Académique Documents
Professionnel Documents
Culture Documents
1
Vue d'ensemble du module
• Installation et configuration d'un serveur NPS
2
Leçon 1 : Installation et configuration
d'un serveur NPS
• Qu'est-ce qu'un serveur NPS ?
3
Qu'est-ce qu'un serveur NPS ?
• Serveur RADIUS
• Proxy RADIUS
4
Scénarios d'utilisation d'un serveur NPS
• RADIUS
5
Outils de gestion d'un serveur NPS
6
Leçon 2 : Configuration de clients et
de serveurs RADIUS
• Qu'est-ce qu'un client RADIUS ?
7
Qu'est-ce qu'un client RADIUS ?
8
Qu'est-ce qu'un proxy RADIUS ?
Un proxy RADIUS reçoit des tentatives de connexion des
clients RADIUS et les transmet au serveur RADIUS approprié
ou à un autre proxy RADIUS pour d'autres opérations de routage
10
Configuration du traitement des demandes
de connexion
Configuration Description
13
Leçon 3 : Méthodes d'authentification NPS
• Méthodes d'authentification par mot de passe
14
Méthodes d'authentification par mot de passe
• MS-CHAPv2
• MS-CHAP
• CHAP
• PAP
15
Utilisation de certificats pour l'authentification
16
Certificats requis pour les méthodes
d'authentification NPS
Type Impératifs
• Doivent contenir un attribut Objet qui n'est pas NULL
• Doivent être liés à une autorité de certification racine de confiance
• Doivent être configurés avec le rôle Authentification du serveur dans
Certificats les extensions EKU
de serveur • Doivent être configurés avec l'algorithme requis du chiffrement RSA
avec une longueur de clé minimale de 2 048 octets
• L'extension Autre nom de l'objet, si elle est utilisée, doit contenir
le nom DNS
18
Configuration de la protection
d'accès réseau
19
Leçon 1 : Vue d'ensemble de la protection
d'accès réseau
• Qu'est-ce que la protection d'accès réseau ?
20
Qu'est-ce que la protection d'accès réseau ?
• Ordinateurs de bureau
22
Méthodes de contrainte de mise en conformité NAP
Méthode Points clés
• L'ordinateur doit être conforme pour pouvoir
Contrainte de mise en communiquer avec d'autres ordinateurs conformes
conformité IPsec pour • Type de contrainte de mise en conformité NAP
les communications le plus puissant, qui peut être appliqué en
protégées par IPsec fonction d'une adresse IP ou d'un numéro
de port de protocole
Contrainte de mise en
conformité 802.1X pour • L'ordinateur doit être conforme pour pouvoir
les connexions câblées ou obtenir un accès illimité via une connexion 802.1X
sans fil authentifiées par (commutateur d'authentification ou point d'accès)
le protocole IEEE 802.1X
Contrainte de mise en
• L'ordinateur doit être conforme pour pouvoir
conformité VPN pour
obtenir un accès illimité via une connexion
les connexions d'accès
d'accès à distance
à distance
Autorité
HRA
Internet
Serveur Serveur
Réseau DHCP Intranet de stratégie
de périmètre de contrôle
d'intégrité NAP
Réseau
restreint
Serveurs
de mise à jour Client NAP avec
accès limité
24
Interactions dans une architecture NAP
Messages RADIUS
Serveur HRA
de mise à jour Serveur
de spécification
d'intégrité
Spécifications
Mises à jour
d'intégrité
d'intégrité
système
système
Requêtes
Serveur
DHCP
Agent NAP
Serveur de
stratégie de
SHV_1 SHV_2 SHV_3 contrôle
... d'intégrité NAP
Service NPS
Point de contrainte
de mise en
RADIUS
conformité NAP
Windows
Serveur de
Serveur de
spécification
mise à jour 2
d'intégrité 2
Serveur de
stratégie de
contrôle
SHA1 SHA2 SHV_1 SHV_2 SHV_2 d'intégrité
NAP
API du programme de
API de l'agent
validation d'intégrité système
d'intégrité système
28
Leçon 2 : Fonctionnement de la protection
d'accès réseau
• Processus de contrainte de mise en conformité NAP
29
Processus de contrainte de mise en conformité NAP
