Le rôle Serveur NPS et

Protection d’accès réseau

1
Vue d'ensemble du module
• Installation et configuration d'un serveur NPS

• Configuration de clients et de serveurs RADIUS

• Méthodes d'authentification NPS

• Analyse et dépannage d'un serveur NPS

2
Leçon 1 : Installation et configuration
d'un serveur NPS
• Qu'est-ce qu'un serveur NPS ?

• Scénarios d'utilisation d'un serveur NPS

• Démonstration : Comment installer le serveur NPS

• Outils de gestion d'un serveur NPS

• Démonstration : Configuration des paramètres NPS généraux

3
Qu'est-ce qu'un serveur NPS ?

Serveur NPS Windows Server 2008 :

• Serveur RADIUS

• Proxy RADIUS

• Protection d'accès réseau (NAP)

4
Scénarios d'utilisation d'un serveur NPS

Les scénarios suivants sont propices à l'utilisation

d'un serveur NPS :
• Protection d'accès réseau (NAP)
• Contrainte de mise en conformité pour le trafic IPsec
• Contrainte de mise en conformité pour l'accès 802.1x câblé
et sans fil
• Contrainte de mise en conformité pour le protocole DHCP
• Contrainte de mise en conformité pour VPN

• Accès câblé et sans fil sécurisé

• RADIUS

• Passerelle Terminal Server

5
Outils de gestion d'un serveur NPS

Outils disponibles pour la gestion d'un serveur NPS :

• Console MMC NPS

• Ligne de commande netsh pour configurer tous les aspects

du serveur NPS, notamment :
• Commandes de serveur NPS
• Commandes de client RADIUS
• Commandes de stratégie de demande de connexion
• Commandes de groupe de serveurs RADIUS distants
• Commandes de stratégie réseau
• Commandes de protection d'accès réseau
• Commandes de comptes

6
Leçon 2 : Configuration de clients et
de serveurs RADIUS
• Qu'est-ce qu'un client RADIUS ?

• Qu'est-ce qu'un proxy RADIUS ?

• Démonstration : Configuration d'un client RADIUS

• Configuration du traitement des demandes de connexion

• Qu'est-ce qu'une stratégie de demande de connexion ?

• Démonstration : Création d'une nouvelle stratégie

de demande de connexion

7
Qu'est-ce qu'un client RADIUS ?

• Le serveur NPS est un serveur RADIUS

• Les clients RADIUS sont des serveurs d'accès réseau,

par exemple :
• Points d'accès sans fil
• Commutateurs d'authentification 802.1x
• Serveurs VPN
• Serveurs d'accès à distance

• Les clients RADIUS envoient des demandes de connexion

et des messages de comptes aux serveurs RADIUS pour
l'authentification, l'autorisation et la gestion de comptes

8
Qu'est-ce qu'un proxy RADIUS ?
Un proxy RADIUS reçoit des tentatives de connexion des
clients RADIUS et les transmet au serveur RADIUS approprié
ou à un autre proxy RADIUS pour d'autres opérations de routage

Un proxy RADIUS est requis pour :

• Les fournisseurs de services sous-traitant des services

d'accès réseau à distance, VPN ou sans fil

• Authentifier et autoriser les comptes d'utilisateurs

qui ne sont pas des membres Active Directory

• Authentifier et autoriser les utilisateurs en utilisant

une base de données qui n'est pas une base de données
de comptes Windows

• Équilibrer la charge des demandes de connexion entre

plusieurs serveurs RADIUS

• Fournir le service RADIUS aux fournisseurs de services

sous-traités et limiter les types de trafic par le biais
du pare-feu
9
Démonstration : Configuration d'un client RADIUS

Dans cette démonstration, vous allez apprendre à :

• Ajouter un nouveau client RADIUS au serveur NPS

• Configurer le service de routage et d'accès à distance

en tant que client RADIUS

10
Configuration du traitement des demandes
de connexion

Configuration Description

• L'authentification locale est effectuée par rapport

à la base de données des comptes de sécurité locale
ou Active Directory. Des stratégies de connexion
existent sur ce serveur
Authentification
locale / RADIUS • L'authentification RADIUS transmet la demande
de connexion à un serveur RADIUS à des fins
d'authentification par rapport à une base de données
de sécurité. Le serveur RADIUS gère un magasin
central de toutes les stratégies de connexion

Utilisés lorsqu'un ou plusieurs serveurs RADIUS sont

capables de gérer des demandes de connexion. La charge
Groupes de des demandes de connexion est équilibrée selon
serveurs RADIUS des critères spécifiés lors de la création du groupe de
serveurs RADIUS si plusieurs serveurs RADIUS figurent
dans le groupe

Ports par défaut

pour la gestion Les ports requis pour les demandes de comptes et
de comptes et d'authentification qui sont transmises à un serveur
l'authentification RADIUS sont UDP 1812/1645 et UDP 1813/1646
avec RADIUS
11
Qu'est-ce qu'une stratégie de demande
de connexion ?

