NAP ROLAND BEAUMELLE RARE12 v1.0 PDF

CESI
B O R D E A U X
A D MI N I S T R A T E U R R E S E A U X D E N T R E P R I S E

CESI BORDEAUX-MERIGNAC FORMATION RARE 07
11, avenue Neil Armestrong 33700 Merignac

Network Access Protection

Version 1.0

Auteur : ROLAND Hugo BEAUMELLE Renaud Version : 1.0
Diffusion : Restreinte Date : 11/09/2013
CESI Bordeaux-MERIGNAC
F o r ma t i o n RARE
Microsoft Windows 2008 Server Version: 1.0
Technologie NAP
Date: 11/09/2013
14:34:00

HISTORIQUE DES REVISIONS
Version Date Auteur Commentaires
0.1 09/05/2013
Hugo ROLAND
Renaud BEAUMELLE
Cration du document. Version de travail.
0.2 13/05/2013
Hugo ROLAND
Renaud BEAUMELLE
Modifications majeures dans la structure du
document. Version de travail.
0.3 14/05/2013
Hugo ROLAND
Renaud BEAUMELLE
Mise en page de la partie rdige et ajout de
schmas et captures dcran.
0.4 24/08/2013
Hugo ROLAND
Renaud BEAUMELLE
Ajout des tests de mise en vidence.
0.5 31/08/2013
Hugo ROLAND
Renaud BEAUMELLE
Connexion dune machine tierce. Ajout dune
matrice dcisionnelle de type dimplmentation.
1.0 09/09/2013
Hugo ROLAND
Renaud BEAUMELLE
Ajout de notes dexplication et rdaction de la
conclusion.

CESI
B O R D E A U X
A D MI N I S T R A T E U R R E S E A U X D E N T R E P R I S E

TABLE DES MATIERES
1 Introduction ................................................................................................................... 5
1.1 Contexte ................................................................................................................................... 5
1.2 Objectifs ................................................................................................................................... 5
1.3 Sources .................................................................................................................................... 5
2 Principe ......................................................................................................................... 6
2.1 Principe fonctionnel................................................................................................................ 6
2.2 Concepts cls : ........................................................................................................................ 7
3 Evolution de NAP .......................................................................................................... 8
4 Choix dimplmentation ............................................................................................... 9
4.1 Schma dcisionnel................................................................................................................ 9
4.2 Points critiques ..................................................................................................................... 10
4.3 Considrations complmentaires : ..................................................................................... 10
5 Prrequis dinstallation ...............................................................................................11
6 Configuration du laboratoire de test ..........................................................................12
6.1 Configuration de SR2DC100 ................................................................................................ 13
6.1.1 Configuration dActive Directory ...................................................................................... 13
6.1.2 Configuration de DC1 en tant quautorit de certification racine ..................................... 13
6.1.3 Cration dun groupe de scurit pour les ordinateurs clients NAP ................................ 14
6.1.4 Cration dun groupe dexemption IPsec ......................................................................... 14
6.1.5 Configurer les modles de certificats .............................................................................. 14
6.1.6 Publier les modles de certificats .................................................................................... 16
6.1.7 Activer linscription automatique ...................................................................................... 17
6.2 Configurer SR2NPS00 .......................................................................................................... 18
6.3 Ajouter SR2NPS00 au groupe Exemption IPsec NAP ....................................................... 19
6.4 Obtenir un certificat dordinateur pour SR2NPS00 ........................................................... 19
6.5 Installer les roles NPS, HRA et CA de SR2NPS00 ............................................................. 19
6.6 Installer la fonctionnalit de gestion des stratgies de groupe ....................................... 20
6.7 Configurer lautorit de certification secondaire sur SR2NPS00 .................................... 20
6.8 Configurer HRA avec les permissions................................................................................ 21
6.9 Configurer les proprits de lautorit de certification sur le HRA ................................. 22
6.10 Configurer SR2NPS00 comme un serveur de stratgie de sant NAP ........................ 23
6.10.1 Configuration de NAP via lassistant ............................................................................... 23
6.10.2 Configuration de System Health Validators ..................................................................... 24
6.11 Configurer les paramtres des clients NAP dans les stratgies de groupes. ............ 25
6.12 Configurer les filtres de scurit pour les GPO de paramtrage de client NAP ......... 26
6.13 Configurer les deux clients. ............................................................................................. 28
Technologie NAP
Date: 11/09/2013
14:34:00

Auteur : ROLAND Hugo BEAUMELLE Renaud RARE07 CESI Bordeaux Olivier
Beinchet
11/09/2013 Page 4

