La mise en place de la quarantaine réseau
1. La préparation de l’environnement commun aux différents types de quarantaine
L’utilisation du client NAP (Network Access Protection) est basée sur l’utilisation d’un NPS (Network Policy Server), c’est
àdire un serveur de stratégies réseau, qui permet de définir des restrictions souhaitées.
Il est donc nécessaire d’installer et de configurer ce rôle : servermanagercmd -install NPAS-Policy-Server
Après l’installation, différents points sont à définir pour des stratégies fonctionnelles :
● Un système de validation (SHV), c’estàdire de tests à réaliser pour vérifier un système.
Windows 2008 R2 autorise maintenant plusieurs configurations différentes du système de validation. Lors de la configuration de la stratégie de santé de l’intégrité du système, il est possible de sélectionner l’une de ces configurations. Chaque stratégie réseau peut être configurée pour utiliser une ou plusieurs stratégies de santé.
● Un groupe de serveurs de remediation: ce sont les serveurs vus et autorisés par les stations non conformes afin de se mettre en conformité avec la politique de sécurité décidée.
● Des stratégies de santé, qui définissent comment les SHVs sont interprétés.
● Des stratégies de réseau.
Le kit d’intégration ForeFront for NAP (gratuit) doit être téléchargé afin de disposer d’un système de validation complémentaire. Différents modules doivent être chargés sur les machines en fonction du type de processeurs (32 ou 64 bits), le module SHV sur les serveurs NPS, le module SHA sur les clients à valider.
La première étape consiste à définir les tests que l’on souhaite réaliser sur les machines disposant du client NAP, c’estàdire Windows XP SP3, Windows Vista ou Windows 7.
■ Dans l’administration du serveur NPS, Protection d’accès réseau, sélectionnez le conteneur Programmes de validation d’intégrité système.
■ Configurez ensuite le système de validation fourni par défaut appelé Validateur d’intégrité de la sécurité Windows.
Windows 2008 R2 ajoute la possibilité de vérifier si l’antivirus est non seulement actif, mais aussi à jour.
La deuxième étape consiste à définir un groupe contenant les serveurs autorisés pour réaliser la remise aux normes demandées dans les groupes de serveurs de mise à jour.
Les machines non conformes pourront se connecter aux serveurs indiqués si la mise à jour automatique (Remediation) est autorisée dans la stratégie réseau.
La troisième étape consiste à créer au moins deux stratégies de santé différentes dans les stratégies de contrôle d’intégrité.
a) Une pour les machines conformes :
Seuls les validateurs activés entrent dans la règle de conformité !
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Windows 2008 R2 ajoute la possibilité de sélectionner une configuration spécifique parmi celles proposées et configurées précédemment.
b) Une pour les machines non conformes :
Sélectionnez le même validateur que pour une machine conforme, mais définissez la règle sur Echec d’un ou de plusieurs contrôles SHV pour le client.
La quatrième étape est la création des stratégies réseau.
a) Création de la stratégie réseau pour les machines conformes :
■ Cliquez avec le bouton droit sur Stratégies Réseau. Puis choisissez Nouveau dans le menu.
■ Nommez la stratégie Accès complet pour les machines conformes, laissez le type de réseau sur Non spécifié.
Non spécifié signifie que la stratégie sera appliquée quel que soit le type d’accès réseau utilisé.
■ Sur l’écran Spécifier les conditions, il est impératif de préciser à qui s’applique cette stratégie, cliquez sur Ajouter.
■ De nombreuses conditions complexes peuvent être appliquées, sélectionnez Stratégies de contrôle d’intégrité.
■ Choisissez dans la liste proposée la stratégie Machine Conforme, puis passez à l’écran suivant.
■ Spécifiez Accès accordé, ce qui est logique pour des machines conformes !
■ Aucune authentification n’est requise pour ce type de quarantaine, sélectionnez donc Vérifier uniquement l’intégrité de l’ordinateur.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
■ Sur l’écran Configurer des contraintes, aucune valeur n’est à modifier.
■ Sur l’écran Configurer les paramètres, il s’agit d’appliquer une configuration (modification) du client réseau. Ici, dans la section Protection d’accès réseau, on va Autoriser un accès réseau complet.
■ Cliquez sur Terminer sur l’écran final qui résume l’ensemble de la stratégie.
b) Création de la stratégie réseau pour les machines non conformes :
■ Cliquez avec le bouton droit sur Stratégies Réseau puis choisissez Nouveau dans le menu.
■ Nommez la stratégie Accès complet pour les machines non conformes, laissez le type de réseau sur Non spécifié comme pour les machines conformes.
■ Sur l’écran Spécifier les conditions, il est impératif de préciser à qui s’applique cette stratégie, cliquez sur Ajouter.
■ De nombreuses conditions complexes peuvent être appliquées, sélectionnez Stratégies de contrôle d’intégrité, puis choisissez dans la liste proposée la stratégie Machine non Conforme, puis passez à l’écran suivant.
■ Spécifiez Accès accordé. En effet, même pour des machines non conformes, il s’agit d’une règle qui va aussi autoriser un accès mais seulement aux éléments autorisés !
■ Aucune authentification n’est requise pour ce type de quarantaine, sélectionnez donc Vérifier uniquement l’intégrité de l’ordinateur comme pour les machines conformes.
■ Sur l’écran Configurer des contraintes, aucune valeur n’est à modifier.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
■ Sur l’écran Configurer les paramètres, il s’agit d’appliquer une configuration (modification) du client réseau. Ici, dans la section Protection d’accès réseau, on va Autoriser un accès limité.
Le choix d’autoriser un accès limité ne doit être effectué que si l’on est sûr des effets de sa stratégie. Il est souvent préférable d’autoriser d’abord un accès complet, d’utiliser le mode rapport pour avoir une idée de l’étendue des machines qui seraient impactées.
■ Si l’on veut autoriser la remise à niveau automatique (et donc autoriser les serveurs de remediation), il faut cocher la case Activer la mise à jour automatique des ordinateurs clients.
■ Cliquez sur Configurer pour spécifier un Groupe de serveurs de mise à jour ainsi que l’adresse d’une page Web optionnelle d’explication pour les utilisateurs.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Sur les clients restreints, chaque serveur indiqué dans ce groupe dispose de sa propre route avec un masque à 255.255.255.255. Assez logiquement, les autres serveurs ne sont pas accessibles.
■ Cliquez sur Terminer sur l’écran final qui résume l’ensemble de la stratégie.
À noter que, selon la répartition des rôles sur les différents serveurs autorisés, la réparation automatique (remediation) peut parfois nécessiter un accès complet.
Le client Agent de protection d’accès réseau doit être actif sur les postes clients, c’estàdire que le service doit être en démarrage automatique.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA8Mjg5MzAyIC0gYWRhbW8gZGlhcnJhIC0gMjU4ZThlZWQtN2NjNS00YTU2LThlODQtZjYwZWVhYWMyOThlAiPaTvunzogLAA==-enidentnumber
Le Centre de sécurité doit être activé, ce qui peut être forcé par une stratégie.
La console du client NAP (NAPCLCFG.MSC) permet de vérifier les contraintes mises en place.
La commande Napstat permet de vérifier la conformité par rapports aux règles établies.