Les stratégies de demande de connexion sont des jeux

de conditions et de paramètres qui désignent les serveurs
RADIUS qui authentifient et autorisent les demandes
de connexion que le serveur NPS reçoit des clients RADIUS

Stratégies de demande de connexion disponibles :

• Des conditions, telles que : • Des paramètres, tels que :

• Protocole de trames
• Type de service
• Type de tunnel
• Restrictions relatives
aux jours et aux heures
• Authentification
• Gestion
• Manipulation d'attribut
• Paramètres avancés

Les stratégies de demande de connexion personnalisées

sont requises pour transmettre la demande à un autre proxy,
serveur RADIUS ou groupe de serveurs pour l'autorisation
et l'authentification, ou pour spécifier un autre serveur
pour les informations de comptes
12
Démonstration : Création d'une nouvelle stratégie
de demande de connexion
Dans cette démonstration, vous allez apprendre à :
• Utiliser l'Assistant Stratégie de demande de connexion
pour créer une stratégie de demande de connexion
• Désactiver ou supprimer une stratégie de demande
de connexion

13
Leçon 3 : Méthodes d'authentification NPS
• Méthodes d'authentification par mot de passe

• Utilisation de certificats pour l'authentification

• Certificats requis pour les méthodes d'authentification NPS

• Déploiement de certificats pour l'authentification PEAP et EAP

14
Méthodes d'authentification par mot de passe

Méthodes d'authentification disponibles pour

un serveur NPS :

• MS-CHAPv2

• MS-CHAP

• CHAP

• PAP

• Accès non authentifié

15
Utilisation de certificats pour l'authentification

Authentification basée sur les certificats sur le serveur NPS :

• Types de certificats :
• Certificat d'autorité de certification : vérifie le chemin d'accès
d'approbation d'autres certificats
• Certificat d'ordinateur client : délivré à l'ordinateur pour prouver
son identité au serveur NPS pendant l'authentification
• Certificat de serveur : délivré à un serveur NPS pour prouver
son identité aux ordinateurs clients pendant l'authentification
• Certificat d'utilisateur : délivré aux individus pour prouver
leur identité aux serveurs NPS pendant l'authentification

• Vous pouvez obtenir des certificats auprès de fournisseurs

d'autorité de certification publique ou vous pouvez héberger
vos propres services de certificats Active Directory

• Pour spécifier l'authentification basée sur les certificats

dans une stratégie réseau, configurez les méthodes
d'authentification sous l'onglet Contraintes

16
Certificats requis pour les méthodes
d'authentification NPS

Tous les certificats doivent répondre aux spécifications de

la norme X.509 et fonctionner avec des connexions SSL/TLS

Type Impératifs
• Doivent contenir un attribut Objet qui n'est pas NULL
• Doivent être liés à une autorité de certification racine de confiance
• Doivent être configurés avec le rôle Authentification du serveur dans
Certificats les extensions EKU
de serveur • Doivent être configurés avec l'algorithme requis du chiffrement RSA
avec une longueur de clé minimale de 2 048 octets
• L'extension Autre nom de l'objet, si elle est utilisée, doit contenir
le nom DNS

• Doivent être émis par une autorité de certification d'entreprise ou mappés

à un compte dans Active Directory
• Doivent être liés à une autorité de certification racine de confiance
Certificats
clients • Pour les certificats d'ordinateur, l'autre nom de l'objet doit contenir
le nom de domaine complet
• Pour les certificats utilisateur, l'autre nom de l'objet doit contenir le nom
de l'utilisateur principal (UPN)
17
Déploiement de certificats pour
l'authentification PEAP et EAP

• Pour les comptes d'ordinateurs et d'utilisateurs de domaine,

utilisez la fonctionnalité d'inscription automatique dans
la Stratégie de groupe

• Pour l'inscription de non-membres du domaine, un administrateur

doit demander un certificat d'utilisateur ou d'ordinateur à l'aide
de l'outil Inscription de l'autorité de certification via le Web