6.13.1 Configuration de CW7FIX01 ............................................................................................ 28
6.13.2 Configuration de CW7FIX00 ............................................................................................ 29
6.13.3 Ajouter CW7FIX00 au groupe de scurit Ordinateurs clients NAP ............................... 29
6.13.4 Vrifier les paramtres de stratgie de groupe sur CW7FIX00 ....................................... 29
6.13.5 Exporter le certificat dautorit de certification racine sur le CW7FIX00 ......................... 32
6.13.6 Importer le certificat dautorit de certification racine sur le CW7FIX01.......................... 32
6.13.7 Configurer les paramtres client NAP sur CW7FIX01 .................................................... 32
6.13.8 Autoriser lICMP dans le firewall windows des deux clients ............................................ 33
6.13.9 Vrifier la connectivit entre les clients ........................................................................... 33
7 Vrifications des fonctionnalits de NAP ...................................................................34
7.1 Vrifier linscription des certificats dintgrit sur les deux clients. ............................... 34
7.2 Ajouter le CW7FIX01 au domaine. ....................................................................................... 34
7.3 Vrification de lauto-remdiation NAP sur le CW7FIX00 ................................................. 36
7.4 Configurer WSHV pour exiger un antivirus ........................................................................ 37
7.5 Rafraichir ltat de sant sur le CW7FIX00 ......................................................................... 37
7.6 Supprimer lexigence de lantivirus pour que CW7FIX00 satisfasse aux exigences. .... 37
8 Configuration des stratgies IPsec ............................................................................38
8.1 Crer deux OUs ..................................................................................................................... 38
8.2 Crer des stratgies pour lunit dorganisation IPsec securise ..................................... 38
8.3 Crer des stratgies pour lunit dorganisation IPsec Frontiere .................................... 39
8.4 Placez les ordinateurs dans les units dorganisation scurise et frontire ............... 40
8.5 Appliquer les paramtes de stratgie de groupe .............................................................. 40
9 Dmonstration de la mise en uvre de NAP IPsec ...................................................41
9.1 Vrifiez que les clients NAP conformes peuvent communiquer ..................................... 41
9.2 Modifier la stratgie NAP pour la rendre plus restrictive ................................................. 41
9.3 Vrification du cloisonnement par lajout dune machine tierce ..................................... 43
10 Conclusion ................................................................................................................45

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 5

1 Introduction
1.1 Contexte
Le contexte de la scurit informatique a normment volu ces dernires annes, en raison
de changements fondamentaux, tant du point de vue des menaces, que de lusage du
systme dinformation dans les entreprises.

Il est devenu aujourdhui capital pour toute entreprise dappliquer les trois principes
fondamentaux de la scurit informatique :
- Confidentialit
- Intgrit
- Disponibilit

Il existe plusieurs technologies permettant de rpondre ces principes, le principal frein
dadoption tant le cot.

CISCO propose depuis 2005 la technologie NAC (Network Access Control ou Network
Admission Control), anciennement connue sous le nom de CCA (CISCO Clean Access).
Plus dinformations sur cette technologie sont disponibles cette adresse :
http://www.cisco.com/en/US/products/ps6128/index.html

Depuis Windows server 2008, Microsoft propose la technologie NAP (Network Access
Protection). Cette technologie permettant dimplmenter la confidentialit et lintgrit du S.I.
sans pour autant ncessiter lachat de matriel particulier (Dans le cas o le S.I. est compos
de systmes dexploitation Windows, et que lon possde deux serveurs Windows 2008 ou
suprieurs), nous nous sommes intresss son dploiement en entreprise.

Limplmentation de la technologie NAP sinscrit dans un processus de rationalisation de la
scurit et du rseau.

1.2 Objectifs
Ce document a pour but :

De vulgariser la technologie Network Access Protection de Microsoft
De proposer une trame dcisionnelle lors de la mise en uvre de la technologie NAP en
entreprise
De servir dexemple dimplmentation de la technologie Network Access Protection
1.3 Sources
Sources utilises :
http://technet.microsoft.com/fr-fr/library/dd125346%28v=ws.10%29.aspx
http://technet.microsoft.com/en-us/library/cc667451.aspx
http://www.microsoft.com/en-us/download/details.aspx?id=12609
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 6

2 Principe
2.1 Principe fonctionnel
Lide exploite par la technologie NAP est de pouvoir autoriser ou refuser laccs aux diffrentes
ressources dun rseau en fonction de diffrentes conditions daccs.

Les conditions daccs sont dfinies en amont par ladministrateur du rseau.
Il existe plusieurs conditions daccs. Par dfaut, Microsoft propose :
- Le fait que le pare-feu Windows soit activ.
- Le fait que lantivirus soit activ et que ces dfinitions de virus soient jours.
- Le fait quun logiciel anti-espions soit activ et jours.
- Le fait que Microsoft Update soit activ sur lordinateur client.
- NAP peut galement vrifier que les dernires mises jour de scurit sont installes.
Certains diteurs proposent des programmes compatibles NAP (tel que les socits ditrices
dantivirus) permettant de dfinir plus de critres daccs.

