par Mark Burnett. Mise en ligne : 06 Décembre 2006, Publication Windows IT Pro : Avril 2005
En théorie, la protection du réseau de votre entreprise est simple : sécuriser le périmètre pour déjouer les menaces venant de l’extérieur et tenir à jour les correctifs des systèmes internes pour les protéger contre ceux qui auraient franchi le premier rideau. On peut donc en déduire qu’un patching diligent, un scanning de virus et de puissants mots de passe devraient éliminer les incidents touchant à la sécurité du réseau – vrai ?En réalité, la sécurité du réseau n’est pas aussi simple. S’il est relativement aisé de protéger les systèmes internes, il est plus difficile de défendre le réseau étendu. Les utilisateurs qui travaillent sur les machines à leur domicile et les utilisateurs mobiles qui se connectent en déplacement, brouillent la frontière entre les systèmes internes et externes. Bien que vous ne puissiez pas contrôler ces systèmes externes, Microsoft a inclus dans Windows Server 2003 un procédé qui vous aidera à empêcher des systèmes non conformes de se connecter à votre réseau. Cette technologie, appelée Network Access Quarantine Control, met en quarantaine les connexions VPN distantes jusqu’à ce que les clients VPN prouvent qu’ils se conforment à la stratégie de sécurité du réseau. Voyons comment Network Access Quarantine Control fonctionne et comment configurer et exécuter les composantes côté serveur et côté client.
Mettre en place le NETWORK ACCESS QUARANTINE CONTROL
Network Access Quarantine Control est un outil Microsoft Windows Server 2003 Resource Kit dont le mécanisme permet d’exécuter des scripts côté client, qui remplissent des fonctions du genre : vérifier les correctifs à chaud installés, mettre à jour le logiciel antivirus, ou vérifier le paramétrage du pare-feu. Lors de la connexion des clients VPN, on peut effectuer toute tâche du ressort d’un fichier batch, d’un script ou d’un exécutable.
La mise en place d’un Network Access Quarantine Control est constituée d’un ou plusieurs clients d’accès distants exécutant un profil de connexion client que vous avez créé à l’aide du Windows 2003 Connection Manager Administration Kit (CMAK) ; un point de connexion, comme un serveur Windows 2003 exécutant RRAS ; et, si vous avez besoin de l’authentification RADIUS (Remote Authentication Dial-In User Service), d’un serveur RADIUS Network Access Quarantine Control-complaint tel que Windows 2003 utilisant IAS (Internet Authentication Service). Il faut aussi exécuter une composante d’écoute, comme le service Remote Access Quarantine Agent (rqs.exe), sur le serveur RRAS et une composante de notification, comme le service Remote Access Quarantine Client (rqc.exe) sur le client à distance. Le kit de ressources Windows 2003 contient ces deux outils.
Quand un client distant s’authentifie auprès d’un serveur RRAS armé pour la quarantaine, RRAS envoie un message RADIUS Access Request au serveur IAS. Celui-ci vérifie les références de l’utilisateur et, si la connexion est conforme à la règle d’accès à distance que vous avez établie, il l’accepte mais avec des restrictions de quarantaine. IAS envoie à RRAS un message Access-Accept avec les attributs MS-Quarantine- IPFilter et MS-Quarantine-Session-Timeout. RRAS établit la connexion mais n’accorde au client distant qu’un accès au réseau limité.
A ce stade, le client distant exécute le script de quarantaine, qui fait partie du profil client-connection. Le script vérifie si la configuration du client observe la règle de sécurité du réseau. Dans l’affirmative, le script notifie le service agent sur le serveur RRAS. Le service agent vérifie ensuite la version du script que le client indique, pour s’assurer qu’il s’agit de la version la plus récente. Si la version du script est valide, RRAS lève toutes les restrictions de quarantaine sur la connexion et le client peut donc utiliser celle-ci sans aucune restriction de quarantaine.
En revanche, si le script client signale que la machine n’est pas conforme à la règle du réseau, ou si le client indique une version ancienne du script, les restrictions de quarantaine restent en vigueur. Le client ne pourra alors accéder qu’aux ressources réseau que vous indiquez, comme une page Web avec des instructions et des téléchargements destinés à mettre le client en conformité, jusqu’à ce que le temps spécifié par l’attribut MS-Quarantine-Session-Timeout soit écoulé. A l’expiration de la limite de temps, le serveur RRAS déconnecte le client. Le script peut aussi prendre des mesures qui mettront automatiquement la machine en conformité.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
Les plus consultés sur iTPro.fr
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- L’anxiété liée à l’IA, un risque sous-estimé pour la sécurité
- IA générative en Europe : une adoption massive, mais une gouvernance toujours en retard
- Golden records : le socle oublié des projets IA
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
