NAP (Network Access Protection) est un mécanisme Windows qui veille à ce que seuls les ordinateurs respectant vos exigences de sécurité puissent accéder à votre réseau.
Le recours à cette fonctionnalité peut renforcer considérablement la sécurité de votre réseau. Malheureusement, lorsque Microsoft a introduit ce mécanisme, il ne pouvait vérifier que quelques paramètres de configuration et son implémentation était relativement ardue. Depuis, NAP a gagné en maturité et les améliorations combinées apportées dans Windows Vista et Windows Server 2008 permettent de se lancer relativement facilement dans un déploiement complet de NAP.
Pour appliquer les exigences de sécurité à tous les ordinateurs qui se connectent à votre réseau, NAP doit être en mesure de contrôler les accès indépendamment du mode de connexion employé. Il faut donc un garde-barrière à même de contrôler les connexions VPN, les affectations d’adresses DHCP, les connexions aux switch filaires et sans fil, ainsi que d’autres méthodes d’accès. Microsoft gère cet aspect en vous donnant la possibilité de configurer une multitude de « points d’application » (enforcement point) qui font office de garde-barrière vers votre réseau. Les points d’application possibles incluent les serveurs VPN ou DHCP exécutant Windows Server 2008, un serveur Web capable de délivrer des certificats pour une autorité de certificat et des switch filaires et sans fil compatibles 802.1x.
La tâche des points d’application est simple : lorsqu’un client se connecte, il doit indiquer s’il remplit ou non toutes les exigences de votre stratégie de sécurité. Le point d’application transmet simplement les résultats, appelés statut d’état, à un serveur NPS (Network Policy Server), qui est l’implémentation Microsoft d’un serveur RADIUS (Remote Authentication Dial-In User Service).
En fonction de la réponse retournée par le serveur NPS, le point d’application autorise ou refuse l’accès au réseau, ou il permet au client de se connecter uniquement à des serveurs de correction (remediation server), lesquels limitent l’accès aux seules ressources éventuellement nécessaires pour corriger les défauts de sécurité du client. Un serveur de stratégie d’état inspecte les informations de configuration du client, les compare à vos paramètres de stratégie, puis génère une réponse pour le point d’application.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Tech - Par
Joern Wettern - Publié le 05 janvier 2011