Les moyens de cloisonnement sont multiples (et cumulables selon certaines conditions) :
- DHCP
- IPsec
- 802.1X (VLAN)
- VPN
- TSE
- Direct Access

Schma de cloisonnement des diffrents rseaux dans une architecture type NAP.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 7

2.2 Concepts cls :
Network Access Protection (NAP) : La protection daccs rseau NAP est une technologie
de cration, dapplication et de correction de stratgie dintgrit du client. La protection
daccs rseau NAP permet aux administrateurs rseaux dtablir et dappliquer
automatiquement des stratgies de contrle dintgrit, qui peuvent inclure des impratifs
logiciels, des impratifs de mise jour de scurit et dautres paramtres. Les ordinateurs
clients qui ne sont pas conformes la stratgie de contrle dintgrit peuvent recevoir un
accs rseau limit jusqu ce que leur configuration soit mise jour ou mise en conformit
avec la stratgie.

Agent NAP (NAP Agent) : Service inclut dans Windows Server 2008, Windows Vista et
Windows XP SP3 qui collecte et gre les informations sur la sant des clients NAP.
Client NAP (NAP client computer): Un ordinateur sur lequel lagent NAP est install et
fonctionne, et qui fournit son statut sanitaire aux serveurs NAP.
Ordinateur Compatible-NAP (NAP-capable computer): Un ordinateur sur lequel lagent NAP
est install et fonctionne, et qui est capable de fournir son statut sanitaire aux serveurs NAP.
Ordinateur Non-Compatible-NAP (Non-NAP-capable computer) : Un ordinateur qui nest pas
en mesure de fournir son statut sanitaire aux serveurs NAP. Un ordinateur sur lequel lagent
NAP est install mais ne fonctionne pas est considr Non-NAP-compatible.
Ordinateur Conforme (Compliant computer): Un ordinateur qui correspond la politique
sanitaire que vous avez dfinie pour le rseau. Seuls les ordinateurs clients NAP peuvent tre
conformes.
Ordinateur Non Conforme (Non compliant computer) : Un ordinateur qui ne correspond pas
la politique sanitaire que vous avez dfinie pour votre rseau. Seuls les ordinateurs clients
NAP peuvent tre non conformes.
Statut Sanitaire (Health status): Information concernant un ordinateur client NAP utilise pour
autoriser ou restreindre laccs un rseau. Le statut sanitaire est dfini par ltat de
configuration dun ordinateur client NAP. Les lments couramment mesurs afin de dfinir le
statut sanitaire incluent le statut oprationnel du Firewall Windows, la signature des mises
jours antivirus et le statut dinstallation des mises jours de scurit. Un client NAP fourni son
statut sanitaire en envoyant un message appel statement of health (Soh).
Serveur de stratgie NAP (NAP health policy server): Un serveur de stratgie NAP est un
serveur fonctionnant avec Windows Serveur 2008 ou suprieur, qui possde le service de rle
serveur de stratgie rseau (Network Policy Server - NPS) install et configur pour NAP.
Le serveur de stratgie NAP utilise les stratgies et configurations NPS pour valuer leur
conformit sanitaire quand ils demandent un accs au rseau ou quand leurs statut sanitaire
change. En fonction du rsultat de cette valuation, le serveur de stratgie NAP dclare si les
clients NAP obtiennent un accs complet ou restreint au rseau.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 8

3 Evolution de NAP

La technologie NAP est apparue avec Windows server 2008.

Des volutions sont apparues au cours des nouvelles versions :
- Windows serveur 2008 R2 : Possibilit dutiliser plusieurs profils de validation
dintgrit systme. Amlioration de linterface utilisateur pour windows 7.
- Windows serveur 2008 R2 SP1 : Apparition du Direct Access, permettant de profiter de
NAP en dehors du rseau de lentreprise.
- Windows serveur 2012 : Possibilit dautomatiser linstallation et la configuration de NAP
via Power Shell v 3.0.

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 9

4 Choix dimplmentation
4.1 Schma dcisionnel
- Connectivit des clients :
o Locale
o Distante
- Type de plateforme VPN :
o Microsoft RRAS
o Autre
- Couche dimplmentation :
o Rseau
o Hte
Dbut
Connectivit des
clients
Locale Distante
VPN utilis
IPSec RRAS
Couche
dimplmentation
Choix entre
802.1x et DHCP
802.1x DHCP
Rseau Htes
Considrations
complmentaires
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 10

4.2 Points critiques
Les deux points les plus critiques lors du choix dimplmentation sont :
- La dtermination de la couche dimplmentation
- Le choix entre 802.1x et DHCP

Tableau daide la dcision :
Scurit Complexit Cot
802.1x Moyenne leve. Dpend du rseau Moyenne Dpend du rseau
DHCP Faible Faible Faible
IPSec Eleve Haute Moyen

On en retient que lutilisation dune implmentation 802.1x est trs dpendante du rseau existant
(Vlan dj en place, quipements utiliss, ). Dautre part, la scurit offerte par le DHCP est trs
faible.