• L'administrateur doit enregistrer le certificat d'utilisateur ou

d'ordinateur sur une disquette ou tout autre support amovible,
puis installer manuellement le certificat sur l'ordinateur
n'appartenant pas au domaine

• L'administrateur peut distribuer des certificats utilisateur sur

une carte à puce

18
 Configuration de la protection
d'accès réseau

Vue d'ensemble du module

• Vue d'ensemble de la protection d'accès réseau

• Fonctionnement de la protection d'accès réseau

• Configuration de la protection d'accès réseau

• Analyse et dépannage de la protection d'accès réseau

19
Leçon 1 : Vue d'ensemble de la protection
d'accès réseau
• Qu'est-ce que la protection d'accès réseau ?

• Scénarios de protection d'accès réseau

• Méthodes de contrainte de mise en conformité NAP

• Architecture de la plateforme NAP

• Interactions dans une architecture NAP

• Infrastructure NAP côté client

• Infrastructure NAP côté serveur

• Communication entre les composants de la plateforme NAP

20
Qu'est-ce que la protection d'accès réseau ?

La protection d'accès réseau peut :

• Mettre en vigueur des stratégies de spécification
d'intégrité sur les ordinateurs clients 0
• Restreindre l'accès réseau des ordinateurs
exécutant des versions de Windows antérieures
à Windows XP SP2 lorsque des règles d'exception
sont configurées pour ces ordinateurs
• Assurer la mise à jour des ordinateurs qui ne répondent
pas aux spécifications d'intégrité
La protection d'accès réseau ne peut pas :
• Empêcher des utilisateurs autorisés équipés
d'ordinateurs conformes d'effectuer des opérations
malveillantes sur le réseau
• Restreindre l'accès réseau des ordinateurs
exécutant des versions de Windows antérieures
à Windows XP SP2 lorsque des règles d'exception
sont configurées pour ces ordinateurs
21
Scénarios de protection d'accès réseau

La protection d'accès réseau est utile pour

l'infrastructure réseau car elle vérifie l'état
d'intégrité des ordinateurs suivants :
• Ordinateurs portables itinérants

• Ordinateurs de bureau

• Ordinateurs portables externes à l'entreprise

• Ordinateurs non gérés destinés à un usage privé

22
 Méthodes de contrainte de mise en conformité NAP
Méthode Points clés
• L'ordinateur doit être conforme pour pouvoir
Contrainte de mise en communiquer avec d'autres ordinateurs conformes
conformité IPsec pour • Type de contrainte de mise en conformité NAP
les communications le plus puissant, qui peut être appliqué en
protégées par IPsec fonction d'une adresse IP ou d'un numéro
de port de protocole

Contrainte de mise en
conformité 802.1X pour • L'ordinateur doit être conforme pour pouvoir
les connexions câblées ou obtenir un accès illimité via une connexion 802.1X
sans fil authentifiées par (commutateur d'authentification ou point d'accès)
le protocole IEEE 802.1X

Contrainte de mise en
• L'ordinateur doit être conforme pour pouvoir
conformité VPN pour
obtenir un accès illimité via une connexion
les connexions d'accès
d'accès à distance
à distance

• L'ordinateur doit être conforme pour pouvoir

Contrainte de mise en recevoir une configuration d'adresse IPv4
conformité par DHCP pour à accès illimité de DHCP
la configuration d'adresse
basée sur DHCP • Il s'agit de la forme de contrainte de mise
en conformité NAP la plus faible
23
 Architecture de la plateforme NAP
Serveur
VPN
Active Périphériques
Directory IEEE 802.1X

Autorité
HRA

Internet
Serveur Serveur
Réseau DHCP Intranet de stratégie
de périmètre de contrôle
d'intégrité NAP

Réseau
restreint
Serveurs
de mise à jour Client NAP avec
accès limité

24
 Interactions dans une architecture NAP
Messages RADIUS
Serveur HRA
de mise à jour Serveur
de spécification
d'intégrité
Spécifications
Mises à jour
d'intégrité
d'intégrité
système
système
Requêtes

Serveur
DHCP

Client NAP Serveur

de stratégie
de contrôle
Serveur VPN d'intégrité NAP

Périphériques d'accès réseau

IEEE 802.1X
25
Infrastructure NAP côté client

Serveur de mise à Serveur de mise à

jour 1 jour 2

SHA_1 SHA_2 SHA_3

...

