Protection accès réseaux NAP
Par yasodj • 14 Septembre 2020 • Résumé • 1 303 Mots (6 Pages) • 968 Vues
Protection accès réseau (NAP)
- Présentation
La protection d’accès réseau (NAP) est une technologie introduite à partir de Windows Server 2008. Elle inclut des composants client et serveur
- Définition des spécifications de la protection d’accès au réseau du côté Serveur via la console du Serveur NAP.
- Définition de stratégies de groupes à appliquer aux ordinateurs clients
Ces composants permettent :
- La définition de configurations requises pour les ordinateurs qui se connectent au réseau.
- Que la protection d’accès réseau applique des spécifications d’intégrité en inspectant et en évaluant l’intégrité des ordinateurs clients, limite l’accès au réseau lorsque ceux-ci sont jugés non conformes et peut corriger les problèmes des ordinateurs clients non conformes pour un accès réseau illimité.
Les spécifications d’intégrité peuvent être s’assurer que le poste:
- ait activé un pare-feu
- ait activé la mise à jour automatique
- ait un anti-virus et que celui-ci est à jour
- ait une protection contre les logiciels espions.
On peut décider de refuser l’accès au réseau complet ou permettre un accès restreint au poste qui ne respecte pas la totalité des spécifications ou qui ne respecte pas une ou plusieurs spécifications. La contrainte de mise en conformité NAP se produit au moment où les ordinateurs clients tentent d’accéder au réseau.
- Démonstration
La protection d’accès réseau applique des spécifications d’intégrité dans les cas de connexions VPN, de configuration DHCP et dans plusieurs autres situations. Dans notre cas, on va l’utiliser dans une configuration DHCP.
Dans notre atelier, seules les machines clients ayant activé le pare-feu peuvent obtenir une adresse IP par le serveur DHCP
[pic 1]
- Configurer l'adresse IP de la machine "Serveur NPS" et changer les noms de domaines des deux machines
- Installer le rôle DHCP sur "Serveur NPS" et créer un étendu 100.x (192.168.100.2-192.168.100.254), vérifier que Client obtenu une adresse IP valide
- Créer un domaine Active Directory sur "Serveur NPS" et joindre "Client" au domaine
- Mise en place de NAP
- Installer le rôle du serveur NPS (Network Policy Server) pour mettre en place la protection d’accès au réseau (NAP)
[pic 2] | [pic 3] |
- Ouvrir la console du serveur NPS est disponible à partir de démarrer > Outils d'administration > serveur NPS (Network Policy Server). Dans la fenêtre centrale de NPS, garder le choix par défaut: Protection d’accès réseau (NAP) et cliquer sur configurer la protection d'accès réseau (NAP)
[pic 4]
- Dans la fenêtre «sélectionner la méthode de connexion à utiliser avec la protection d’accès réseau (NAP)», sélectionner le protocole DHCP puis cliquer sur Suivant
[pic 5]
- Dans l'écran suivant, on n'a pas besoin de configurer un client Radius, donc on clique sur suivant
- Dans la fenêtre suivante, on est invité à indiquer l’étendue où les étendues NAP pour lesquelles on veut que le serveur NPS évalue la santé (Intégrité) avant qu’on leur accorde des adresses IP situées dans l’étendue ou les étendues en question. Si on ne définit pas d’étendue, cela signifie que la stratégie va s’appliquer à toutes les étendues.
[pic 6]
- On clique sur Suivant dans la fenêtre qui nous demande de spécifier les groupes d’ordinateurs.
- On clique encore sur Suivant dans la fenêtre Groupe de serveurs de mise à jour.
- Dans la fenêtre Définir la stratégie de contrôle d’intégrité NAP, on sélectionne seulement Programme de validation d’intégrité de la sécurité Windows (Case cochée) et on décoche la case Activer la mise à jour automatique des ordinateurs clients. Garder l’option « Refuser l’accès complet aux clients NAP non conformes. N’autoriser qu’un accès restreint » sélectionnée. Cliquer sur Suivant.
[pic 7]
- Cliquer sur Terminer dans la fenêtre suivante.