4.3 Considrations complmentaires :
Les technologies NAP pouvant tre combinables, voici un tableau rcapitulatif des associations
possibles :
802.1x DHCP IPSec VPN
802.1x X
DHCP X
IPSec
VPN X X

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 11

5 Prrequis dinstallation
Pour la mise en uvre de ce laboratoire de test, il sera ncessaire davoir deux serveurs Windows
2008 ou Windows 2008 R2 ainsi que 2 postes clients Windows 7.

Configuration minimum pour un serveur :
- Processeur 1,4 GHz 64 bits
- 512 Mo de RAM
- 32Go despace disque
-
Configuration minimum pour un poste client :
- En version 32 bits :
o Processeur 1 GHz ou plus rapide 32 bits ou 64 bits
o Mmoire vive : 1 Go
o 16 Go despace disque
- En version 64 bits :
o Processeur 1 GHz ou plus rapide 32 bits ou 64 bits
o Mmoire vive : 2 Go
o 20 Go despace disque

Un rseau physique ou virtuel doit relier toutes les machines entre elles.

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 12

6 Configuration du laboratoire de test
On considre que les machines sont installes avec les paramtres par dfaut.

Convention de nommage :
[Type][OS][Rle][ID]
Type : S = serveur / C = client
OS : sur 2 caractres
Rle : sur 3 caractres pour les serveurs ou POR/FIX pour les clients
Identifiant unique : 2 caractres hexadcimaux.

Adresses IP utilises :
SR2DC100 : 192.168.1.11
SR2NPS00 : 192.168.1.12
CW7FIX00 : 192.168.1.21
CW7FIX01 : 192.168.1.22
SR2DC100
CW7FIX01
SR2NPS00
CW7FIX00
192.168.1.11
192.168.1.12
192.168.1.21
192.168.1.22
Active Directory
DNS
ADCS
HRA
ADCS
NPS

Domaine : ipsecnap.lab

Compte administrateur du domaine :
Identifiant : Administrateur
Mot de passe : P@ssw0rd!
En environnement de production, ce couple identifiant/mot de passe est fortement dconseill !
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 13

6.1 Configuration de SR2DC100
6.1.1 Configuration dActive Directory
Nous allons configurer lactive directory afin de crer un domaine pour les diffrentes
machines.
- Nommez le serveur SR2DC100.
- Configurez la carte rseau :
o IP 192.168.1.11
o Masque 255.255.255.0
o Passerelle par dfaut : N/A
o DNS prfr : 127.0.0.1
- Redmarrez le serveur.
- Cliquez sur dmarrer -> excuter puis taper dcpromo et cliquez sur OK
- Cliquez 2 fois sur suivant
- Cochez crer un domaine dans une nouvelle fort et cliquez sur suivant.
- Renseignez le nom du domaine : ipsecnap.lab et cliquez sur suivant.
- Niveau fonctionnel de la fort : Slectionner Windows 2008 R2 et cliquez sur suivant deux fois.
- Au message davertissement, rpondre par oui.
- Cliquez sur suivant avec les rpertoires par dfaut
- Renseignez un mot de passe rpondant la politique de complexit et cliquez sur suivant 2
fois.
- Cochez la case Redmarrer la fin de lopration. Patientez le temps de la configuration des
services et du redmarrage.

6.1.2 Configuration de DC1 en tant quautorit de certification racine
La mise en place dIPSec se fait au travers dmissions de certificats. Nous allons donc dfinir
notre DC en tant quautorit de certification.
- Dans le gestionnaire de serveur, faites un clic droit sur rle et slectionnez ajouter des rles.
Cliquez sur suivant et cochez Services de certificats Active Directory.
- Cliquez deux fois sur Suivant.
- Cochez Autorit de certification, puis cliquez sur suivant.
- Cochez Entreprise, puis cliquez sur suivant.
- Cocher Autorit de certification racine, puis cliquez sur suivant.
- Cochez Crer une nouvelle cl prive, puis cliquez deux fois sur suivant.
- Renseignez Root CA dans le champ Nom commun de cette autorit de certification, puis cliquez
deux fois sur suivant.
- Cliquez enfin sur Installer, puis sur Fermer une fois linstallation termine.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 14

6.1.3 Cration dun groupe de scurit pour les ordinateurs clients NAP
Afin dappliquer la politique au groupe des clients, nous les regroupons dans un groupe de
scurit.
- Aller dans le gestionnaire de serveur.
- Cliquer droit sur ipsecnap.lab ->Nouveau ->Groupe
- Renseignez le nom de groupe Ordinateurs clients NAP et cliquer sur OK en laissant les
options Globale et Scurit.

