YASSINE ELYATIM

La protection d’accès réseau

(NAP)
NAP est un rôle présent depuis Windows Server 2008 et
Windows Vista. Avec ce rôle, il est maintenant possible de
restreindre l’accès aux ordinateurs qui ne respectent pas les
contraintes exigées par l’administrateur. Il assure
néanmoins la mise à jour des ordinateurs considérés
comme non conformes.
Il est impossible à la fonctionnalité NAP d’empêcher un
utilisateur autorisé d’effectuer des opérations malveillantes
sur le réseau.

1. Présentation du service NAP

Le service NAP possède plusieurs méthodes de contrainte
de mise en conformité. Chacune d’entre-elles permettent de
gérer les différents accès au réseau local (VPN…).
 Contrainte de mise en conformité IPsec : l’ordinateur doit
être conforme pour pouvoir communiquer avec d’autres
ordinateurs conformes.
Type de contrainte de mise en conformité NAP le plus
puissant, qui peut être appliqué en fonction d'une adresse IP
ou d'un numéro de port de protocole
 Contrainte de mise en conformité 802.1x pour les
connexions câblées ou sans fil : l’ordinateur doit être
 YASSINE ELYATIM

conforme pour pouvoir obtenir un accès illimité via une

connexion 802.1x.
 Contrainte de mise en conformité VPN pour les accès
VPN :
L'ordinateur doit être conforme pour pouvoir obtenir un
accès illimité via une connexion d'accès à distance
 Contrainte de mise en conformité par DHCP pour la
configuration d'adresse basée sur DHCP:
L'ordinateur doit être conforme pour pouvoir recevoir une
configuration d'adresse IPv4 à accès illimité de DHCP
Il s'agit de la forme de contrainte de mise en conformité
NAP la plus faible
Infrastructure réseau de la protection d’accès réseau
(NAP).
 YASSINE ELYATIM

2. Principaux processus NAP

Pour protéger l’accès au réseau, NAP utilise trois
processus : la validation de stratégie, la contrainte de mise
en conformité NAP assortie de restrictions réseau et la mise
à jour et le suivi de la conformité.
1)Validation de stratégie
Avec NPS, vous pouvez créer des stratégies de contrôle
d’intégrité de client en utilisant des programmes de
validation d’intégrité système qui permettent à NAP de
détecter, d’appliquer et de mettre à jour des configurations
d’ordinateur client.
L’Agent d’intégrité système de la sécurité Windows et le
Validateur d’intégrité de la sécurité Windows fournissent les
fonctionnalités suivantes pour les ordinateurs compatibles
NAP :
 Un logiciel de pare-feu est installé et activé sur
l’ordinateur client.
 YASSINE ELYATIM

 Un logiciel antivirus est installé et exécuté sur

l’ordinateur client.
 Les dernières mises à jour antivirus ont été installées sur
l’ordinateur client.
 Un logiciel anti-espion est installé et exécuté sur
l’ordinateur client.
 Les dernières mises à jour anti-espion ont été installées
sur l’ordinateur client.
 Microsoft Update est activé sur l’ordinateur client.

2)Contrainte de mise en conformité NAP assortie de

restrictions réseau
Dans la stratégie réseau NPS, le paramètre de contrainte de
mise en conformité NAP vous permet d’utiliser NAP pour
limiter l’accès réseau ou observer l’état des ordinateurs
clients compatibles NAP qui ne respectent pas votre
stratégie de contrôle d’intégrité réseau.
Vous pouvez choisir de restreindre l’accès, de retarder la
restriction d’accès ou d’autoriser l’accès avec des
paramètres de stratégie réseau.

3)Mise à jour
Les ordinateurs clients non conformes qui sont placés dans
un réseau restreint peuvent subir une mise à jour. La mise à
jour est le processus consistant à mettre automatiquement
à jour un ordinateur client pour le rendre conforme aux
stratégies de contrôle d’intégrité actuelles.
 YASSINE ELYATIM

4)Suivi de la conformité
NAP peut mettre les ordinateurs clients déjà connectés au
réseau en conformité avec la stratégie de contrôle
d’intégrité. Cette fonctionnalité s’avère utile pour protéger un
réseau de façon continue, dans la mesure où les stratégies
de contrôle d’intégrité évoluent et où l’intégrité des
ordinateurs clients change.

3. Configuration de NAP
1)Décrire les programmes de validation d’intégrité
système ;
Les programmes de validation d’intégrité système sont le
pendant dans le logiciel serveur des agents d’intégrité
système du logiciel client. Chaque agent d’intégrité système
sur le client correspond à un programme de validation
d’intégrité système dans NPS.
 YASSINE ELYATIM

2)Expliquer l’utilisation d’une stratégie de contrôle

d’intégrité
Lorsqu’un client compatible NAP tente de se connecter au
réseau, il envoie une déclaration d’intégrité au serveur NPS
(Network Policy Server). La déclaration d’intégrité est un
rapport sur l’état de la configuration du client, que NPS
compare à la configuration requise définie dans la stratégie
de contrôle d’intégrité. Si l’état de la configuration du client
ne correspond pas à la configuration requise définie dans la
stratégie de contrôle d’intégrité, NPS effectue l’une des
actions suivantes, selon la configuration de la protection
d’accès réseau NAP :
• La demande de connexion du client NAP est rejetée.
• Le client NAP est placé sur un réseau restreint où des
serveurs de mise à jour peuvent le mettre en conformité
avec la stratégie de contrôle d’intégrité. Une fois devenu
conforme à la stratégie de contrôle d’intégrité, le client est
autorisé à se connecter.
• Le client NAP est autorisé à se connecter au réseau bien
qu’il ne soit pas conforme à la stratégie de contrôle
d’intégrité.

3)Expliquer l’utilisation des groupes de serveurs de

mise à jour ;
Un groupe de serveurs de mise à jour est une liste de
serveurs du réseau restreint qui fournissent les ressources
 YASSINE ELYATIM

requises pour mettre les clients compatibles avec la

protection d’accès réseau (NAP) non conformes en
conformité avec la stratégie de contrôle d’intégrité des
clients définie par l’administrateur. Par exemple, un serveur
de mise à jour peut héberger des signatures antivirus.
Décrire les impératifs requis pour la configuration du client
NAP ;
Pour mettre en œuvre la protection d’accès réseau (NAP),
vous devez configurer les paramètres NAP à la fois sur les
serveurs et sur les ordinateurs clients. Trois outils vous
permettent de configurer les paramètres du client NAP :
• La console de configuration du client NAP offre une
interface graphique utilisateur grâce à laquelle vous pouvez
configurer des paramètres de client NAP
• Les commandes Netsh pour le client NAP offrent un outil
en ligne de commande qu’utilisé pour configurer les
ordinateurs clients
• On peut utiliser la Console de gestion des stratégies de
groupe et l’Éditeur de gestion des stratégies de groupe pour
gérer des paramètres de client NAP sur des ordinateurs
clients membres de domaine.

4) Expliquer comment activer et configurer NAP.

Pour activer ou désactiver le suivi NAP à l’aide de l’interface
Windows Taper NAPCLCFG.MSC  Clic droit sur
 YASSINE ELYATIM

Configuration du client NAP (ordinateur local)  Propriétés 

sélectionner Activé ou Désactivé.