Introduction

1. Présentation de NAP
1.1 Une protection nécessaire
1.2 Des technologies éprouvées
1.3 Principe de fonctionnement de NAP
2. Les éléments fondamentaux du système de protection
2.1 Un nouveau serveur RADIUS : NPS
2.1.1 Clients et serveurs RADIUS
2.1.2 Les stratégies RADIUS
2.1.3 Network Access Protection
2.1.4 L'assistant de configuration de NPS
2.2 La configuration du client NAP
2.3 Les méthodes d'accès au réseau compatibles avec NAP
2.3.1 Le contrôle d'accès par DHCP
2.3.2 Le contrôle d'accès par 802.1X
2.3.3 Le contrôle d'accès par IPSec
2.3.4 Le contrôle d'accès par VPN
2.3.5 Le contrôle d'accès par Terminal Server
3. Cas pratiques
3.1 Contrôle de la conformité par DHCP
3.2 Contrôle de la conformité par 802.1X
3.3 Contrôle de la conformité par IPSec
Conclusion

Introduction
Le nouveau système d’exploitation serveur de Microsoft, Windows Server 2008, apporte avec lui de
nouvelles fonctionnalités. Parmi elles, la technologie de protection de l’accès au réseau : Network
Access Protection, plus couramment appelée NAP.
NAP est une technologie prometteuse visant à empêcher l’accès complet au réseau à un poste n’étant
pas conforme avec les règles de sécurité de l’entreprise, telle que la présence d’un antivirus à jour. Le
principe de cette protection est de demander au client de fournir son « état de santé », au moment
même où il désire pénétrer sur le réseau. Si le client est non-conforme, il sera placé dans une zone de
quarantaine de laquelle il ne pourra sortir tant qu’il ne se sera pas mis en conformité avec la stratégie
du réseau.

1. Présentation de NAP
1.1 Une protection nécessaire
Depuis plusieurs années maintenant, la question de la sécurité informatique a pris une place
considérable dans les décisions des entreprises. La majorité d’entres elles n’hésitent plus à investir de
manière conséquente dans du matériel et des solutions de plus en plus pointues destinées à garantir
l’intégrité de leur infrastructure. La plupart du temps, les solutions misent en place visent à protéger le
réseau des menaces extérieures (pare-feu, antivirus etc) ce qui, bien qu’être une nécessité absolue
peut s’avérer de nos jours insuffisante. Imaginons ce scénario, qui malheureusement se produit de
plus en plus souvent : un utilisateur qui rentre de quelques semaines de congés se connecte lundi
matin sur le réseau de son entreprise. Ses définitions antivirus n’étant plus à jour et les derniers
correctifs de sécurités n’ayant pas été installés, comment être sûr que cette machine n’est pas
infectée par un malware ? Si c’est effectivement le cas, cette machine pourra tout de même se
connecter en toute sérénité sur le réseau interne de l’entreprise et ainsi risquer de contaminer les
machines n’étant pas immunisées contre cette menace. La parade serait de connecter manuellement
le poste à risque de cet utilisateur sur un réseau isolé sur lequel il pourrait appliquer les dernières
mises à jour avant de lui rendre un accès complet au reste du réseau, ce qui dans l’état actuel des
choses s’avérerait mission impossible.
La solution ? La technologie NAP, pour Network Access Protection (Protection de l’Accès
Réseau), développée par Microsoft. NAP va permettre d’effectuer cela de manière automatique et
transparente, que ce soit pour l’utilisateur ou pour les équipes informatiques.

1.2 Des technologies éprouvées

Il existe actuellement plusieurs solutions pour filtrer l’accès au réseau, notamment la norme 802.1x
ainsi que la technologie IPSec. Si c’est deux solutions s’avèrent parfaitement au point, il n’en demeure
pas moins qu’elles se basent sur une notion d’identité (c'est-à-dire une phase d’authentification) pour
autoriser ou refuser l’accès au réseau à un hôte. Bien qu’utilisant des technologies existantes, telle
IPSec, NAP s’inscrit dans une optique différente. Il ne s’agit plus de filtrer l’accès au réseau en
fonction du compte de l’utilisateur ou de la machine, mais en fonction de son état de santé. Par état de
santé, on entend la conformité avec les règles édictées dans l’entreprise telles que la présence d’un
pare-feu en état de marche ou encore d’un antivirus à jour sur le système.

1.3 Principe de fonctionnement de NAP

Le principe de fonctionnement global de NAP est basé sur un couple client/serveur. Lorsque le client
tente d’accéder au réseau ou à une ressource, il devra présenter son bilan de santé à l’hôte distant.
Selon les critères qu’il soit conforme ou non avec les règles de l’entreprise il se verra autoriser à
communiquer avec l’intégralité du réseau ou seulement une zone restreinte. Pour parvenir à ce but,
NAP repose sur un ensemble d’éléments interconnectés permettant d’évaluer l’état de santé du client
puis de le transmettre au serveur. Voici les éléments importants opérant dans la vérification de la
conformité :

• SHA (System Health Agent) : les agents de d’état système analysent différents critères du
système (pare-feu activé, mises à jour automatique activées, version des signatures de
l’antivirus etc). La force des SHA est qu’ils reposent sur une structure modulaire ce qui signifie
qu’il est parfaitement possible à des éditeurs tiers de fournir leur propre SHA afin de tester
n’importe quel paramètre du client.
• SoH (Statement of Health) : chaque SHA enregistre les informations collectées dans un SoH
qui devient donc le bulletin d’état d’un agent d’état.
• SSoH (System Statement of Health) : tous les bulletins d’état précédemment créés sont
fusionnés pour former le bulletin d’état du système. C’est ce bulletin qui sera transmis au
serveur distant.
• EC (Enforcement Client) : il s’agit du module client qui a pour mission d’envoyer le SSoH au
serveur distant. Les EC sont par défaut au nombre de cinq sur un client NAP. Il s’agit des
clients DHCP, VPN, 802.1X (filaire ou sans-fil) ainsi que IPSec.
• ES (Enforcement Server) : il s’agit du module serveur sur le serveur d’accès (DHCP, VPN etc)
qui doit récupérer le SSoH du client.
• NPS (Network Policy Server) : il s’agit du nouveau serveur Radius de Microsoft qui a
notamment la capacité de supporter NAP.
• SHV (System Health Validator) : les SHV sont la version serveur des SHA. Ils ont pour
mission de vérifier la conformité de la configuration du client grâce à l’analyse des SoH.
 Fonctionnement théorique de la technologie NAP

Quelque soit la méthode de vérification de la conformité utilisée, le principe reste toujours le même :

1. Lorsque le client tente d’établir sa connexion sur un serveur requérant NAP, il est invité à
fournir son bulletin de santé.
2. Chaque SHA génère un bulletin d’état SoH indiquant l’état de cet agent. Par exemple, un
SHA destiné à contrôler l’état d’activation du pare-feu indiquera dans son SoH si le pare-feu
est activé ou non.
3. Les SoH de tous les SHA sont fusionnés pour former le bulletin d’état du système SSoH.
4. Le SSoH est transmis par le service NAP au client réseau EC nécessaire.
5. Le SSoH est réceptionné par le serveur réseau ES.
6. Le serveur réseau ES envoi une demande d’accès au serveur Radius NPS/NAP (message
« Access-Request ») en lui transmettant le SSoH du client.
7. Afin de valider l’état de santé, le serveur NPS transmet le SSoH au serveur d’administration
NAP qui décompose le SSoH en SoH
8. Chaque SoH est transmis au validateur d’état SHV correspondant.
9. Les SHV informent le serveur d’administration NAP du résultat des analyses.
 10. En fonction des règles créées sur le serveur NPS, l’accès est accordé (message « Access-
Accept ») ou refusé avec éventuellement la consigne nécessaire permettant au client de se
mettre en conformité avec les stratégies, le tout stocké dans le SSoHR (Réponse SoH).
11. Le serveur d’accès ES transmet, selon la réponse du serveur NPS, les informations
nécessaires pour se connecter ou les informations nécessaires pour devenir conforme.