6.1.4 Cration dun groupe dexemption IPsec
Au sein dune architecture implmentant NAP, certains serveurs doivent tre exempts des
rgles appliques. Nous crons donc un groupe de scurit correspondant.
- De la mme faon, crer un groupe nomm Exemption NAP IPsec
6.1.5 Configurer les modles de certificats
Les certificats sont bass sur des modles que nous allons dfinir. Nous en dfinissons un
pour SHA (System Health Authentification) et un pour lauthentification des clients.
- Cliquer sur Dmarrer, Excuter, et renseigner certmpl.msc puis cliquez sur OK.
- Faites un clic droit sur le modle Authentification de station de travail, puis cliquez sur
Dupliquer le modle.
- Cochez la compatibilit Windows Server 2008, Edition Entreprise, puis cliquez sur OK.
- Renseignez System Health Authentification dans le champ Nom complet du modle, puis
cliquez sur longlet Extensions.
- Cliquez sur Modifier, Ajouter et Nouveau.
- Renseignez System Health Authentification dans le champ Nom.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 15

- Renseignez 1.3.6.1.4.1.311.47.1.1 dans le champ Identificateur dobjet, puis cliquez trois fois sur
OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 16

- Cliquez sur longlet Scurit, puis sur Ajouter.
- Entrez le nom de lobjet Exemption NAP ipsec, puis cliquez sur OK.
- Cochez les cases Inscrire et Inscription automatique sous la colonne Autoriser.
Ces permissions vont permettre aux membres du groupe Exemption NAP ipsec de dlivrer
automatiquement des certificats pour communiquer en ipsec sans forcment correspondre la politique de
sant.
- Cliquez sur OK et fermez la fentre.

6.1.6 Publier les modles de certificats
- Cliquer sur Dmarrer, Excuter, et renseignez certsrv.msc puis cliquez sur OK.
- Dveloppez larborescence Root CA, puis faites un clic droit sur Modles de certificats
- Dans le menu contextuel, dveloppez Nouveau, puis cliquez sur Modle de certificat
dlivrer.
- Dans le menu droulant slectionnez System Health Authentification, puis cliquez sur OK.
- Fermez ensuite la fentre.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 17

6.1.7 Activer linscription automatique
Nous configurons lautorit de certification racine afin quelle dlivre automatiquement les
certificats lorsquils sont demands.
- Cliquez sur Dmarrer, Outils dadministration, puis Gestion des stratgies de groupe.
- Dveloppez larborescence Fort/Domaines/ipsecnap.lab/Default Domain Policy.
- Faites un clic droit sur Default Domain Policy, puis cliquez sur modifier.
- Dveloppez larborescence Configuration ordinateur/Stratgies/Paramtres
Windows/Paramtres de scurit/Stratgies de cl publique.
- Faites un clic droit sur llment Client des services de certificats - Inscription automatique
dans la colonne de dtail, puis cliquez sur Proprits
Illustration de larborescence dcrite ci-dessus
- Slectionnez Activ dans la liste droulante puis cochez les deux cases sous celle-ci et cliquez
sur OK:
- Fermez ensuite les fentres ddition de stratgie de groupe.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 18

6.2 Configurer SR2NPS00
Installation et configuration initiale du serveur de stratgie rseau.
- Configurez la carte rseau en IPv4 (dsactivez lIPv6):
o IP 192.168.1.12
o Masque 255.255.255.0
o DNS prfr : 192.168.1.11
- Dans les Proprits systme, allez dans longlet Nom de lordinateur, cliquez sur Modifier.
- Renseignez le nom de lordinateur : SR2NPS00, cochez membre dun domaine et renseignez
ipsecnap.lab.
- Cliquez sur Autres et renseignez ipsecnap.lab en tant que suffixe DNS Principal.
- Cliquez sur OK 2 fois.
- Sauthentifier avec le compte administrateur du domaine.
- A lapparition de la fentre de bienvenue, cliquez sur OK 2 fois.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 19

- Ne pas redmarrer le serveur.
6.3 Ajouter SR2NPS00 au groupe Exemption IPsec NAP
Le serveur de stratgie rseau est exempt des rgles NAP.
- Dans le Gestionnaire de serveur, slectionner ipsecnap.lab dans les services de domaine
Active Directory.
- Faire un clic droit sur Exemption NAP Ipsec ->Proprits.
- Dans longlet Membres, cliquer sur Ajouter. Slectionnez ordinateurs dans types dobjet.
Renseigner SR2NPS00 dans les noms dobjets et cliquer sur OK 2 fois.
- Redmarrer SR2NPS00 et sy authentifier avec le compte Administrateur (du domaine).
6.4 Obtenir un certificat dordinateur pour SR2NPS00
- Cliquez sur Dmarrer, Excuter. Tapez mmc et cliquer sur OK
- Dans le menu Fichier, cliquez sur Ajouter/Supprimer un composant logiciel enfichable.
- Slectionnez Certificats et cliquer sur Ajouter.
- Slectionnez Un compte dordinateur et cliquer sur suivant, Terminer puis OK.
- Dans larbre droulant, dveloppez Certificats (ordinateur local).
- Faites un clic droit sur Personnel et dans Toutes les taches cliquez sur Demander un
nouveau certificat.
- Cliquez deux fois sur Suivant, puis Cochez Ordinateur et cliquez sur inscription.
- Vrifier la bonne fin de lopration et cliquer sur Terminer. Deux certificats dlivrs par Root CA
doivent tre visibles dans Personnel/Certificats.

