Les objectifs pour une NAP

L'implmentation NAP DHCP pour appliquer les mises jour WSUS

Ces utilisateurs darn obtenez plus intelligents tout le temps. Ils avez trouv comment
dsactiver les pare-feux, toujours en nastiest des rseaux coffee-usine. Ils empcher leurs
ordinateurs portables hors du bureau pendant votre cycle de correctif mensuel, car il pense
que vos correctifs provoqu son dernier cran bleu. Ils mme dsactiver utilitaires antivirus et
anti-logiciels espions l'indicateur slightest d'un ralentissement des performances. Vos
utilisateurs prendre ces tapes car elles pensent qu'ils vous aidant eux-mmes, lorsque vous en
fait qu'ils vous rduisent la scurit de rseau de votre entreprise.
Un ordinateur correctement configur et corrig est un ordinateur sain, mais conserver ces
ordinateurs sain est un harceler. Si seul un moyen est survenu vous pourriez appliquer vos
stratgies de scurit. Mise en uvre garantit que vos ordinateurs de bureau et portables que
la configuration du pare-feu droite. Mise en uvre assure que les ordinateurs qui manquent
les correctifs droite ne peut pas accder au rseau. Mise en uvre signifie qui s'excute ne pas
antivirus ou anti-malware ne signifie pas se connecter votre rseau local pristine.
Ce type de mise en uvre d'une stratgie de scurit est disponible ds aujourd'hui avec NAP
(Network Access Protection). NAP est un composant qui arrive avec stratgie de rseau
Windows Server 2008 et des services d'accs. Il utilise les services sur les serveurs et clients
pour vrifier rgulirement l'tat de conformit d'un client vos stratgies de scurit. Si les
clients ne sont pas configurs correctement, NAP peut restreindre automatiquement leur accs
rseau jusqu' ce qu'ils sont remediated. Mieux encore, NAP peut corriger automatiquement
les clients incorrects, forcer les configurations incorrectes en ligne avec les stratgies de
scurit tablies.
NAP est un outil puissant qui est considr comme une solution de mieux de classe par des
analystes indpendants comme Forrester, ce qui place NAP dans le quadrant suprieur droit
leaders . Il est une solution conomique, car implmenter NAP dans votre rseau aujourd'hui
ne requiert aucun fournisseur de logiciel supplmentaire comme il fait dj partie de votre
investissement Windows et Active Directory. Fonctionnalit de NAP est dj disponible avec
chaque dition de Windows Server 2008. Il est conu pour l'volutivit massif et est capable
de prise en charge des grandes entreprises avec besoins complexes et notes de clients.
Mais si NAP est donc idal, pourquoi ne pas plus petits environnements prendre parti ?
Vraisemblablement, nombreux jack-of-all-trades administrateurs que ne soit pas conscient
d'IL faire ou sont mis hors par sa complexit apparente. C'est comprhensible. Si vous lisez le
documentation sur la protection NAP , vous pouvez envahi par tous les composants mobiles
requis pour ses diffrents mcanismes d'application des configurations de scurit. IPSec,
802. 1 x, VPN et TS Web Access sont tous les mcanismes de mise en uvre NAP qui
requirent des composants supplmentaires que vous n'aurez dans votre environnement ds
aujourd'hui. Toutefois, il est probable que vous avez dj que vous devez implmenter sa mise
en uvre base sur DHCP.
Il est que facile installer et facile utiliser DHCP application mcanisme que je souhaitez
vous afficher dans mois-ci ce. Bien que chacune des autres soient Il est vrai plus puissante
dans comment ils garantir des configurations client, chacun ncessite technologies plus
complexe comme infrastructures de services de certificat, ni connaissance approfondie des
priphriques rseau pour implmenter avec succs.
Commenons petit et fonctionnent notre faon haut.