2. Les éléments fondamentaux du

système de protection
Actuellement, le seul système d’exploitation serveur capable de gérer la technologie NAP est
Windows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gère nativement
toutes les fonctionnalités de NAP, Windows XP équipé du service pack 3 (SP3) est lui aussi en
mesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPS

La grande nouveauté de Windows Server 2008 en ce qui concerne la protection réseau est son
composant NPS, acronyme de Network Policy Server. Il s’agit du nouveau serveur RADIUS de
Microsoft destiné à remplacer IAS (Internet Authentification Service). Rappelons qu’un serveur
RADIUS a pour mission de centraliser l’authentification et l’autorisation en s’appuyant généralement
sur Active Directory. Entièrement reconçu, le service NPS se présente comme la clé de voute de la
technologie NAP. Quelque soit la méthode d’enforcement que vous serez amenés à mettre en place,
la configuration du service NPS sera une étape déterminante dans la procédure.
Voici les principales options du serveur NPS :

2.1.1 Clients et serveurs RADIUS

Dans notre cas, les clients RADIUS qui seront utilisés seront principalement le serveur d’accès distant
VPN ainsi que le matériel réseau supportant la norme 802.1X. Il est important de rappeler que les
données transitant entre le client et le serveur RADIUS devraient toujours être chiffrées (à l’aide
d’IPSec par exemple). Il est aussi possible via ces options de configuration de créer un ou des
groupes de serveurs RADIUS distants. Cela permet à notre serveur NPS de devenir proxy RADIUS en
redirigeant des requêtes à d’autres serveurs RADIUS de l’entreprise.

2.1.2 Les stratégies RADIUS

Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients. C’est sur
cette page qu’il nous faudra créer nos stratégies de connexion, généralement une par méthode de
connexion (DHCP, VPN, HRA etc).

Une stratégie de connexion NPS se décompose en deux parties :

• Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients.
C’est sur cette page qu’il nous faudra créer nos stratégies de connexion, généralement une
par méthode de connexion (DHCP, VPN, HRA etc). Une stratégie de connexion NPS se
décompose en deux parties :
o Les conditions : configurez ici au minimum une condition qui permettra à cette règle
d’être sélectionnée pour cette demande de connexion. Vous pouvez ajoutez des
critères comme l’appartenance de l’utilisateur à un groupe spécifique, l’heure de la
demande ou encore son adresse IP. Pour chaque demande de connexion, NPS
parcourra chaque règle de connexion (par ordre de priorité) jusqu’à ce qu’il en trouve
une dans laquelle les conditions spécifiées correspondent aux paramètres de cette
demande. Si aucune règle de connexion ne correspond avec la demande en cours,
NPS renverra un accès refusé au client RADIUS.
o Les paramètres de configuration : lorsque le serveur NPS a trouvé une règle
correspondant aux conditions précédentes, il consultera les paramètres de
connexions pour savoir comment traiter cette demande. L’option importante dans cet
onglet est la manière dont l’authentification sera réalisée. Il est possible de rediriger
les règles sur un groupe de serveur RADIUS préalablement créé (voir
précédemment), d’autoriser l’accès sans vérifier l’autorisation (dans ce cas, toutes les
requêtes de connexion correspondantes à cette règle seront automatiquement
approuvées) ou encore, ce qui est le cas par défaut, de traiter les demandes sur ce
serveur NPS. Dans ce cas, la requête va être analysée dans les stratégies réseau.

• Les stratégies réseau : deuxième étape du traitement d’une requête de connexion, il s’agit
de vérifier dans les stratégies réseau si la demande doit-être ou non autorisée. Pour cela, il
faut créer des règles de réseau. Ces règles se décomposent en trois parties :
o Les conditions : comme pour les requêtes de connexion, il s’agit de spécifier des
critères permettant au serveur NPS de définir quelle règle il doit utiliser pour traiter
cette demande. Dans le cas de NAP, c’est ici qu’il sera possible de vérifier si la
requête provient d’un client compatible avec NAP, et si oui, si le client est conforme
(« compliant ») avec les règles de santé de l’entreprise.
o Les contraintes de connexion : lorsque NPS trouve dans la liste une règle de réseau
utilisable pour autoriser cette demande de connexion, il consulte la liste des
contraintes. Il s’agit notamment dans notre cas des méthodes d’authentification. Il est
possible de sélectionner des méthodes conventionnelles (MS-CHAP v2, EAP) mais
aussi d’effectuer uniquement un test de santé, ce qui aura pour effet de ne pas
authentifier l’utilisateur. Cela est par exemple utile dans le cas de l’enforcement par
DHCP qui ne permet pas de fournir les informations d’authentification.
o Les paramètres de configuration de la règle : c’est la partie la plus importante en ce
qui concerne NAP. C’est ici qu’il nous est possible de spécifier si le client peut
accéder à l’intégralité du réseau (cas où la machine cliente est considérée comme
« en bonne santé » vis à vis des règles de l’entreprise) ou si elle doit être restreinte à
la zone de quarantaine (machine non-conforme). C’est aussi dans cet onglet qu’il est
possible de spécifier si l’auto-remédiation (faculté d’indiquer au client non-conforme
ce qu’il doit faire pour devenir conforme) doit être utilisé.
• Les stratégies de santé : c’est ici qu’il nous faudra configurer les règles de l’entreprise en
matière de « bonne santé ». Typiquement, il nous faudra créer deux stratégies de santé : la
première indiquant que si le client passe avec succès tous les tests d’état il sera considéré
 comme « conforme » et la deuxième dans laquelle on pourrait dire que si le client échoue à un
seul de ces tests il doit être considéré comme « non-conforme »

2.1.3 Network Access Protection

System Health Validators : c’est ici qu’il est possible de configurer les validateurs d’état système
(SHV). Par défaut, il n’existe qu’un seul SHV : celui fournit par Microsoft qui a pour fonctionnalité
d’auditer : l’état du pare-feu, de l’antivirus, de la protection antispyware, des mises à jour
automatiques ainsi que des mises à jour installées sur le client. Concernant les mises à jour, NPS
pourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de s’assurer de
la conformité du client. Sous Windows XP SP3, la seule option en moins est l’analyse de l’antispyware
(car non gérée dans le centre de sécurité de Windows). C’est aussi ici qu’il est possible de choisir la
décision qui devra être prise dans le cas où un SHV ou un SHA n’est pas disponible. Groupes de
serveurs de remédiation : lorsqu’un client est considéré comme non conforme par les stratégies NPS,
il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformité.
Cela peut inclure des serveurs fournissant les mises à jour du système ou encore de l’antivirus.

2.1.4 L'assistant de configuration de NPS

NPS dispose d’un assistant simplifiant la création des stratégies NAP (stratégie de connexion, de
réseau et de santé). Cet assistant, disponible en cliquant sur le nom du serveur NPS à la racine de la
console, permet de créer toutes les règles nécessaires au fonctionnement de NAP selon la méthode
de connexion que vous choisirez. Bien qu’assez pratique, il est important de toujours vérifier ce que
contiennent les règles ainsi créées afin de s’assurer qu’elles correspondent à la politique de
l’entreprise, mais aussi qu’elles sont suffisamment précises.