6.5 Installer les roles NPS, HRA et CA de SR2NPS00
Nous allons configurer SR2NPS00 afin quil agisse comme serveur de stratgie de sant NAP,
comme serveur dimplmentation NAP et comme serveur dautorit de certification NAP.
- Dans le gestionnaire de serveur, faire un clic droit sur rle et slectionner ajouter des rles.
Cliquez sur suivant et cocher :
Services de certificats Active Directory.
Services de stratgie et daccs rseau
- Cliquez sur suivant deux fois
- Dans la fentre Slectionner les servies de rle , cochez Autorit HRA (Health Registration
Authority puis cliquez sur Ajouter les services de rle requis lorsque lassistant ajout de rle
vous informe de dpendances requises. Cliquez ensuite sur suivant deux fois.
- Cochez Non, autoriser les demandes anonymes pour les certificats dintgrit, puis cliquez
sur suivant.
- Dans la fentre de choix de certificat dauthentification serveur pour le chiffrement SSL, cliquez
sur le certificat apparaissant en dessous de la case Choisir un certificat existant pour le
chiffrement SSL , puis cliquez sur suivant deux fois.
- Vrifiez que le service de rle Autorit de certification est coch, puis cliquez sur suivant.
- Positionnez le type dinstallation Autonome, cliquez sur suivant.
- Cochez la case Autorit de certification secondaire, cliquez sur suivant.
- Cochez Crer une nouvelle cl priv, cliquez sur suivant.
- Laissez les options de chiffrement par dfaut, cliquez sur suivant.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 20

- Renseignez ipsecnap-SR2NPS00-SubCA dans le champ Nom commun de cette autorit de
certification , puis cliquez sur suivant.
- Cliquez sur le bouton Parcourir situ en dessous de la case Envoyer une demande de
certificat une autorit de certification parente .
- Slectionnez Root CA, cliquez sur OK puis quatre fois sur Suivant.
- Cliquez sur Installer.

6.6 Installer la fonctionnalit de gestion des stratgies de groupe
- Dans le gestionnaire de serveur, faites un clic droit sur fonctionnalits->Ajouter des
fonctionnalits. Cocher gestion des stratgies de groupes. Cliquer sur Suivant puis
Installer.
- Clore les fentres.

6.7 Configurer lautorit de certification secondaire sur SR2NPS00
Lautorit de certification secondaire doit tre configure pour mettre automatiquement les
certificats la demande.
- Cliquez sur Dmarrer, Excuter. Tapez certsrv.mmc et cliquer sur OK
- Faites un clic droit sur ipsecnap-SR2NPS00-SubCA, puis cliquez sur Proprits.
- Ouvrez longlet Module de stratgie, cliquez sur Proprits.
- Cochez la case Suivre les paramtres dans le modle de certificat si cela est applicable.
Dans le cas contraire, mettre automatiquement le certificat., puis cliquez deux fois sur OK.
- Faites un clic droit sur ipsecnap-SR2NPS00-SubCA, dveloppez Toutes les tches, puis
cliquez sur Arrter le service.
- Faites un clic droit sur ipsecnap-SR2NPS00-SubCA, dveloppez Toutes les tches, puis
cliquez sur Dmarrer le service.
- Faites un clic droit sur ipsecnap-SR2NPS00-SubCA, puis cliquez sur Proprits.
- Ouvrez longlet Scurit, cliquez sur Ajouter.
- Entrez le nom dobjet SERVICE R, cliquez sur Vrifier les noms, cliquez enfin sur OK.
- Cochez les cases Grer lautorit de certification et Emettre et grer des certificats, puis
cliquez sur OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 21

6.8 Configurer HRA avec les permissions
HRA (Health Registration Autority) doit pouvoir grer les certificats (dlivrer, rvoquer, ).
- Dans le gestionnaire de serveur, drouler larborescence Rles/Services de stratgie et
daccs rseau/Autorit HRA (Health Registration Authority)/Autorit de certification
- Faire un Clic avec le bouton droit sur Autorit de certification. Cliquer sur Ajouter une
autorit de certification, puis sur parcourir.
- Slectionner ipsecnap-SR2NPS00-SubCA et cliquer sur OK deux fois.

