La dernire tape est la configuration du serveur NPS en crant les stratgies rseaux avec ou sans laide de lassistant.

3.2 802.1x
Composants ncessaires :
1. Un Windows Server 2008 excutant NPS 2. Un client sous Windows Vista ou XP SP3 3. Un commutateur ou une borne wifi prenant en charge le protocole 802.1X et la gestion des VLAN

Configuration de Windows Server 2008 : La configuration de la partie systme est relativement simple. Premirement, il faut installer un certificat dordinateur sur notre Windows Server 2008 permettant de faire fonctionner correctement lauthentification PEAP (Protected Extensible Authentication Protocol). Afin dautoriser le client RADIUS communiquer avec notre serveur NPS, il faut lajouter comme client RADIUS et slectionner la case indiquant que le client RADIUS est compatible avec NAP ( Client is NAPCapable ). Vient ensuite la configuration des stratgies NPS. Pour cela nous crerons une stratgie de connexion possdant une condition base sur ladresse IP du client RADIUS, c'est--dire le point daccs ou le commutateur 802.1X. Dernier point concernant la configuration de notre serveur NPS : crer la rgle de rseau permettant de spcifier sur quel VLAN doit tre un client Conforme et sur quel VLAN sera un client non-conforme . Pour cela nous ferons appel lattribut VLAN ID de RADIUS. Configuration de la partie matrielle : Le commutateur ou le point daccs sans-fil devra tre configur de manire grer deux VLAN. Le premier sera rserv aux ordinateurs ayant t dclar conforme par le serveur NPS, et le deuxime sera constitu des machines en quarantaine. Ce dernier VLAN devra bien sr contenir les ventuels serveurs de remdiation. Dernier point de la configuration matrielle : activer le protocole 802.1X afin de rediriger lauthentification sur le serveur NPS.

3.3 IPSec
Avec lutilisation de NAP, IPSec utilisera lauthentification par certificat. Il faudra donc mettre en place une infrastructure de gestion de cls (IGC ou PKI Public Key Infrastructure). Le principe pour chaque ordinateur est de demander un certificat de sant pour pouvoir communiquer avec les autres postes. IPsec va diviser votre rseau en trois zones logiques. Le but de cette division est de limiter laccs aux ordinateurs nayant pas de certificat de sant et de permettre aux ordinateurs conformes votre politique de sant de pourvoir communiquer de faon scuris. De cette manire, les ordinateurs conformes auront un accs total au rseau et les non-conformes ne pourront accder quau serveur de remdiation pour se mettre jour ou au HRA pour demander un certificat de sant. Les trois zones logiques sont les suivantes : La zone scurise : Les ordinateurs de cette zone ont obligatoirement un certificat de sant valide et ils vont exiger un certificat de sant pour les authentifications entrantes mais ne vont pas exiger de certificat pour les connexions sortantes. Grce cette politique, les ordinateurs de la zone scurise ont accs aux ressources de toutes les zones et seulement les ordinateurs ayant un certificat de sant ont accs aux ressources de cette zone. On peut par exemple mettre dans cette zone les serveurs Mails et le serveur NPS. La zone intermdiaire : Les ordinateurs membres de cette zone ont tous un certificat de sant valide mais ne vont pas exiger de certificats pour les connexions entrantes. Cette politique permet aux ordinateurs membres de la zones

scurise et intermdiaire de communiquer de faon scurise. Les autres ordinateurs nayant pas de certificats de sant pourront aussi communiquer avec les ordinateurs de cette zone. On met gnralement dans cette zone le serveur HRA pour que les clients conformes nayant pas de certificat puissent en avoir un. On y inclut aussi les serveurs de remdiation pour mettre jour les clients non conformes. La zone restreinte : Dans cette zone se trouve les ordinateurs nayant pas de certificats de sant valide. Il peut y avoir les ordinateurs non conformes et les conformes mais qui nont pas encore reu leur certificat de sant. Les ordinateurs de cette zone ont accs aux ressources de la zone intermdiaire pour demander un certificat de sant au HRA ou se mettre jour pour devenir conforme en se connectant au serveur de remdiation .

Composants ncessaires :
1. Un Windows Server 2003 2. Un Windows Server 2008 3. Un client sous Windows Vista ou XP SP3

Configuration de Windows Server 2003 Notre Windows Server 2003 devra grer les rles suivants : Contrleur de domaine et autorit de certification racine.

Aprs linstallation des diffrents rles, nous allons crer un groupe de scurit local dexemption pour y mettre le serveur NPS. Les ordinateurs de ce groupe dexemption pourront avoir un certificat de sant sans vrification. Ce certificat est valable un an alors que les certificats de sant pour les clients devront tre renouveler par dfaut toutes les 4 heures. Il faudra ensuite configurer les modles de certificats. Le plus simple est de dupliquer le modle de certificat Authentification de station de travail pour crer le certificat de sant et de le publier dans Active Directory. Dans longlet scurit du certificat, il faudra ajouter le groupe dexemption pour quil puisse sinscrire automatiquement ce certificat. Le paramtre dinscription automatique des certificats doit aussi tre activ laide dune GPOs. La dernire tape sur le serveur 2003 consiste crer deux OUs : Zone intermdiaire et Zone scurise . Nous mettrons dans ces OUs les ordinateurs appartenant aux deux zones : Scurise et intermdiaire. Configuration de Windows Server 2008 : Le serveur 2008 devra grer les rles suivants : NPS, HRA, autorit de certification et IIS Lautorit de certification doit tre une autorit de certification secondaire (Subordinate CA) en mode Standalone (cest dire quelle ne devra pas utiliser Active Directory pour fonctionner). La premire chose faire est de rajouter le serveur NPS au groupe AD dexemption cr prcdemment pour quil puisse rcuprer un certificat de sant valable 1 an. Le HRA doit permettre au service rseau de dlivrer et de grer les certificats. Cette permission est configurer dans longlet scurit de lautorit de certification. La dernire tape est de configurer le serveur NPS. La faon la plus simple est de crer directement les stratgies rseaux avec lassistant de configuration. Plannification : De par sa gestion non-centralise, cest dire que la connexion rseau nest pas contrle en un unique point dentre comme pour les autres mthodes denforcement, le dploiement de NAP par IPSec dans un environnement de production se doit tre planifi avec encore plus de soin que pour les autres solutions et la phase de test doit tre rigoureuse et approfondie. En effet, une erreur de configuration pourrait entraner une rupture de la communication des clients avec tous les autres htes rseaux. Si cela survenait, il faudrait reprendre la configuration de chaque machines la main.

3. Conclusion
Bien quencore en version bta, NAP sannonce dj comme une technologie quasi incontournable pour contrler efficacement ltat des machines de nos infrastructures informatiques. Microsoft a russi un tour de force avec ce produit en basant son systme sur des technologies telle IPSec, dsormais courantes en entreprise. Dautre part, avec sa structure modulaire et les nombreux partenaires de Microsoft impliqus dans cette aventure, il ya fort parier que NAP voluera rapidement pour combler tous les besoins de lentreprise dans un domaine assez nouveau en scurit informatique : le contrle de laccs rseau par ltat de sant.

Оценить