2.2 La configuration du client NAP

Au niveau du client, la configuration se résume à activer (si ce n’est déjà le cas) le service d’Agent de
Protection Réseau (NAP) ainsi qu’à activer les méthodes d’enforcement (Enforcement Client, EC) à
utiliser. Pour activer ces EC, il suffit d’ouvrir la console MMC de NAP
(démarrer\exécuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP).
Lorsque NAP est en fonction sur le client, les messages de contrôle sont affichés directement dans la
barre des tâches. Ces messages permettent à l’utilisateur de savoir s’il a accès ou non à la totalité du
réseau et dans la négative de consulter les raisons de sa non-conformité. Grace aux stratégies de
groupes (GPO), il est possible via Active Directory de configurer tous vos clients d’un seul coup. Pour
cela, Microsoft a rajouté de nouvelles options concernant NAP dans ses modèles de GPO. Il est ainsi
possible de forcer le démarrage du service NAP sur le client, de choisir les méthodes d’enforcement
qui devront être utilisées mais aussi de configurer les options nécessaires à IPSec (autorité de
certification racine de confiance, les IP des serveurs HRA ou encore création des règles de connexion
IPSec dans la console avancée du pare-feu Windows).
2.3 Les méthodes d'accès au réseau compatibles
avec NAP
Sur Windows Server 2008, NAP dispose nativement de cinq méthodes d’enforcement chacune
répondant à des besoins différents. De par la conception modulaire des composants de NAP, il est
possible d’envisager de futures méthodes d’enforcement. Concernant l’accès physique au réseau de
l’entreprise, il existe trois composants permettant de contrôler l’état du client : l’accès au serveur
DHCP, le filtrage à l’aide du protocole 802.1X ainsi que les stratégies IPSec. Pour les clients se
connectant à distance via VPN, il est aussi possible via le nouveau serveur d’accès distant (Routing
and Remote Access Server, RRAS) de Windows Server 2008 d’effectuer un contrôle lors de la
connexion d’un client VPN. Récemment, Microsoft a aussi décidé de rendre utilisable NAP aux
utilisateurs des services de Terminal Server (bureau ou application à distante).

Accès Infrastructure Niveau de Difficulté de

Avantages Inconvénients
par nécessaire sécurité mise en place
Serveurs : DHCP, Facilité de mise en Protection facilement
DHCP
NPS place contournable
Serveurs : RRAS, Protection de l'accès Système d'authentification
VPN
NPS à distance via VPN par certificats obligatoires

Serveurs : NPS, Protection de l'accès Protection réservée à un

TS
IIS, TS distant via TS usage spécifique

Serveur :
NPS Matériel compatible 802.1X
Efficacité, utilisable
802.1X Matériel réseau obligatoire, configuration du
en filaire ou sans-fil
compatible matériel obligatoire
802.1X et VLAN
Méthode la plus
Serveurs : NPS, sécurisée, chaque
IPSec HRA, IIS, PKI poste décide avec Difficulté de mise en place
(IGC) qui il peut
communiquer.

2.3.1 Le contrôle d'accès par DHCP

La protection réseau par DHCP présente l’avantage de contrôler la conformité du client au moment
même où il tente de se connecter au réseau (actuellement seul l’adressage IPv4 est supporté). La
fonction mise en quarantaine du client est basée sur la configuration IP qui sera renvoyée au client
non-conforme. Pour cela, une nouvelle classe DHCP dédiée à NAP à été créé permettant de
configurer des options spécifiques aux clients non conformes. Sa très grande simplicité de mise en
place cache néanmoins un inconvénient de taille : il est aisé pour un utilisateur d’utiliser une
configuration IP manuelle et donc de contourner la protection. Il est préférable dans la mesure du
possible d’opter pour l’une des deux autres méthodes de contrôle de l’accès au réseau physique.

2.3.2 Le contrôle d'accès par 802.1X

Le protocole 802.1X est une norme permettant à du matériel réseau tel qu’un commutateur ou un
point d’accès sans-fil de faire appel à un serveur Radius pour authentifier et autoriser les connexions
d’un client. Dans le cas de NAP, l’intérêt va être de se baser sur l’état de santé du client pour indiquer
au matériel non pas si la connexion doit être acceptée ou refusée mais plutôt avec qui le client aura la
possibilité de communiquer. Pour cela il est nécessaire de faire appel à une autre fonctionnalité de la
partie matérielle : les VLAN (Virtual Local Area Network). Ces réseaux virtuels permettront dans notre
cas de créer deux VLAN distincts : le premier pour les machines conformes, et le deuxième réservé
aux postes en quarantaine et en attente de remédiation. Cette méthode de contrôle d’accès reposant
principalement sur la partie matérielle de votre réseau, il vous faudra avoir du matériel compatible et
les connaissances pour mettre en place ce type d’infrastructure. Si vous utilisez déjà des systèmes
d’authentification par 802.1X il s’agit d’un excellent moyen de mettre en place efficacement NAP.

2.3.3 Le contrôle d'accès par IPSec

La méthode d’enforcement par IPSec se démarque par son mode de fonctionnement. A l’inverse des
quatre autres solutions disponibles, l’accès ne sera plus filtré au point d’entrée du réseau (DHCP,
VPN etc) mais ce sera chaque machine qui décidera en fonction de sa configuration si elle peut ou
non communiquer avec des hôtes non conformes. Son principe de fonctionnement à part impose un
composant supplémentaire pour fonctionner : l’autorité d’enregistrement de santé (Health Registration
Authorities, HRA). Le rôle de cette autorité est de fournir un certificat de santé aux clients conformes
avec les règles inscrites sur le serveur NPS. Ce certificat est un certificat numérique utilisant la norme
X509 V3 disposant de deux rôles : l’authentification du client et la preuve de la conformité. L’avantage
de ce système de certificat est qu’il suffira à un client de présenter son certificat à un hôte distant pour
lui prouver que son état de santé à été déclaré conforme par le serveur NPS. Ce certificat a une durée
de vie très faible permettant d’éviter les tâches d’administration inhérentes à la gestion des certificats
révoqués. Cette méthode est la plus sécurisée car elle permet d’obtenir une infrastructure sécurisée
par IPSec qui se base aussi sur l’état de santé du client pour la phase d’authentification.

2.3.4 Le contrôle d'accès par VPN

En rendant le service d’accès distant (RRAS, Routing and Remote Access Server) de Windows
Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients
distants. La configuration est relativement aisée puisqu’il suffit d’utiliser une authentification par PEAP
(Protected-Extensible Authentification Protocol). La mise en quarantaine s’effectuera à l’aide de filtres
IP configurés sur le serveur NPS. Le niveau de sécurité de cette solution dépend directement des
stratégies d’accès que vous avez créées, et notamment la manière dont seront traités les clients ne
supportant par NAP.

2.3.5 Le contrôle d'accès par Terminal Server

TS Gateway permet aux utilisateurs de se connecter sur le réseau de l’entreprise à partir d’Internet en
utilisant une connexion sécurisée (RDP over HTTPS). En fonction de votre politique, les utilisateurs
pourront avoir accès au bureau entier de Windows ou alors à une ou plusieurs applications.
L’implémentation de NAP permet d’augmenter la sécurité de votre réseau en acceptant seulement les
clients avec un bulletin de santé conforme à votre politique.

