La stratégie de NAP a pour objectif de conditionner l’accès des postes réseau à leur état de santé en définissant :
- QUI (postes) peut avoir accès
- A QUOI (réseaux ou ressources)
-
« >
Depuis OU (réseaux, points d’accès…) - Sous QUELLES conditions (l’état de santé)
- Et COMMENT le contrôle est réalisé (les mécanismes) Seuls les ordinateurs conformes avec cette stratégie (dits « sains ») seront autorisés à accéder au réseau, les autres auront un accès restreint voire aucun accès.
Dans cette stratégie, on doit prendre en compte 3 grands types de clients (le QUI) : les clients NAP ou non, les clients NAP conformes ou non conformes, et les clients NAP connus (c’est-à-dire authentifiés) ou inconnus (donc nonauthentifiés). Mais on doit également définir comment gérer les postes qui n’ont pas de client NAP, par exemple les portables de sous-traitants ou de visiteurs.
Et est-ce qu’on doit gérer de manière identique la restriction d’accès des postes connus mais non conformes des postes inconnus ? La stratégie doit également définir le « OU », c'est-à-dire les zones où le contrôle d’accès s’applique. Il peut être interne, sur le LAN ou le WAN, ou périmétrique, sur les passerelles VPN ou Terminal Services.
Mais c’est l’environnement existant qui souvent déterminera les mécanismes de contrôle à mettre en oeuvre : par exemple, est-ce que les switches supportent le 802.1x et l’assignation dynamique de VLAN? Est-ce que les passerelles VPN supportent l’authentification PEAP et RADIUS ? Ce qui nous amène au COMMENT : les mécanismes de restriction d’accès, qui contrôlent l’accès des postes en fonction de leur état de santé en se basant sur différents mécanismes : DHCP, IPSEC, 802.1x (EAP), les VPN (EAP/PEAP) ou encore les passerelles TS en RDP ou HTTPS.
Suivant l’état de santé, des mécanismes de remédiation appliquent alors les mises à jour et modifications nécessaires à ce que le poste soit en bonne santé (sain), ces actions correctrices étant fonctions des éléments de configuration gérés, par exemple l’interrogation d’un serveur WSUS par le client Windows Update.
L’état de santé est défini par des conditions (QUELLES) qui peuvent être différents éléments de configuration : estce qu’il y a un firewall logiciel ? Un Antivirus ? Un anti-spyware ? Est-ce que le système d’exploitation est à jour, avec tous les correctifs de sécurités disponibles d’installés ? Mais les conditions ne se limitent pas à cette liste, et tout agent tiers pouvant s’interfacer avec le centre de sécurité de Windows XP SP2 ou Windows Vista pourra être pris en compte.