API de l'agent d'intégrité système

Agent NAP

API du client de contrainte de mise

en conformité NAP Client NAP

Client Client Client

de contrai de contrai de contrai
nte de nte de nte de
mise en mise en mise en
conformité conformité conformité
NAP_A NAP_B NAP_C
...
26
Infrastructure NAP côté serveur
Serveur de Serveur de
spécification spécification
d'intégrité 1 d'intégrité 2

Serveur de
stratégie de
SHV_1 SHV_2 SHV_3 contrôle
... d'intégrité NAP

API du programme de validation

d'intégrité système

Serveur d'administration NAP

Service NPS
Point de contrainte
de mise en
RADIUS
conformité NAP
Windows

Serveur de Serveur de Serveur de

contrainte contrainte contrainte
de mise en de mise en de mise en
conformité conformité conformité
NAP_A NAP_B NAP_C ...
27
 Communication entre les composants
de la plateforme NAP
Serveur de
Serveur de
spécification
mise à jour 1
d'intégrité 1

Serveur de
Serveur de
spécification
mise à jour 2
d'intégrité 2
Serveur de
stratégie de
contrôle
SHA1 SHA2 SHV_1 SHV_2 SHV_2 d'intégrité
NAP

API du programme de
API de l'agent
validation d'intégrité système
d'intégrité système

Serveur d'administration NAP

Agent NAP

Service NPS Point de

API du client de contrainte
Client contrainte de mise
NAP en conformité NAP de mise en
RADIUS conformité NAP
Windows
Client de Client de
contrainte contrainte Serveur de Serveur de
de mise en de mise en contrainte de contrainte de
conformité conformit mise en mise en
NAP_A é NAP_B conformité conformité
NAP_B NAP_A

28
Leçon 2 : Fonctionnement de la protection
d'accès réseau
• Processus de contrainte de mise en conformité NAP

• Fonctionnement de la contrainte de mise en conformité IPsec

• Fonctionnement de la contrainte de mise en conformité 802.1X

• Fonctionnement de la contrainte de mise en conformité VPN

• Fonctionnement de la contrainte de mise en conformité

par DHCP

29
 Processus de contrainte de mise en conformité NAP
Serveur de Serveur de
Pour validermise
jour
à
l'accès
à un réseau
1
spécification
en fonction
de l'intégrité
d'intégrité 1
du système, une infrastructure réseau doit fournir
les fonctionnalités suivantes :
Serveur de Serveur de
• Validation des
mise à stratégies de contrôle d'intégrité
spécification : détermine
jour 2 d'intégrité 2
si les ordinateurs sont conformes aux spécifications des Serveur de
stratégies de contrôle d'intégrité stratégie de
contrôle
• Limitation de l'accès réseau : limite l'accès
SHV_1 des ordinateurs
SHV_2 SHV_2 d'intégrité
SHA1 SHA2
NAP
non conformes
API du programme de
API de l'agent
validation d'intégrité système
• Mise à jour
d'intégrité automatique
système : fournit les mises à jour nécessaires
pour permettre à un ordinateur non conforme
Serveur de devenir
d'administration NAP
Agent
conforme NAP

API du client de Service NPS Point de

Client • Conformité constante
contrainte de mise en : met automatiquement à jour contrainte
NAP les ordinateurs conformes afin qu'ils intègrent les modifications
conformité NAP de mise en
RADIUS conformité
régulièrement
Client de
apportées aux spécifications des
Client de
stratégies
NAP Windows
de contrôle
contrainte d'intégrité
contrainte Serveur de Serveur de
de mise en de mise en contrainte de contrainte de
conformité conformité mise en mise en
NAP_A NAP_B conformité conformité
NAP_B NAP_A

30
 Fonctionnement de la contrainte de mise
en conformité IPsec
Serveur
VPN
Points clés de la contrainte de mise en Active
conformité NAP IPsec :
Périphériques
Directory IEEE 802.1X

• Inclut un serveur de certificats d'intégrité et un client

de contrainte de mise en conformité NAP IPsec

• Le serveur de certificats d'intégrité délivre des certificats X.509

aux clients de quarantaine lorsque ces derniers prouvent
Autorité HRA
qu'ils sont conformes