2. Les éléments fondamentaux du

système de protection
Actuellement, le seul système d’exploitation serveur capable de gérer la technologie NAP est
Windows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gère nativement
toutes les fonctionnalités de NAP, Windows XP équipé du service pack 3 (SP3) est lui aussi en
mesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPS

La grande nouveauté de Windows Server 2008 en ce qui concerne la protection réseau est son
composant NPS, acronyme de Network Policy Server. Il s’agit du nouveau serveur RADIUS de
Microsoft destiné à remplacer IAS (Internet Authentification Service). Rappelons qu’un serveur
RADIUS a pour mission de centraliser l’authentification et l’autorisation en s’appuyant généralement
sur Active Directory. Entièrement reconçu, le service NPS se présente comme la clé de voute de la
technologie NAP. Quelque soit la méthode d’enforcement que vous serez amenés à mettre en place,
la configuration du service NPS sera une étape déterminante dans la procédure.

Voici les principales options du serveur NPS :

2.1.1 Clients et serveurs RADIUS

Dans notre cas, les clients RADIUS qui seront utilisés seront principalement le serveur d’accès distant
VPN ainsi que le matériel réseau supportant la norme 802.1X. Il est important de rappeler que les
données transitant entre le client et le serveur RADIUS devraient toujours être chiffrées (à l’aide
d’IPSec par exemple). Il est aussi possible via ces options de configuration de créer un ou des
groupes de serveurs RADIUS distants. Cela permet à notre serveur NPS de devenir proxy RADIUS en
redirigeant des requêtes à d’autres serveurs RADIUS de l’entreprise.

2.1.2 Les stratégies RADIUS

Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients. C’est sur
cette page qu’il nous faudra créer nos stratégies de connexion, généralement une par méthode de
connexion (DHCP, VPN, HRA etc).

Une stratégie de connexion NPS se décompose en deux parties :

• Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients.
C’est sur cette page qu’il nous faudra créer nos stratégies de connexion, généralement une
par méthode de connexion (DHCP, VPN, HRA etc). Une stratégie de connexion NPS se
décompose en deux parties :
o Les conditions : configurez ici au minimum une condition qui permettra à cette règle
d’être sélectionnée pour cette demande de connexion. Vous pouvez ajoutez des
critères comme l’appartenance de l’utilisateur à un groupe spécifique, l’heure de la
demande ou encore son adresse IP. Pour chaque demande de connexion, NPS
parcourra chaque règle de connexion (par ordre de priorité) jusqu’à ce qu’il en trouve
une dans laquelle les conditions spécifiées correspondent aux paramètres de cette
demande. Si aucune règle de connexion ne correspond avec la demande en cours,
NPS renverra un accès refusé au client RADIUS.
o Les paramètres de configuration : lorsque le serveur NPS a trouvé une règle
correspondant aux conditions précédentes, il consultera les paramètres de
connexions pour savoir comment traiter cette demande. L’option importante dans cet
onglet est la manière dont l’authentification sera réalisée. Il est possible de rediriger
les règles sur un groupe de serveur RADIUS préalablement créé (voir
précédemment), d’autoriser l’accès sans vérifier l’autorisation (dans ce cas, toutes les
requêtes de connexion correspondantes à cette règle seront automatiquement
approuvées) ou encore, ce qui est le cas par défaut, de traiter les demandes sur ce
serveur NPS. Dans ce cas, la requête va être analysée dans les stratégies réseau.

• Les stratégies réseau : deuxième étape du traitement d’une requête de connexion, il s’agit
de vérifier dans les stratégies réseau si la demande doit-être ou non autorisée. Pour cela, il
faut créer des règles de réseau. Ces règles se décomposent en trois parties :
o Les conditions : comme pour les requêtes de connexion, il s’agit de spécifier des
critères permettant au serveur NPS de définir quelle règle il doit utiliser pour traiter
cette demande. Dans le cas de NAP, c’est ici qu’il sera possible de vérifier si la
requête provient d’un client compatible avec NAP, et si oui, si le client est conforme
(« compliant ») avec les règles de santé de l’entreprise.
o Les contraintes de connexion : lorsque NPS trouve dans la liste une règle de réseau
utilisable pour autoriser cette demande de connexion, il consulte la liste des
contraintes. Il s’agit notamment dans notre cas des méthodes d’authentification. Il est
possible de sélectionner des méthodes conventionnelles (MS-CHAP v2, EAP) mais
aussi d’effectuer uniquement un test de santé, ce qui aura pour effet de ne pas
authentifier l’utilisateur. Cela est par exemple utile dans le cas de l’enforcement par
DHCP qui ne permet pas de fournir les informations d’authentification.
o Les paramètres de configuration de la règle : c’est la partie la plus importante en ce
qui concerne NAP. C’est ici qu’il nous est possible de spécifier si le client peut
accéder à l’intégralité du réseau (cas où la machine cliente est considérée comme
« en bonne santé » vis à vis des règles de l’entreprise) ou si elle doit être restreinte à
 la zone de quarantaine (machine non-conforme). C’est aussi dans cet onglet qu’il est
possible de spécifier si l’auto-remédiation (faculté d’indiquer au client non-conforme
ce qu’il doit faire pour devenir conforme) doit être utilisé.
• Les stratégies de santé : c’est ici qu’il nous faudra configurer les règles de l’entreprise en
matière de « bonne santé ». Typiquement, il nous faudra créer deux stratégies de santé : la
première indiquant que si le client passe avec succès tous les tests d’état il sera considéré
comme « conforme » et la deuxième dans laquelle on pourrait dire que si le client échoue à un
seul de ces tests il doit être considéré comme « non-conforme »

2.1.3 Network Access Protection

System Health Validators : c’est ici qu’il est possible de configurer les validateurs d’état système
(SHV). Par défaut, il n’existe qu’un seul SHV : celui fournit par Microsoft qui a pour fonctionnalité
d’auditer : l’état du pare-feu, de l’antivirus, de la protection antispyware, des mises à jour
automatiques ainsi que des mises à jour installées sur le client. Concernant les mises à jour, NPS
pourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de s’assurer de
la conformité du client. Sous Windows XP SP3, la seule option en moins est l’analyse de l’antispyware
(car non gérée dans le centre de sécurité de Windows). C’est aussi ici qu’il est possible de choisir la
décision qui devra être prise dans le cas où un SHV ou un SHA n’est pas disponible. Groupes de
serveurs de remédiation : lorsqu’un client est considéré comme non conforme par les stratégies NPS,
il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformité.
Cela peut inclure des serveurs fournissant les mises à jour du système ou encore de l’antivirus.

2.1.4 L'assistant de configuration de NPS

NPS dispose d’un assistant simplifiant la création des stratégies NAP (stratégie de connexion, de
réseau et de santé). Cet assistant, disponible en cliquant sur le nom du serveur NPS à la racine de la
console, permet de créer toutes les règles nécessaires au fonctionnement de NAP selon la méthode
de connexion que vous choisirez. Bien qu’assez pratique, il est important de toujours vérifier ce que
contiennent les règles ainsi créées afin de s’assurer qu’elles correspondent à la politique de
l’entreprise, mais aussi qu’elles sont suffisamment précises.