- Développer «Protection d’accès réseau» dans la console NPS puis les Programmes de validation d’intégrité système et Programmes de validation d’intégrité de la sécurité Windows. sélectionner Paramètres et dans la fenêtre à droite, créer un nouveau paramètre appelé DHCP
[pic 8]
- Pour cet atelier, sélectionner seulement Pare-feu est activé pour toutes les connexions réseau. On clique sur Ok
[pic 9]
- On développe le composant Stratégies (Policies) puis Stratégies de contrôle et d’intégrité (Health Policies). On devrait trouver deux éléments:
[pic 10]
- On affiche les propriétés de NAP DHCP Conforme. On vérifie que dans la liste déroulante "Contrôle du client par les programmes de validation d’intégrité système (SHV)", il y a "Réussite de tous les contrôles SHV pour le client" et dans la liste déroulante "Programmes de validation… ", le "Programme de validation d’intégrité de la sécurité Windows" est sélectionné avec le paramètre DHCP. C’est-à-dire l’obligation que dans cet atelier que le pare-feu est activé pour toutes les connexions. Modifier le
[pic 11]
- On affiche les propriétés de NAP DHCP non Conforme. On vérifie que dans la liste déroulante "Contrôle du client par les programmes de validation d’intégrité système (SHV)", il y a "Échec de l'un ou de plusieurs contrôles SHV pour le client" et dans la liste déroulante "Programmes de validation… ", le "Programme de validation d’intégrité de la sécurité Windows" est sélectionné avec le paramètre DHCP. C’est-à-dire l’obligation que dans cet atelier que le pare-feu est activé pour toutes les connexions. Modifier le
[pic 12]
- Configuration NAP dans DHCP
- Une fois qu’on a configuré NPS. On doit activer la protection d’accès réseau (NAP) sur DHCP. On ouvre la console DHCP (Via outils du Gestionnaire de Serveur). On affiche les propriétés d'IPv4. On sélectionne l’onglet Protection d’accès réseau. On clique sur le bouton Activer sur toutes les étendues (Par défaut). (On pourrait aussi juste faire un clic droit sur une étendue)
[pic 13]
- On définit ce qu’il se passe si le serveur NPS n’est pas joignable (accès complet ou restreint ou accès refusé). On peut mettre Accès restreint
- Configuration cité client via les stratégies de groupe
- Les clients ont aussi besoin d’être configurés pour la protection NAP. Sur "Serveur NPS", aller dans Gestion de stratégie de groupe, sélectionner "Forêt > domaines > test.local > Default Domain Policy" pour la modifier (clic droit).
[pic 14]
- Dans Configuration Ordinateur, activer le paramètre Stratégies > Paramètres Windows > Paramètres de sécurité > Protection d’accès réseau > Configuration du Client Nap > Clients de contrainte> Client de contrainte de quarantaine DHCP
[pic 15]
- Sélectionner Stratégies > Paramètres Windows > Paramètres de sécurité> Services Système > Agent de protection d'accès réseau (clic droit et choisir propriétés). Cocher la case « Définir ce paramètre de stratégie » et sélectionner un mode de démarrage automatique.
[pic 16]
- Sélectionner Stratégies > Paramètres Windows > Modèle d'administration: définition de stratégies > Composants Windows > Centre de sécurité > Activer le centre de sécurité (clic droit sur modifier et activer le paramètre).
[pic 17]
- Test coté client
- Désactiver le pare-feu sur le client
- On exécute la commande suivante: gpupdate /force (pour forcer le client à obtenir les modifications sur la GPO)
- On exécute la commande suivante : ipconfig /release
- On exécute la commande suivante : ipconfig /renew
- On refait ipconfig et on devrait avoir un masque sous-réseau égal à 255.255.255.255, ce qui signifie que la machine ne peut communiquer qu’avec elle-même. Les postes qui ne respectent pas les spécifications ne peuvent pas par conséquent se connecter.
[pic 18]
- Mise à jour automatique des clients non conformes
On pourrait faire un changement dans la stratégie de protection en permettant aux postes qui ne sont pas conformes de se mettre automatiquement à jour.
...