Serveur de Serveur de
Pour validermise
jour
à
l'accès
à un réseau
1
spécification
en fonction
de l'intégrité
d'intégrité 1
du système, une infrastructure réseau doit fournir
les fonctionnalités suivantes :
Serveur de Serveur de
• Validation des
mise à stratégies de contrôle d'intégrité
spécification : détermine
jour 2 d'intégrité 2
si les ordinateurs sont conformes aux spécifications des Serveur de
stratégies de contrôle d'intégrité stratégie de
contrôle
• Limitation de l'accès réseau : limite l'accès
SHV_1 des ordinateurs
SHV_2 SHV_2 d'intégrité
SHA1 SHA2
NAP
non conformes
API du programme de
API de l'agent
validation d'intégrité système
• Mise à jour
d'intégrité automatique
système : fournit les mises à jour nécessaires
pour permettre à un ordinateur non conforme
Serveur de devenir
d'administration NAP
Agent
conforme NAP
30
Fonctionnement de la contrainte de mise
en conformité IPsec
Serveur
VPN
Points clés de la contrainte de mise en Active
conformité NAP IPsec :
Périphériques
Directory IEEE 802.1X
Internet
• Les certificats sont ensuite utilisés pour authentifier les clients
Serveur de
Serveur
NAP lorsqu'ils établissent des communications protégées stratégie de
Réseau
par IPsec avec de
d'autres clients NAP sur unIntranet
DHCP
intranet contrôle
périmètre d'intégrité
NAP
• La contrainte de mise en conformité IPsec restreint
la communication sur un réseau aux nœuds considérés
comme conformes
Réseau
• Vous pouvez définir des spécifications restreint
pour les communications
sécurisées avec desdeclients conformes en fonction d'une
Serveurs
Client NAP avec
adresse IP ou d'un
mise numéro de port TCP/UDP
à jour
accès limité
31
Fonctionnement de la contrainte de mise
en conformité 802.1X
Serveur
Points clés de la contrainte
VPN de mise en conformité NAP
pour les connexions 802.1X câblées ouActive
sans fil : Périphériques
Directory IEEE 802.1X
• L'ordinateur doit être conforme pour pouvoir obtenir un accès
réseau illimité via une connexion réseau authentifiée par
le protocole 802.1X
33
Fonctionnement de la contrainte de mise
en conformité par DHCP
Serveur
VPN
Points clés de la contrainte de mise en Active
conformité NAP Périphériques
par DHCP : Directory IEEE 802.1X
34
Leçon 3 : Configuration de la protection d'accès réseau
• Qu'est-ce que les programmes de validation d'intégrité système ?
35
Qu'est-ce que les programmes de validation
d'intégrité système ?
• Une fois que vous avez créé une stratégie de contrôle d'intégrité
en ajoutant un ou plusieurs programmes de validation d'intégrité
système à la stratégie, vous pouvez ajouter la stratégie de contrôle
d'intégrité à la stratégie réseau et activer la contrainte de mise
en conformité NAP dans la stratégie
37
Qu'est-ce que les groupes de serveurs de mise à jour ?
Lorsque la contrainte de mise en conformité NAP est mise
en oeuvre, vous devez spécifier des groupes de serveurs
de mise à jour afin que les clients aient accès aux ressources
qui assurent la mise en conformité des clients non conformes
compatibles avec la protection d'accès réseau
38
Configuration du client NAP
39
Révision de l'atelier pratique
• La méthode de contrainte de mise en conformité NAP
par DHCP est la méthode la plus faible dans
Microsoft Windows Server 2008. Pourquoi est-elle
moins intéressante que les autres méthodes ?
• Est-ce que vous pourriez utiliser la solution NAP pour
l'accès à distance avec la solution NAP pour IPsec ?
Quel serait l'avantage d'un scénario de ce type ?
• Est-ce que vous auriez pu utiliser la contrainte de mise en
conformité NAP par DHCP pour le client ? Expliquez pourquoi
40