2.2 La configuration du client NAP

Au niveau du client, la configuration se résume à activer (si ce n’est déjà le cas) le service d’Agent de
Protection Réseau (NAP) ainsi qu’à activer les méthodes d’enforcement (Enforcement Client, EC) à
utiliser. Pour activer ces EC, il suffit d’ouvrir la console MMC de NAP
(démarrer\exécuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP).
Lorsque NAP est en fonction sur le client, les messages de contrôle sont affichés directement dans la
barre des tâches. Ces messages permettent à l’utilisateur de savoir s’il a accès ou non à la totalité du
réseau et dans la négative de consulter les raisons de sa non-conformité. Grace aux stratégies de
groupes (GPO), il est possible via Active Directory de configurer tous vos clients d’un seul coup. Pour
cela, Microsoft a rajouté de nouvelles options concernant NAP dans ses modèles de GPO. Il est ainsi
possible de forcer le démarrage du service NAP sur le client, de choisir les méthodes d’enforcement
qui devront être utilisées mais aussi de configurer les options nécessaires à IPSec (autorité de
certification racine de confiance, les IP des serveurs HRA ou encore création des règles de connexion
IPSec dans la console avancée du pare-feu Windows).
2.3 Les méthodes d'accès au réseau compatibles
avec NAP
Sur Windows Server 2008, NAP dispose nativement de cinq méthodes d’enforcement chacune
répondant à des besoins différents. De par la conception modulaire des composants de NAP, il est
possible d’envisager de futures méthodes d’enforcement. Concernant l’accès physique au réseau de
l’entreprise, il existe trois composants permettant de contrôler l’état du client : l’accès au serveur
DHCP, le filtrage à l’aide du protocole 802.1X ainsi que les stratégies IPSec. Pour les clients se
connectant à distance via VPN, il est aussi possible via le nouveau serveur d’accès distant (Routing
and Remote Access Server, RRAS) de Windows Server 2008 d’effectuer un contrôle lors de la
connexion d’un client VPN. Récemment, Microsoft a aussi décidé de rendre utilisable NAP aux
utilisateurs des services de Terminal Server (bureau ou application à distante).

Accès Infrastructure Niveau de Difficulté de

Avantages Inconvénients
par nécessaire sécurité mise en place
Serveurs : DHCP, Facilité de mise en Protection facilement
DHCP
NPS place contournable
Serveurs : RRAS, Protection de l'accès Système d'authentification
VPN
NPS à distance via VPN par certificats obligatoires

Serveurs : NPS, Protection de l'accès Protection réservée à un

TS
IIS, TS distant via TS usage spécifique

Serveur :
NPS Matériel compatible 802.1X
Efficacité, utilisable
802.1X Matériel réseau obligatoire, configuration du
en filaire ou sans-fil
compatible matériel obligatoire
802.1X et VLAN
Méthode la plus
Serveurs : NPS, sécurisée, chaque
IPSec HRA, IIS, PKI poste décide avec Difficulté de mise en place
(IGC) qui il peut
communiquer.

2.3.1 Le contrôle d'accès par DHCP

La protection réseau par DHCP présente l’avantage de contrôler la conformité du client au moment
même où il tente de se connecter au réseau (actuellement seul l’adressage IPv4 est supporté). La
fonction mise en quarantaine du client est basée sur la configuration IP qui sera renvoyée au client
non-conforme. Pour cela, une nouvelle classe DHCP dédiée à NAP à été créé permettant de
configurer des options spécifiques aux clients non conformes. Sa très grande simplicité de mise en
place cache néanmoins un inconvénient de taille : il est aisé pour un utilisateur d’utiliser une
configuration IP manuelle et donc de contourner la protection. Il est préférable dans la mesure du
possible d’opter pour l’une des deux autres méthodes de contrôle de l’accès au réseau physique.
2.3.2 Le contrôle d'accès par 802.1X

Le protocole 802.1X est une norme permettant à du matériel réseau tel qu’un commutateur ou un
point d’accès sans-fil de faire appel à un serveur Radius pour authentifier et autoriser les connexions
d’un client. Dans le cas de NAP, l’intérêt va être de se baser sur l’état de santé du client pour indiquer
au matériel non pas si la connexion doit être acceptée ou refusée mais plutôt avec qui le client aura la
possibilité de communiquer. Pour cela il est nécessaire de faire appel à une autre fonctionnalité de la
partie matérielle : les VLAN (Virtual Local Area Network). Ces réseaux virtuels permettront dans notre
cas de créer deux VLAN distincts : le premier pour les machines conformes, et le deuxième réservé
aux postes en quarantaine et en attente de remédiation. Cette méthode de contrôle d’accès reposant
principalement sur la partie matérielle de votre réseau, il vous faudra avoir du matériel compatible et
les connaissances pour mettre en place ce type d’infrastructure. Si vous utilisez déjà des systèmes
d’authentification par 802.1X il s’agit d’un excellent moyen de mettre en place efficacement NAP.

2.3.3 Le contrôle d'accès par IPSec

La méthode d’enforcement par IPSec se démarque par son mode de fonctionnement. A l’inverse des
quatre autres solutions disponibles, l’accès ne sera plus filtré au point d’entrée du réseau (DHCP,
VPN etc) mais ce sera chaque machine qui décidera en fonction de sa configuration si elle peut ou
non communiquer avec des hôtes non conformes. Son principe de fonctionnement à part impose un
composant supplémentaire pour fonctionner : l’autorité d’enregistrement de santé (Health Registration
Authorities, HRA). Le rôle de cette autorité est de fournir un certificat de santé aux clients conformes
avec les règles inscrites sur le serveur NPS. Ce certificat est un certificat numérique utilisant la norme
X509 V3 disposant de deux rôles : l’authentification du client et la preuve de la conformité. L’avantage
de ce système de certificat est qu’il suffira à un client de présenter son certificat à un hôte distant pour
lui prouver que son état de santé à été déclaré conforme par le serveur NPS. Ce certificat a une durée
de vie très faible permettant d’éviter les tâches d’administration inhérentes à la gestion des certificats
révoqués. Cette méthode est la plus sécurisée car elle permet d’obtenir une infrastructure sécurisée
par IPSec qui se base aussi sur l’état de santé du client pour la phase d’authentification.

2.3.4 Le contrôle d'accès par VPN

En rendant le service d’accès distant (RRAS, Routing and Remote Access Server) de Windows
Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients
distants. La configuration est relativement aisée puisqu’il suffit d’utiliser une authentification par PEAP
(Protected-Extensible Authentification Protocol). La mise en quarantaine s’effectuera à l’aide de filtres
IP configurés sur le serveur NPS. Le niveau de sécurité de cette solution dépend directement des
stratégies d’accès que vous avez créées, et notamment la manière dont seront traités les clients ne
supportant par NAP.

2.3.5 Le contrôle d'accès par Terminal Server

TS Gateway permet aux utilisateurs de se connecter sur le réseau de l’entreprise à partir d’Internet en
utilisant une connexion sécurisée (RDP over HTTPS). En fonction de votre politique, les utilisateurs
pourront avoir accès au bureau entier de Windows ou alors à une ou plusieurs applications.
L’implémentation de NAP permet d’augmenter la sécurité de votre réseau en acceptant seulement les
clients avec un bulletin de santé conforme à votre politique.

Les éléments fondamentaux du

système de protection
Actuellement, le seul système d’exploitation serveur capable de gérer la technologie NAP est
Windows Server 2008. Si le client officiel de Windows Server 2008, Windows Vista, gère nativement
toutes les fonctionnalités de NAP, Windows XP équipé du service pack 3 (SP3) est lui aussi en
mesure de tirer parti de la plupart des avantages de cette technologie.

2.1 Un nouveau serveur RADIUS : NPS

La grande nouveauté de Windows Server 2008 en ce qui concerne la protection réseau est son
composant NPS, acronyme de Network Policy Server. Il s’agit du nouveau serveur RADIUS de
Microsoft destiné à remplacer IAS (Internet Authentification Service). Rappelons qu’un serveur
RADIUS a pour mission de centraliser l’authentification et l’autorisation en s’appuyant généralement
sur Active Directory. Entièrement reconçu, le service NPS se présente comme la clé de voute de la
technologie NAP. Quelque soit la méthode d’enforcement que vous serez amenés à mettre en place,
la configuration du service NPS sera une étape déterminante dans la procédure.
Voici les principales options du serveur NPS :

2.1.1 Clients et serveurs RADIUS

Dans notre cas, les clients RADIUS qui seront utilisés seront principalement le serveur d’accès distant
VPN ainsi que le matériel réseau supportant la norme 802.1X. Il est important de rappeler que les
données transitant entre le client et le serveur RADIUS devraient toujours être chiffrées (à l’aide
d’IPSec par exemple). Il est aussi possible via ces options de configuration de créer un ou des
groupes de serveurs RADIUS distants. Cela permet à notre serveur NPS de devenir proxy RADIUS en
redirigeant des requêtes à d’autres serveurs RADIUS de l’entreprise.