Internet
• Les certificats sont ensuite utilisés pour authentifier les clients
Serveur de
Serveur
NAP lorsqu'ils établissent des communications protégées stratégie de
Réseau
par IPsec avec de
d'autres clients NAP sur unIntranet
DHCP
intranet contrôle
périmètre d'intégrité
NAP
• La contrainte de mise en conformité IPsec restreint
la communication sur un réseau aux nœuds considérés
comme conformes
Réseau
• Vous pouvez définir des spécifications restreint
pour les communications
sécurisées avec desdeclients conformes en fonction d'une
Serveurs
Client NAP avec
adresse IP ou d'un
mise numéro de port TCP/UDP
à jour
accès limité

31
 Fonctionnement de la contrainte de mise
en conformité 802.1X
Serveur
Points clés de la contrainte
VPN de mise en conformité NAP
pour les connexions 802.1X câblées ouActive
sans fil : Périphériques
Directory IEEE 802.1X
• L'ordinateur doit être conforme pour pouvoir obtenir un accès
réseau illimité via une connexion réseau authentifiée par
le protocole 802.1X

• L'accès des ordinateurs non conformes est limité au moyen

d'un profil d'accès restreint que le commutateur Ethernet
Autorité HRA
ou le point d'accès sans fil place sur la connexion

• Les profils d'accès restreint peuvent spécifier des filtres de Serveur de

Internet
paquets IP ou un identificateur de réseau local virtuel (VLAN)
Serveur stratégie
Réseau de DHCP
qui correspond au réseau restreint Intranet de contrôle
périmètre d'intégrité
NAP
• La contrainte de mise en conformité 802.1X analyse activement
l'état d'intégrité du client NAP connecté et applique le profil
d'accès restreint à la connexion si le client devient non conforme
Réseau
restreint
La contrainte de mise endeconformité 802.1X comprend le serveur NPS
Serveurs
dans Windows Servermise à2008
jour et un client de contrainte de miseClient NAP avec
accès limité
en conformité EAPHost dans Windows Vista, Windows XP SP2
(avec le Client NAP pour Windows XP) et Windows Server 2008
32
 Fonctionnement de la contrainte de mise
en conformité VPN
Serveur
VPN
Points clés de la contrainte de mise en Active
conformité NAP VPN :
Périphériques
Directory IEEE 802.1X

• L'ordinateur doit être conforme pour pouvoir obtenir un

accès réseau illimité via une connexion VPN d'accès à distance

• L'accès réseau des ordinateurs non conformes est limité

au moyen d'un jeu de filtres de paquets IPAutorité
appliqués
HRA
à la connexion VPN par le serveur VPN
Internet
• La contrainte de mise en conformité VPN analyse activement
Serveur Serveur de
l'état d'intégrité du client NAP et applique les filtres de paquets
stratégie
Réseau de DHCP Intranet
IP du réseau restreint à la connexion VPN si le client devient de contrôle
périmètre
non conforme d'intégrité
NAP

La contrainte de mise en conformité VPN comprend

Réseau le serveur NPS dans
Windows Server 2008 et un client de contrainte de mise en conformité
restreint
VPN qui fait partie du client d'accès à distance dans Windows Vista,
Serveurs de
Windows XP SP2 (avec le Client NAP pour Windows XP) Client NAP avec
mise à jour
accès limité
et Windows Server 2008

33
 Fonctionnement de la contrainte de mise
en conformité par DHCP
Serveur
VPN
Points clés de la contrainte de mise en Active
conformité NAP Périphériques
par DHCP : Directory IEEE 802.1X

• Un ordinateur doit être conforme pour pouvoir obtenir une

configuration d'adresse IPv4 pour un accès illimité à partir
d'un serveur DHCP

• Pour les ordinateurs non conformes, l'accès réseau est limité

par une configuration d'adresse IPv4 qui autorise uniquement
Autorité HRA
l'accès au réseau restreint
Internet Serveur de
• La contrainte de mise en conformité
Serveur par DHCP analyse stratégie
activementRéseau
l'état d'intégrité
de du client NAP et
DHCP renouvelle
Intranet de contrôle
la configuration d'adresse IPv4 pour l'accès au réseau
périmètre d'intégrité
restreint uniquement, si le client devient non conforme NAP

La contrainte de mise en conformité par DHCP comprend un serveur

Réseau
de contrainte de mise en conformité par DHCP qui fait partie du service
restreint
Serveur DHCP de Windows
Serveurs de
Server 2008, et un client de contrainte DHCP
qui fait partie du service Client DHCP de Windows Vista, Windows Client NAP
XPavec
SP2
mise à jour
accès limité
(avec le Client NAP pour Windows XP) et Windows Server 2008

34
Leçon 3 : Configuration de la protection d'accès réseau
• Qu'est-ce que les programmes de validation d'intégrité système ?

