NAP (Network Access Protection) est un mécanisme Windows qui veille à ce que seuls les ordinateurs respectant vos exigences de sécurité puissent accéder à votre réseau.
Le recours à cette fonctionnalité peut renforcer considérablement la sécurité de votre réseau. Malheureusement, lorsque Microsoft a introduit ce mécanisme, il ne pouvait vérifier que quelques paramètres de configuration et son implémentation était relativement ardue. Depuis, NAP a gagné en maturité et les améliorations combinées apportées dans Windows Vista et Windows Server 2008 permettent de se lancer relativement facilement dans un déploiement complet de NAP.
Pour appliquer les exigences de sécurité à tous les ordinateurs qui se connectent à votre réseau, NAP doit être en mesure de contrôler les accès indépendamment du mode de connexion employé. Il faut donc un garde-barrière à même de contrôler les connexions VPN, les affectations d’adresses DHCP, les connexions aux switch filaires et sans fil, ainsi que d’autres méthodes d’accès. Microsoft gère cet aspect en vous donnant la possibilité de configurer une multitude de « points d’application » (enforcement point) qui font office de garde-barrière vers votre réseau. Les points d’application possibles incluent les serveurs VPN ou DHCP exécutant Windows Server 2008, un serveur Web capable de délivrer des certificats pour une autorité de certificat et des switch filaires et sans fil compatibles 802.1x.
La tâche des points d’application est simple : lorsqu’un client se connecte, il doit indiquer s’il remplit ou non toutes les exigences de votre stratégie de sécurité. Le point d’application transmet simplement les résultats, appelés statut d’état, à un serveur NPS (Network Policy Server), qui est l’implémentation Microsoft d’un serveur RADIUS (Remote Authentication Dial-In User Service).
En fonction de la réponse retournée par le serveur NPS, le point d’application autorise ou refuse l’accès au réseau, ou il permet au client de se connecter uniquement à des serveurs de correction (remediation server), lesquels limitent l’accès aux seules ressources éventuellement nécessaires pour corriger les défauts de sécurité du client. Un serveur de stratégie d’état inspecte les informations de configuration du client, les compare à vos paramètres de stratégie, puis génère une réponse pour le point d’application.
Téléchargez cette ressource
État des lieux de la réponse à incident de cybersécurité
Les experts de Palo Alto Networks, Unit 42 et Forrester Research livrent dans ce webinaire exclusif leurs éclairages et stratégies en matière de réponses aux incidents. Bénéficiez d'un panorama complet du paysage actuel de la réponse aux incidents et de sa relation avec la continuité de l'activité, des défis auxquels font face les entreprises et des tendances majeures qui modèlent ce domaine. Un état des lieux précieux pour les décideurs et professionnels IT.
Tech - Par
Joern Wettern - Publié le 05 janvier 2011