2.1.2 Les stratégies RADIUS

Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients. C’est sur
cette page qu’il nous faudra créer nos stratégies de connexion, généralement une par méthode de
connexion (DHCP, VPN, HRA etc).

Une stratégie de connexion NPS se décompose en deux parties :

• Les stratégies de requêtes de connexion : elles sont le point d’entrée des requêtes clients.
C’est sur cette page qu’il nous faudra créer nos stratégies de connexion, généralement une
par méthode de connexion (DHCP, VPN, HRA etc). Une stratégie de connexion NPS se
décompose en deux parties :
o Les conditions : configurez ici au minimum une condition qui permettra à cette règle
d’être sélectionnée pour cette demande de connexion. Vous pouvez ajoutez des
critères comme l’appartenance de l’utilisateur à un groupe spécifique, l’heure de la
demande ou encore son adresse IP. Pour chaque demande de connexion, NPS
parcourra chaque règle de connexion (par ordre de priorité) jusqu’à ce qu’il en trouve
une dans laquelle les conditions spécifiées correspondent aux paramètres de cette
demande. Si aucune règle de connexion ne correspond avec la demande en cours,
NPS renverra un accès refusé au client RADIUS.
o Les paramètres de configuration : lorsque le serveur NPS a trouvé une règle
correspondant aux conditions précédentes, il consultera les paramètres de
connexions pour savoir comment traiter cette demande. L’option importante dans cet
onglet est la manière dont l’authentification sera réalisée. Il est possible de rediriger
les règles sur un groupe de serveur RADIUS préalablement créé (voir
précédemment), d’autoriser l’accès sans vérifier l’autorisation (dans ce cas, toutes les
requêtes de connexion correspondantes à cette règle seront automatiquement
approuvées) ou encore, ce qui est le cas par défaut, de traiter les demandes sur ce
serveur NPS. Dans ce cas, la requête va être analysée dans les stratégies réseau.

• Les stratégies réseau : deuxième étape du traitement d’une requête de connexion, il s’agit
de vérifier dans les stratégies réseau si la demande doit-être ou non autorisée. Pour cela, il
faut créer des règles de réseau. Ces règles se décomposent en trois parties :
o Les conditions : comme pour les requêtes de connexion, il s’agit de spécifier des
critères permettant au serveur NPS de définir quelle règle il doit utiliser pour traiter
cette demande. Dans le cas de NAP, c’est ici qu’il sera possible de vérifier si la
requête provient d’un client compatible avec NAP, et si oui, si le client est conforme
(« compliant ») avec les règles de santé de l’entreprise.
o Les contraintes de connexion : lorsque NPS trouve dans la liste une règle de réseau
utilisable pour autoriser cette demande de connexion, il consulte la liste des
contraintes. Il s’agit notamment dans notre cas des méthodes d’authentification. Il est
possible de sélectionner des méthodes conventionnelles (MS-CHAP v2, EAP) mais
aussi d’effectuer uniquement un test de santé, ce qui aura pour effet de ne pas
authentifier l’utilisateur. Cela est par exemple utile dans le cas de l’enforcement par
DHCP qui ne permet pas de fournir les informations d’authentification.
o Les paramètres de configuration de la règle : c’est la partie la plus importante en ce
qui concerne NAP. C’est ici qu’il nous est possible de spécifier si le client peut
accéder à l’intégralité du réseau (cas où la machine cliente est considérée comme
« en bonne santé » vis à vis des règles de l’entreprise) ou si elle doit être restreinte à
la zone de quarantaine (machine non-conforme). C’est aussi dans cet onglet qu’il est
possible de spécifier si l’auto-remédiation (faculté d’indiquer au client non-conforme
ce qu’il doit faire pour devenir conforme) doit être utilisé.
• Les stratégies de santé : c’est ici qu’il nous faudra configurer les règles de l’entreprise en
matière de « bonne santé ». Typiquement, il nous faudra créer deux stratégies de santé : la
première indiquant que si le client passe avec succès tous les tests d’état il sera considéré
 comme « conforme » et la deuxième dans laquelle on pourrait dire que si le client échoue à un
seul de ces tests il doit être considéré comme « non-conforme »

2.1.3 Network Access Protection

System Health Validators : c’est ici qu’il est possible de configurer les validateurs d’état système
(SHV). Par défaut, il n’existe qu’un seul SHV : celui fournit par Microsoft qui a pour fonctionnalité
d’auditer : l’état du pare-feu, de l’antivirus, de la protection antispyware, des mises à jour
automatiques ainsi que des mises à jour installées sur le client. Concernant les mises à jour, NPS
pourra soit consulter Windows Update, soit consulter un serveur WSUS en interne afin de s’assurer de
la conformité du client. Sous Windows XP SP3, la seule option en moins est l’analyse de l’antispyware
(car non gérée dans le centre de sécurité de Windows). C’est aussi ici qu’il est possible de choisir la
décision qui devra être prise dans le cas où un SHV ou un SHA n’est pas disponible. Groupes de
serveurs de remédiation : lorsqu’un client est considéré comme non conforme par les stratégies NPS,
il est possible de lui indiquer un ensemble de ressources lui permettant de se remettre en conformité.
Cela peut inclure des serveurs fournissant les mises à jour du système ou encore de l’antivirus.

2.1.4 L'assistant de configuration de NPS

NPS dispose d’un assistant simplifiant la création des stratégies NAP (stratégie de connexion, de
réseau et de santé). Cet assistant, disponible en cliquant sur le nom du serveur NPS à la racine de la
console, permet de créer toutes les règles nécessaires au fonctionnement de NAP selon la méthode
de connexion que vous choisirez. Bien qu’assez pratique, il est important de toujours vérifier ce que
contiennent les règles ainsi créées afin de s’assurer qu’elles correspondent à la politique de
l’entreprise, mais aussi qu’elles sont suffisamment précises.

2.2 La configuration du client NAP

Au niveau du client, la configuration se résume à activer (si ce n’est déjà le cas) le service d’Agent de
Protection Réseau (NAP) ainsi qu’à activer les méthodes d’enforcement (Enforcement Client, EC) à
utiliser. Pour activer ces EC, il suffit d’ouvrir la console MMC de NAP
(démarrer\exécuter\MMC\Ajouter un composant logiciel enfichable\Configuration du client NAP).
Lorsque NAP est en fonction sur le client, les messages de contrôle sont affichés directement dans la
barre des tâches. Ces messages permettent à l’utilisateur de savoir s’il a accès ou non à la totalité du
réseau et dans la négative de consulter les raisons de sa non-conformité. Grace aux stratégies de
groupes (GPO), il est possible via Active Directory de configurer tous vos clients d’un seul coup. Pour
cela, Microsoft a rajouté de nouvelles options concernant NAP dans ses modèles de GPO. Il est ainsi
possible de forcer le démarrage du service NAP sur le client, de choisir les méthodes d’enforcement
qui devront être utilisées mais aussi de configurer les options nécessaires à IPSec (autorité de
certification racine de confiance, les IP des serveurs HRA ou encore création des règles de connexion
IPSec dans la console avancée du pare-feu Windows).
2.3 Les méthodes d'accès au réseau compatibles
avec NAP
Sur Windows Server 2008, NAP dispose nativement de cinq méthodes d’enforcement chacune
répondant à des besoins différents. De par la conception modulaire des composants de NAP, il est
possible d’envisager de futures méthodes d’enforcement. Concernant l’accès physique au réseau de
l’entreprise, il existe trois composants permettant de contrôler l’état du client : l’accès au serveur
DHCP, le filtrage à l’aide du protocole 802.1X ainsi que les stratégies IPSec. Pour les clients se
connectant à distance via VPN, il est aussi possible via le nouveau serveur d’accès distant (Routing
and Remote Access Server, RRAS) de Windows Server 2008 d’effectuer un contrôle lors de la
connexion d’un client VPN. Récemment, Microsoft a aussi décidé de rendre utilisable NAP aux
utilisateurs des services de Terminal Server (bureau ou application à distante).