Les objectifs pour une NAP
Avant de nous obtenons en le clic par clic, prenons des objectifs que vous utilisez
certainement par scuriser votre rseau. Vous voulez vous assurer que les ordinateurs sont mis
jour avec les correctifs droite. Vous souhaitez votre portables on-the-route pour obtenir les
paramtres de scurit droit lorsqu'elles renvoient. Et vous devez certainement dfendre
contre les ordinateurs non autoriss connecter votre rseau et d'infection de vos serveurs et
stations de travail.
Si toutes ces objectifs sont remplies, si vos ordinateurs sont correctement corrigs et disposez
les pare-feu droite et les paramtres logiciels anti-programme malveillant, vous pouvez
gnralement envisager les machines sain. Ordinateurs sains tendant avoir les protections
droite en place pour rester sain, ils ne sont pas probablement la diffusion malware autour de
votre rseau.
Travail de protection NAP est de surveiller et appliquer l'intgrit des ordinateurs sur votre
rseau. Lorsqu'un ordinateur se connecte en, NAP pose la question, tes-vous sain? Si
l'ordinateur rpond dans l'affirmative, NAP accorde cet accs ordinateur complet votre
rseau. Si le client ne peut pas rpondre ou rponses dans la ngative, il place dplac un
rseau correction spcial. Les ressources uniquement disponibles sur l'ordinateur sont ceux
ncessaires pour que sain nouveau : un serveur WSUS (Windows Server Update Services)
pour l'application correctifs, un serveur antiviru pour tlcharger les fichiers de signature plus
rcente, et ainsi de suite. Protection NAP peut galement observer les ordinateurs de votre
rseau, reconnatre lors de leur intgrit se dgrade et rapidement corriger les ce cas.
Mcanismes de mise en uvre de NAP sont lis la faon dans laquelle, ordinateurs accder
les votre rseau. Ordinateurs se connecter votre 802. 1 x compatible rseau commutateurs
ou les points d'accs sans fil pour une connexion physique. Ils ensuite demander une adresse
de votre serveur DHCP. En dehors ordinateurs peuvent se connecter par le biais d'un serveur
VPN ou un site Web TS Web Access. Communication avec votre domaine peut-tre
ncessiter l'authentification IPSec.
Comme nous l'avons vu, mcanisme d'application de NAP DHCP est la plus simple
configurer et utiliser ; en fait, votre serveur DHCP devient oprateur de contrle d'appels de
NAP. Ordinateurs qui se connectent votre rseau doivent tout d'abord demander une adresse
DHCP. C'est dans laquelle la question tes-vous sain? est demande par le serveur
DHCP NAP activ. Si l'ordinateur rpond correctement, DHCP il donne une adresse avec un
accs rseau total. Si l'ordinateur ne sait pas comment rpondre ou si elle rpond incorrecte,
DHCP au lieu de cela donne il une adresse particulire pour correction.
Pour simplifier davantage notre exemple, je vais ordonner NAP pour surveiller uniquement
des clients pour les correctifs WSUS. Dans ce cas, les clients sont considrs comme non
intgre uniquement lorsqu'ils ne sont pas parler vers WSUS ou que vous n'avez pas les
correctifs de droite. Comme vous le dcouvrirez plus tard, J'AI cela car Microsoft inclut un
validateur d'intgrit scurit intgre qui permet de ces vrifications excuter.
Dterminer la sant d'un ordinateur avec qui validateur d'intgrit intgre de la scurit
ncessite que deux composants clients fonctionnent ensemble, le client NAP, qui est en mode
natif disponible avec Windows Vista, Windows Server 2008 et Windows XP Service Pack 3
et le Centre de scurit Windows, qui est disponible dans le Panneau de configuration (voir
figure 1 ). Tandis que travail le client NAP est pour communiquer avec l'infrastructure de
serveur NAP, dterminer tat du client et ne l'application relle, il est le travail de la Windows
Security Center pour identifier et signaler lorsque les configurations de scurit sont out of
whack. Nous allons configurer pices client ainsi que les composants du serveur dans la
section suivante.

Figure 1, le Centre de scurit Windows

L'implmentation NAP DHCP pour appliquer les mises jour WSUS
Supposons que votre rseau et le domaine sont dj en place et votre environnement inclut un
contrleur de domaine nomm \\server1. Vous avez galement un ordinateur portable
Windows Vista nomm \\client1 utiliser dans votre mise en uvre NAP de test. Vous avez
conu simplement un ordinateur Windows Server 2008 nomm \\nps est ordinateur hte vos
services DHCP et NAP. Il est galement ordinateur hte base de votre WSUS donnes, qu'il
fonctionnent plus tard que le serveur correction pour les ordinateurs sont manquants
correctifs. Dans cet exemple, je suis collocating chacun de ces services sur le mme
ordinateur, mais il est possible de Recherchez chacun sur son propre ordinateur. Pour mise en
uvre DHCP travailler, vous devez l'excuter en haut de Windows Server 2008.
Sur le serveur \\nps, utiliser Server Manager pour installer le serveur DHCP, stratgie de
rseau et services d'accs et rles WSUS. Configurer DHCP avec une porte petite pour tester
et configurez WSUS avec la configuration ncessaire adapte votre environnement.
Ensuite, crez un groupe global de votre domaine appel ordinateurs des clients NAP. Dans
ce groupe vous allez ajouter ultrieurement les noms des ordinateurs dont intgrit souhait
NAP pour surveiller. Dans cet exemple, cet ordinateur sera \\client1.
Mise en uvre de NAP DHCP peut transmettre des adresses dans un sous-rseau
compltement diffrent et isol sur les ordinateurs dfectueux, mais par souci de simplicit
nous seulement change le nom de l'ordinateur DNS domaine. Ici, DHCP indiquera ordinateurs
sains que son suffixe DNS est contoso.com, tandis que les ordinateurs dfectueux au lieu de
cela obtenez unhealthy.contoso.com. N'oubliez pas qu'il conserve l'exemple simple, mais n'est
pas ncessairement isoler les ordinateurs dfectueux. Une fois que vous comprenez les
concepts de base, vous pouvez ultrieurement revenir en arrire et implmenter d'isolation du
sous-rseau.
Configurez vos tendues DHCP avec les suffixes DNS ci-dessus. Cela dans la console DHCP
en cliquant avec le bouton droit sur options d'tendue et en choisissant Options de
configuration. Dans la fentre obtenue, cliquez sur l'onglet Avanc o vous dcouvrirez deux
classes d'utilisateurs d'intrt. La classe d'utilisateurs par dfaut reprsente votre ensemble
d'ordinateurs sains. Ces ordinateurs doivent obtenir un accs complet et le suffixe de DNS
contoso.com sous option 15. La classe de protection des accs de rseau par dfaut reprsente
vos ordinateurs dfectueux et doit obtenir le unhealthy.contoso.com suffixe DNS pour l'option
15. Vous devez sans doute galement entrer des informations pour votre serveur DNS sous
option 6 et les informations de passerelle par dfaut dans option 3. Lorsque tout est termin, le
rsultat doit ressembler figure 2 . ce stade, vous pouvez l'tendue DHCP NAP activer,
cliquez avec le bouton droit sur le cadre lui-mme, affichez les proprits. Sous l'onglet
Protection d'accs au rseau, cliquez sur Activer pour cette tendue.