- Refaire un clic droit sur Autorit de certification et cliquer sur Proprits.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 22

- Vrifier que vous respectez les proprits ci-dessous et les autorits de certification
correspondantes :
6.9 Configurer les proprits de lautorit de certification sur le HRA
HRA doit tre configur avec une autorit de certification. Nous avons la possibilit de choisir
entre une autorit autonome ou dentreprise. Nous utiliserons ici une autorit de certification
autonome.
- Dans le gestionnaire de serveur, dveloppez larborescence : Rles/Services de stratgie et
daccs rseau/Autorit HRA/Autorit de certification.
- Faites un clic droit sur Autorit de certification, puis cliquez sur Ajouter une autorit de
certification.
- Cliquez sur Parcourir, slectionnez ipsecnap-SR2NPS00-SubCA, puis cliquez deux fois sur
OK.
- Faites un clic droit sur Autorit de certification, puis cliquez sur Proprits.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 23

- Vrifiez que la case Utiliser lautorit de certification autonome soit bien coche.
- Fermez le gestionnaire de serveur
6.10 Configurer SR2NPS00 comme un serveur de stratgie de sant NAP
Nous allons utiliser lassistant NAP afin de configurer SR2NPS00 pour quil valide ou non ltat
de sant des clients en fonction des prrequis dfinis.
6.10.1 Configuration de NAP via lassistant
- Cliquez sur Dmarrer, Excuter. Tapez nps.mmc et cliquez sur OK.
- Cliquez sur NPS (local), puis dans la fentre de dtail cliquez sur Configurer NAP.
- Choisir la mthode de connexion rseau IPsec avec autorit HRA et nommer la stratgie par
dfaut : NAP IPsec avec autorit HRA (Health Registration Authority)
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 24

- Cliquer sur Suivant.
- Ne pas choisir de clients RADIUS ni de groupes dutilisateurs et cliquer sur Suivant deux fois.
- Cocher Activer la mise jour automatique des ordinateurs clients et cliquer sur Suivant.
- Cliquer sur Terminer et quitter la fentre.

6.10.2 Configuration de System Health Validators
Nous allons modifier les prrequis par dfaut pour les rendre moins restrictif.
- Cliquez sur Dmarrer, Excuter. Tapez nps.msc et cliquer sur OK.
- Dans larborescence, drouler NPS (local)/Protection daccs rseau/Programmes de
validation dintgrit systme/Programme de validation dintgrit de la scurit
Windows/Paramtres
- Faire un double clic sur Configuration par dfaut.
- Dcocher toutes les cases sauf Un pare-feu est activ pour toutes les connexions rseau et
cliquer sur OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 25

6.11 Configurer les paramtres des clients NAP dans les stratgies de
groupes.
Nous allons paramtrer une GPO pour activer NAP sur le domaine.
- Cliquez sur Dmarrer, Excuter. Tapez gpme.msc et cliquez sur OK
- A droite du menu droulant, cliquer sur Crer une nouvelle stratgie de groupe
- La nommer Paramtres client NAP
- La fentre ddition va souvrir, Naviguer dans Configuration
ordinateur/Stratgies/Paramtres Windows/Paramtres de scurit/Services Systmes.
- Faire un double clic sur Agent de protection daccs rseau et cocher :
Dfinir ce paramtre de stratgie
Automatique
- Cliquer sur OK
- Naviguer dans larborescence jusqu Configuration ordinateur/Stratgies/Paramtres
Windows/Protection daccs rseau/Configuration du client NAP/Clients de contrainte
- Faire un clic droit sur Partie de confiance IPsec et slectionner Activer.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 26

- Naviguer dans larborescence jusqu Configuration ordinateur/Stratgies/Paramtres
Windows/Protection daccs rseau/Configuration du client NAP/Paramtres dinscription
dintgrit/Groupes de serveurs approuvs
- Faire un clic droit sur Groupes de serveurs approuvs et cliquer sur Nouveau. Dans la fentre
de nouveau groupe de serveurs de confiance, renseigner le nom du groupe : Serveurs HRA de
confiance et cliquer sur Suivant.
- Renseigner lURL suivante : https://SR2NPS00.ipsecnap.lab/domainhra/hcsrvext.dll et
cliquer sur Ajouter puis Terminer.
- Naviguer dans larborescence jusqu Configuration ordinateur/Stratgies/Modles
dadministration/Composants Windows/Centre de dcurit
- Dans le cadre de droite, faire un double clic sur Activer le centre de scurit []. Dans la
fentre qui souvre, cocher Activ puis cliquer sur OK.

6.12 Configurer les filtres de scurit pour les GPO de paramtrage de client
NAP
Restreindre lapplication des GPO aux clients NAP (et non toutes les machines).
- Cliquez sur Dmarrer, Excuter. Tapez gpme.msc et cliquez sur OK
- Drouler dans larborescence Fort : ipsecnap.lab/Domaines/ipsecnap.lab/Objets de
stratgie de groupe
- Faire un clic gauche sur Paramtres client NAP (lment darborescence)
- Dans la partie Filtrage de scurit , slectionner Utilisateurs authentifis et cliquer sur
Supprimer.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 27

- Valider la suppression.
- Toujours dans la partie Filtrage de scurit , cliquer sur Ajouter.
- Renseigner le nom de lobjet Ordinateurs clients NAP et cliquer sur Vrifier les noms. Si le
texte est bien souligner, valider avec OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 28