Accès Infrastructure Niveau de Difficulté de

Avantages Inconvénients
par nécessaire sécurité mise en place
Serveurs : DHCP, Facilité de mise en Protection facilement
DHCP
NPS place contournable
Serveurs : RRAS, Protection de l'accès Système d'authentification
VPN
NPS à distance via VPN par certificats obligatoires

Serveurs : NPS, Protection de l'accès Protection réservée à un

TS
IIS, TS distant via TS usage spécifique

Serveur :
NPS Matériel compatible 802.1X
Efficacité, utilisable
802.1X Matériel réseau obligatoire, configuration du
en filaire ou sans-fil
compatible matériel obligatoire
802.1X et VLAN
Méthode la plus
Serveurs : NPS, sécurisée, chaque
IPSec HRA, IIS, PKI poste décide avec Difficulté de mise en place
(IGC) qui il peut
communiquer.

2.3.1 Le contrôle d'accès par DHCP

La protection réseau par DHCP présente l’avantage de contrôler la conformité du client au moment
même où il tente de se connecter au réseau (actuellement seul l’adressage IPv4 est supporté). La
fonction mise en quarantaine du client est basée sur la configuration IP qui sera renvoyée au client
non-conforme. Pour cela, une nouvelle classe DHCP dédiée à NAP à été créé permettant de
configurer des options spécifiques aux clients non conformes. Sa très grande simplicité de mise en
place cache néanmoins un inconvénient de taille : il est aisé pour un utilisateur d’utiliser une
configuration IP manuelle et donc de contourner la protection. Il est préférable dans la mesure du
possible d’opter pour l’une des deux autres méthodes de contrôle de l’accès au réseau physique.

2.3.2 Le contrôle d'accès par 802.1X

Le protocole 802.1X est une norme permettant à du matériel réseau tel qu’un commutateur ou un
point d’accès sans-fil de faire appel à un serveur Radius pour authentifier et autoriser les connexions
d’un client. Dans le cas de NAP, l’intérêt va être de se baser sur l’état de santé du client pour indiquer
au matériel non pas si la connexion doit être acceptée ou refusée mais plutôt avec qui le client aura la
possibilité de communiquer. Pour cela il est nécessaire de faire appel à une autre fonctionnalité de la
partie matérielle : les VLAN (Virtual Local Area Network). Ces réseaux virtuels permettront dans notre
cas de créer deux VLAN distincts : le premier pour les machines conformes, et le deuxième réservé
aux postes en quarantaine et en attente de remédiation. Cette méthode de contrôle d’accès reposant
principalement sur la partie matérielle de votre réseau, il vous faudra avoir du matériel compatible et
les connaissances pour mettre en place ce type d’infrastructure. Si vous utilisez déjà des systèmes
d’authentification par 802.1X il s’agit d’un excellent moyen de mettre en place efficacement NAP.

2.3.3 Le contrôle d'accès par IPSec

La méthode d’enforcement par IPSec se démarque par son mode de fonctionnement. A l’inverse des
quatre autres solutions disponibles, l’accès ne sera plus filtré au point d’entrée du réseau (DHCP,
VPN etc) mais ce sera chaque machine qui décidera en fonction de sa configuration si elle peut ou
non communiquer avec des hôtes non conformes. Son principe de fonctionnement à part impose un
composant supplémentaire pour fonctionner : l’autorité d’enregistrement de santé (Health Registration
Authorities, HRA). Le rôle de cette autorité est de fournir un certificat de santé aux clients conformes
avec les règles inscrites sur le serveur NPS. Ce certificat est un certificat numérique utilisant la norme
X509 V3 disposant de deux rôles : l’authentification du client et la preuve de la conformité. L’avantage
de ce système de certificat est qu’il suffira à un client de présenter son certificat à un hôte distant pour
lui prouver que son état de santé à été déclaré conforme par le serveur NPS. Ce certificat a une durée
de vie très faible permettant d’éviter les tâches d’administration inhérentes à la gestion des certificats
révoqués. Cette méthode est la plus sécurisée car elle permet d’obtenir une infrastructure sécurisée
par IPSec qui se base aussi sur l’état de santé du client pour la phase d’authentification.

2.3.4 Le contrôle d'accès par VPN

En rendant le service d’accès distant (RRAS, Routing and Remote Access Server) de Windows
Server 2008 compatible avec NAP, Microsoft permet de supporter la protection pour les clients
distants. La configuration est relativement aisée puisqu’il suffit d’utiliser une authentification par PEAP
(Protected-Extensible Authentification Protocol). La mise en quarantaine s’effectuera à l’aide de filtres
IP configurés sur le serveur NPS. Le niveau de sécurité de cette solution dépend directement des
stratégies d’accès que vous avez créées, et notamment la manière dont seront traités les clients ne
supportant par NAP.

2.3.5 Le contrôle d'accès par Terminal Server

TS Gateway permet aux utilisateurs de se connecter sur le réseau de l’entreprise à partir d’Internet en
utilisant une connexion sécurisée (RDP over HTTPS). En fonction de votre politique, les utilisateurs
pourront avoir accès au bureau entier de Windows ou alors à une ou plusieurs applications.
L’implémentation de NAP permet d’augmenter la sécurité de votre réseau en acceptant seulement les
clients avec un bulletin de santé conforme à votre politique.

3. Cas pratiques
Cette partie va être consacrée à la mise en place de NAP avec les trois enforcements suivants :
DHCP, 802.1x et enfin IPSec. Cela permettra d’illustrer la manière de fonctionnement des différentes
méthodes d’accès réseau.

3.1 Contrôle de la conformité par DHCP

Composants nécessaires :
Pour la mise en place du DHCP avec NAP, nous allons avoir besoin du matériel suivant :
 1. Un Windows Server 2008
2. Un client sous Windows Vista ou XP SP3

Configuration de Windows Server 2008 :

Sur ce serveur nous allons installer les rôles suivants : Contrôleur de domaine, DNS, DHCP, NPS.
Une fois les différents rôles installés, la première étape est d’activer la fonctionnalité de NAP sur
l’étendue DHCP. Cette option se configure dans les propriétés de l’étendue grâce au nouvel onglet
« Network Access Protection ». Il est aussi possible de configurer le comportement du serveur DHCP
si le serveur NPS est inaccessible dans les propriétés IPv4.
Au niveau des options d’étendue, une nouvelle classe d’utilisateur est ajoutée « Default Network
Access Protection Class ». Cette nouvelle option est utilisée lorsque un client non conforme fait une
demande d’adresse IP. Les clients conformes utiliseront la classe d’utilisateur par défaut.
La dernière étape est la configuration du serveur NPS en créant les stratégies réseaux avec ou sans
l’aide de l’assistant.