La figure 2 classes NAP DHCPsDefault doit tre confi gured
Votre configuration des services DHCP est termine. L'tape suivante consiste configurer
NAP lui-mme l'aide de l'Assistant Configuration NAP. Recherchez le lien du mme nom
dans volet droit du Gestionnaire de serveur lorsque vous accdez la stratgie de rseau et
accs | NPS (local). Dans cet exemple, configurez plusieurs pages de l'Assistant comme suit :
Slectionner la mthode de connexion rseau utiliser avec la protection NAP. Permet de
slectionner DHCP pour votre mthode de connexion rseau. L'Assistant va remplir puis
automatiquement la zone de nom de stratgie avec DHCP NAP.
spcifier les serveurs mise en uvre NAP en cours d'excution serveur DHCP. Si vos
services DHCP sur diffrents serveurs que votre serveur NAP, vous devez saisir ici, les noms
de serveurs. Pour notre exemple, NAP et DHCP sont collocated, donc vous pouvez en toute
scurit laisser cette zone vide.
Dfinir les tendues DHCP. Entrez les tendues DHCP que vous souhaitez activer pour NAP.
Laissez cette zone vide, toutes les tendues DHCP sont utiliss.
configurer les groupes d'utilisateurs et groupes de l'ordinateur. Dans cette bote de dialogue,
ajoutez la protection NAP client ordinateurs groupe global cr prcdemment. Cela force la
stratgie de protection NAP pour grer la mise en uvre pour seulement les ordinateurs de ce
groupe. Autres ordinateurs sont conservs uniquement.
spcifier un serveur de correction de NAP et les URL. Cette page effectue deux oprations.
Tout d'abord, il identifie les serveurs de correction facturs corriger clients dfectueux. Dans
cet exemple, les serveurs de correction seront \\server1 pour les services de domaine et les
services WSUS \\npsfor. Cliquez sur le bouton nouveau groupe et crer un groupe qui inclut
ces serveurs. Ensuite, la page prsente une URL de dpannage. Cette URL s'affiche dans une
bulle sur les ordinateurs dfectueux remanded votre rseau isol pour correction. Le site
Web, qui vous devez crer vous-mme, peut contenir des instructions sur ce qui se passe au
client ou instructions pour la correction manuelle. Pour que cet exemple, nous laisserons
l'URL vide.
dfinir la stratgie d'intgrit NAP. Cet cran final affiche un lien vers le validateur d'intgrit
de scurit Windows, qui sont ensuite tre personnalises et fournit des paramtres de
restrictions d'accs rseau et de correction automatique. Conservez les paramtres par dfaut
pour chacun de ces ici.
L'tape suivante est le plaisir partie. Ici, vous devez configurer les composants de la Windows
scurit Intgrit validateur (WSHV) vous souhaitez utiliser pour la mise en uvre. La valeur
par dfaut WSHV comprend un certain nombre de composants de Centre de scurit
Windows qui peuvent tre surveills.
Pare-feu Windows. Y a-t-il un pare-feu sur le systme qui a inscrit avec le Centre de scurit
Windows ? Que le pare-feu est activ pour toutes les connexions rseau ?
virus et logiciels espions la protection. Les applications antivirus et anti-logiciels espions
installes sur l'ordinateur, et elles enregistres avec le Centre de scurit Windows ? Sont
actives leurs applications et actuellement l'utilisation de signatures mises jour ? Le WSHA
traite les applications antivirus et anti-logiciels espions sparment, vous permettant
d'appliquer les deux ou les deux systmes cibls sur.
mises jour de Microsoft. L'ordinateur a t configur pour vrifier les mises jour
automatiques via Windows Update ou un serveur WSUS local ? Si tel est le cas, le nombre
d'heures il y a n'a l'ordinateur vrifier de mises jour ? Toutes les mises jour disponibles
installes ? Quel niveau de mise jour rle critique, important, critiques, etc. doit tre
install pour un ordinateur prendre en considration sain ?
Dans le gestionnaire serveur, accdez stratgie de rseau et Access services | NPS (local) |
Network Access Protection | validateurs d'intgrit du systme et double-cliquez sur le
validateur d'intgrit de scurit Windows. Dans l'cran rsultant, cliquez sur Configurer pour
voir un cran semblable celui de la figure 3 .