• Qu'est-ce qu'une stratégie de contrôle d'intégrité ?

• Qu'est-ce que les groupes de serveurs de mise à jour ?

• Configuration du client NAP

• Démonstration : Utilisation de l'Assistant de configuration NAP

pour appliquer des stratégies d'accès réseau

35
Qu'est-ce que les programmes de validation
d'intégrité système ?

Les programmes de validation d'intégrité système sont

les équivalents côté serveur des agents d'intégrité système

• Chaque agent d'intégrité système

sur le client possède un programme
de validation d'intégrité système
correspondant dans le service NPS

• Les programmes de validation

d'intégrité système permettent au
service NPS de vérifier la déclaration
d'intégrité produite par l'agent
d'intégrité système correspondant
sur le client

• Les programmes de validation

d'intégrité système contiennent
les paramètres de configuration
requis sur les ordinateurs clients
• Le programme de validation
d'intégrité système de la sécurité
Windows correspond à l'agent
d'intégrité système Microsoft
sur les ordinateurs clients
36
Qu'est-ce qu'une stratégie de contrôle d'intégrité ?
Pour pouvoir exploiter le programme de validation d'intégrité
de la sécurité Windows, vous devez configurer une stratégie
de contrôle d'intégrité et lui affecter le programme de validation
d'intégrité système

• Les stratégies de contrôle d'intégrité incluent un ou plusieurs

programmes de validation d'intégrité système, ainsi que d'autres
paramètres, qui vous permettent de définir les critères de
configuration des ordinateurs clients pour les ordinateurs
compatibles NAP qui tentent de se connecter à votre réseau

• Vous pouvez définir des stratégies de contrôle d'intégrité des clients

dans le service NPS en ajoutant un ou plusieurs programmes de
validation d'intégrité système à la stratégie de contrôle d'intégrité

• La contrainte de mise en conformité NAP est accomplie par

le serveur NPS et les stratégies sont spécifiques à un réseau

• Une fois que vous avez créé une stratégie de contrôle d'intégrité
en ajoutant un ou plusieurs programmes de validation d'intégrité
système à la stratégie, vous pouvez ajouter la stratégie de contrôle
d'intégrité à la stratégie réseau et activer la contrainte de mise
en conformité NAP dans la stratégie
37
Qu'est-ce que les groupes de serveurs de mise à jour ?
Lorsque la contrainte de mise en conformité NAP est mise
en oeuvre, vous devez spécifier des groupes de serveurs
de mise à jour afin que les clients aient accès aux ressources
qui assurent la mise en conformité des clients non conformes
compatibles avec la protection d'accès réseau

• Un serveur de mise à jour héberge les mises à jour que l'agent

NAP peut utiliser pour que les ordinateurs clients non conformes
deviennent conformes à la stratégie de contrôle d'intégrité définie
par le serveur NPS

• Un groupe de serveurs de mise à jour est une liste de serveurs

sur le réseau restreint auxquels les clients NAP non conformes
peuvent accéder pour obtenir des mises à jour logicielles

38
Configuration du client NAP

• Certains déploiements NAP qui utilisent le programme de validation

d'intégrité de la sécurité Windows requièrent l'activation du Centre
de sécurité

• Le service de protection d'accès réseau est requis lorsque vous

déployez la protection d'accès réseau sur des ordinateurs clients
compatibles avec la protection d'accès réseau

• Vous devez également configurer les clients de contrainte

de mise en conformité NAP sur les ordinateurs compatibles
avec la protection d'accès réseau

39
Révision de l'atelier pratique
• La méthode de contrainte de mise en conformité NAP
par DHCP est la méthode la plus faible dans
Microsoft Windows Server 2008. Pourquoi est-elle
moins intéressante que les autres méthodes ?
• Est-ce que vous pourriez utiliser la solution NAP pour
l'accès à distance avec la solution NAP pour IPsec ?
Quel serait l'avantage d'un scénario de ce type ?
• Est-ce que vous auriez pu utiliser la contrainte de mise en
conformité NAP par DHCP pour le client ? Expliquez pourquoi

40