3.2 802.1x
Composants nécessaires :

1. Un Windows Server 2008 exécutant NPS

2. Un client sous Windows Vista ou XP SP3
3. Un commutateur ou une borne wifi prenant en charge le protocole 802.1X et la gestion des
VLAN

Configuration de Windows Server 2008 :

La configuration de la partie système est relativement simple. Premièrement, il faut installer un
certificat d’ordinateur sur notre Windows Server 2008 permettant de faire fonctionner correctement
l’authentification PEAP (Protected Extensible Authentication Protocol).
Afin d’autoriser le client RADIUS à communiquer avec notre serveur NPS, il faut l’ajouter comme client
RADIUS et sélectionner la case indiquant que le client RADIUS est compatible avec NAP (« Client is
NAP-Capable »).
Vient ensuite la configuration des stratégies NPS. Pour cela nous créerons une stratégie de connexion
possédant une condition basée sur l’adresse IP du client RADIUS, c'est-à-dire le point d’accès ou le
commutateur 802.1X.
Dernier point concernant la configuration de notre serveur NPS : créer la règle de réseau permettant
de spécifier sur quel VLAN doit être un client « Conforme » et sur quel VLAN sera un client « non-
conforme ». Pour cela nous ferons appel à l’attribut « VLAN ID » de RADIUS.

Configuration de la partie matérielle :

Le commutateur ou le point d’accès sans-fil devra être configuré de manière à gérer deux VLAN. Le
premier sera réservé aux ordinateurs ayant été déclaré conforme par le serveur NPS, et le deuxième
sera constitué des machines en quarantaine. Ce dernier VLAN devra bien sûr contenir les éventuels
serveurs de remédiation. Dernier point de la configuration matérielle : activer le protocole 802.1X afin
de rediriger l’authentification sur le serveur NPS.

3.3 IPSec
Avec l’utilisation de NAP, IPSec utilisera l’authentification par certificat. Il faudra donc mettre en place
une infrastructure de gestion de clés (IGC ou PKI – Public Key Infrastructure). Le principe pour
chaque ordinateur est de demander un certificat de santé pour pouvoir communiquer avec les autres
postes.
IPsec va diviser votre réseau en trois zones logiques. Le but de cette division est de limiter l’accès aux
ordinateurs n’ayant pas de certificat de santé et de permettre aux ordinateurs conformes à votre
politique de santé de pourvoir communiquer de façon sécurisé. De cette manière, les ordinateurs
conformes auront un accès total au réseau et les non-conformes ne pourront accéder qu’au serveur
de « remediation » pour se mettre à jour ou au HRA pour demander un certificat de santé.
Les trois zones logiques sont les suivantes :

La zone sécurisée :
Les ordinateurs de cette zone ont obligatoirement un certificat de santé valide et ils vont exiger un
certificat de santé pour les authentifications entrantes mais ne vont pas exiger de certificat pour les
connexions sortantes. Grâce à cette politique, les ordinateurs de la zone sécurisée ont accès aux
ressources de toutes les zones et seulement les ordinateurs ayant un certificat de santé ont accès aux
ressources de cette zone.
On peut par exemple mettre dans cette zone les serveurs Mails et le serveur NPS.

La zone intermédiaire :
Les ordinateurs membres de cette zone ont tous un certificat de santé valide mais ne vont pas exiger
de certificats pour les connexions entrantes. Cette politique permet aux ordinateurs membres de la
zones sécurisée et intermédiaire de communiquer de façon sécurisée. Les autres ordinateurs n’ayant
pas de certificats de santé pourront aussi communiquer avec les ordinateurs de cette zone.
On met généralement dans cette zone le serveur HRA pour que les clients conformes n’ayant pas de
certificat puissent en avoir un. On y inclut aussi les serveurs de « remediation » pour mettre à jour les
clients non conformes.

La zone restreinte :
Dans cette zone se trouve les ordinateurs n’ayant pas de certificats de santé valide. Il peut y avoir les
ordinateurs non conformes et les conformes mais qui n’ont pas encore reçu leur certificat de santé.
Les ordinateurs de cette zone ont accès aux ressources de la zone intermédiaire pour demander un
certificat de santé au HRA ou se mettre à jour pour devenir conforme en se connectant au serveur de
« remediation ».
Composants nécessaires :

1. Un Windows Server 2003

2. Un Windows Server 2008
3. Un client sous Windows Vista ou XP SP3

Configuration de Windows Server 2003

Notre Windows Server 2003 devra gérer les rôles suivants : Contrôleur de domaine et autorité de
certification racine.
Après l’installation des différents rôles, nous allons créer un groupe de sécurité local d’exemption pour
y mettre le serveur NPS. Les ordinateurs de ce groupe d’exemption pourront avoir un certificat de
santé sans vérification. Ce certificat est valable un an alors que les certificats de santé pour les clients
devront être renouveler par défaut toutes les 4 heures.
Il faudra ensuite configurer les modèles de certificats. Le plus simple est de dupliquer le modèle de
certificat « Authentification de station de travail » pour créer le certificat de santé et de le publier dans
Active Directory. Dans l’onglet sécurité du certificat, il faudra ajouter le groupe d’exemption pour qu’il
puisse s’inscrire automatiquement à ce certificat.
Le paramètre d’inscription automatique des certificats doit aussi être activé à l’aide d’une GPOs.
La dernière étape sur le serveur 2003 consiste à créer deux OUs : « Zone intermédiaire » et « Zone
sécurisée ». Nous mettrons dans ces OUs les ordinateurs appartenant aux deux zones : Sécurisée et
intermédiaire.

Configuration de Windows Server 2008 :

Le serveur 2008 devra gérer les rôles suivants : NPS, HRA, autorité de certification et IIS
L’autorité de certification doit être une autorité de certification secondaire (Subordinate CA) en mode
« Standalone » (c’est à dire qu’elle ne devra pas utiliser Active Directory pour fonctionner).
La première chose à faire est de rajouter le serveur NPS au groupe AD d’exemption créé
précédemment pour qu’il puisse récupérer un certificat de santé valable 1 an.
Le HRA doit permettre au service réseau de délivrer et de gérer les certificats. Cette permission est à
configurer dans l’onglet sécurité de l’autorité de certification.
La dernière étape est de configurer le serveur NPS. La façon la plus simple est de créer directement
les stratégies réseaux avec l’assistant de configuration.

Plannification :
De par sa gestion non-centralisée, c’est à dire que la connexion réseau n’est pas contrôlée en un
unique point d’entrée comme pour les autres méthodes d’enforcement, le déploiement de NAP par
IPSec dans un environnement de production se doit être planifié avec encore plus de soin que pour
les autres solutions et la phase de test doit être rigoureuse et approfondie. En effet, une erreur de
configuration pourrait entraîner une rupture de la communication des clients avec tous les autres
hôtes réseaux. Si cela survenait, il faudrait reprendre la configuration de chaque machines à la main.

3. Conclusion
Bien qu’encore en version béta, NAP s’annonce déjà comme une technologie quasi incontournable
pour contrôler efficacement l’état des machines de nos infrastructures informatiques. Microsoft a
réussi un tour de force avec ce produit en basant son système sur des technologies telle IPSec,
désormais courantes en entreprise. D’autre part, avec sa structure modulaire et les nombreux
partenaires de Microsoft impliqués dans cette aventure, il y’a fort à parier que NAP évoluera
rapidement pour combler tous les besoins de l’entreprise dans un domaine assez nouveau en sécurité
informatique : le contrôle de l’accès réseau par l’état de santé.