La figure 3, le validateur d'intgrit de la scurit Windows par dfaut
Slectionnez les zones NAP pour grer. Notez que les pare-feu tiers, antivirus ou anti-
logiciels espions applications doivent inscrire avec le Centre de scurit Windows ou fournir
leurs propres modules complmentaires surveiller par la protection NAP. Dans cet exemple,
nous vous uniquement les cases cocher indiqus dans la figure 3 . Cette demande NAP pour
vous assurer que la mise jour automatique est active pour tous les systmes client et que
toutes les mises jour critiques sont installes. Si un client ne peut pas remplissent les
conditions, il va tre dplac d'automatiquement dans l'action corrective rseau o le serveur
WSUS peut automatiquement rsoudre le problme et sortir l'ordinateur au bon
fonctionnement.
Enfin, il y a trois paramtres configurer qui sont appliqus par la stratgie de groupe. Crer
un objet de stratgie nouveau groupe (GPO), liez-le au domaine et Ouvrir pour modification.
Activer l'agent de protection d'accs rseau et dfinissez-le sur automatique. Cela sous
Configuration ordinateur | stratgies | Paramtres Windows | Paramtres de scurit |
Services systme.
Activer de NAP DHCP contrle application Agent, vous trouverez sous Configuration
ordinateur | stratgies | Paramtres Windows | Paramtres de scurit | Network Access
Protection | configuration du client NAP | clients de mise en uvre. Double-cliquez
sur l'agent puis, dans l'cran rsultant choisissez Activer ce client de mise en uvre.
Pour appliquer ce paramtre, cliquez avec le bouton droit sur le nud Configuration
de client NAP et cliquez sur Appliquer.
Activer le Centre de scurit Windows trouv dans la configuration de l'ordinateur |
stratgies | Modles d'administration | Composants Windows | Centre de scurit.
Une tape finale : fermer l'diteur de gestion de stratgie de groupe et de filtrage la stratgie
de scurit, remplacez les utilisateurs authentifis par le groupe ordinateurs des clients NAP
crs prcdemment. Vous pouvez maintenant commencer ajouter ordinateurs du domaine
au groupe ordinateurs des clients NAP pour lancer leur participation la mise en uvre NAP.
Une fois la stratgie de groupe s'applique aux ordinateurs, leurs interactions avec DHCP
impliquent les vrifications d'intgrit NAP nous abordes ici.
Vous pouvez vrifier le statut de client NAP l'aide de napstat.exe. Excutant cet outil des
rsultats de ligne de commande dans une icne de barre d'tat systme ainsi que d'une bulle
qui fournit des informations sur tat de mise en uvre du client. Cliquez sur cette info-bulle
affiche une fentre de statut comme celui de la figure 4 , qui indique que le client n'est pas
compatible, car il n'a pas install les mises jour approprie. ce stade, car NAP a identifi
le client comme non intgre, DHCP est ont rengocies son bail et modifi le suffixe DNS en
unhealthy.contoso.com.

La figure 4, un client NAP dfectueux sans le securityupdates approprie install
Il existe de toute vidence nombreuses manires plus dans laquelle vous pouvez adapter votre
implmentation de NAP pour fournir une scurit supplmentaire. Cration d'un rseau de
l'action corrective compltement isol pour les clients dfectueux est une option.
Configuration des paramtres de mise en uvre plus dans le WSHV ou Ajout de nouveau
SHVs tiers est d'autres personnes. Si vous aller sur le nud Stratgie de rseau et des services
d'accs dans le Gestionnaire de serveur, vous trouverez un ordinateur hte d'options
supplmentaires pour la personnalisation NAP pour rpondre vos besoins.