- Vrifier que le groupe apparait dans les filtrages de scurit et fermer la fentre.
6.13 Configurer les deux clients.
Configurons les deux ordinateurs clients. Lun deux sera dans le domaine tandis que le second
sera membre dun workgroup.
6.13.1 Configuration de CW7FIX01
- Configurer la carte rseau en IPv4 (dsactiver lIPv6):
o IP 192.168.1.22
o Masque 255.255.255.0
o DNS prfr : 192.168.1.11
- Dans les Proprits systme, aller dans longlet Nom de lordinateur, cliquer sur Modifier.
- Renseigner le nom de lordinateur : CW7FIX01 et Cocher Membre dun WORKGROUP.
- Redmarrer le client.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 29

6.13.2 Configuration de CW7FIX00
- Configurer la carte rseau en IPv4 (dsactiver lIPv6):
o IP 192.168.1.21
o Masque 255.255.255.0
o DNS prfr : 192.168.1.11
- Renseigner le nom de lordinateur : CW7FIX00, cocher membre dun domaine et renseigner
ipsecnap.lab.
- Cliquer sur Autres et renseigner ipsecnap.lab en tant que suffixe DNS Principal.
- Cliquer sur OK 2 fois
- A lapparition de la fentre de bienvenue, cliquer sur OK 2 fois.
- Ne pas redmarrer le client.
6.13.3 Ajouter CW7FIX00 au groupe de scurit Ordinateurs clients NAP
- Sur SR2DC100, dans le Gestionnaire de serveur. Dvelopper Rles/Services de domaine
Active Directory/Utilisateurs et ordinateurs AD/ipsecnap.lab.
- Double cliquer sur Ordinateurs clients NAP. Dans longlet Membres, cliquer sur Ajouter.
- Dans Types dobjets slectionner Ordinateurs.
- Entrer le nom de lobjet : CW7FIX00
- Cliquer sur OK deux fois
- Redmarrer le client CW7FIX00 et sy authentifier avec ladministrateur du domaine.
6.13.4 Vrifier les paramtres de stratgie de groupe sur CW7FIX00
Les GPO configures prcdemment doivent tre appliques au client. Vrifions.
- Ouvrir une invite de commandes (dmarrer, crire cmd, taper entre)
- Taper la commande netsh nap client show grouppolicy et faire Entre.
- Taper la commande netsh nap client show state et faire Entre.
- Vrifier que les rsultats des deux commandes donnent le mme rsultat que ci-dessous :
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 30

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 31

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 32

6.13.5 Exporter le certificat dautorit de certification racine sur le CW7FIX00
Le client CW7FIX01 nappartenant pas au domaine, nous allons importer le certificat de
CW7FIX00 sur celui-ci.
- Cliquer sur Dmarrer, Excuter. Taper mmc et cliquer sur OK
- Dans le menu Fichier, cliquer sur Ajouter/Supprimer un composant logiciel enfichable.
- Slectionner Certificats et cliquer sur Ajouter.
- Slectionner Un compte dordinateur et cliquer sur suivant, Terminer puis OK.
- Dans larbre droulant, dvelopper Certificats (ordinateur local)/Autorit de certification
racine de confiance/Certificats.
- Faire un clic droit sur le certificat Root CA ->Toutes les taches ->Exporter
- Cliquer 3 fois sur suivant et sur parcourir
- Choisir un nom pour le certificat et lenregistrer dans le rpertoire de votre choix.
- Transfrer le certificat sur le client 2 par le moyen de votre choix.
6.13.6 Importer le certificat dautorit de certification racine sur le CW7FIX01
- Cliquer sur Dmarrer, Excuter. Taper mmc et cliquer sur OK
- Dans larbre droulant, dvelopper Certificats (ordinateur local)/Autorits de certification racines
de confiance/Certificats
- Faire un clic droit sur Certificats -> Toutes les taches -> Importer
- Cliquer sur suivant et sur parcourir
- Slectionner le fichier transfr du CW7FIX00 et cliquer sur Ouvrir.
- Cliquer sur suivant deux fois
- Cliquer sur Terminer puis OK.
- Vrifier que le certificat a bien t import, il doit apparaitre dans la fentre de dtails.
6.13.7 Configurer les paramtres client NAP sur CW7FIX01
Le client nappartenant pas au domaine, la GPO de configuration NAP nest pas applique.
Nous configurons donc NAP manuellement.
- Sur CW7FIX01, cliquer sur Dmarrer, Excuter. Taper napclcfg.msc et cliquer sur OK
- Dans larborescence, drouler Paramtres dinscription dintgrit et faire un clic droit sur
Groupes de serveurs approuvs et cliquer sur Nouveau
- Renseigner le nom du groupe : Serveurs HRA de confiance et cliquer sur Suivant.
- Renseigner lURL suivante : https://SR2NPS00.ipsecnap.lab/nondomainhra/hcsrvext.dll et
cliquer sur Ajouter.
- Renseigner lURL suivante : https://SR2NPS00.ipsecnap.lab/domainhra/hcsrvext.dll et cliquer
sur Ajouter puis Terminer.
- Dans larborescence, faire un clic gauche sur Groupes de serveurs approuvs .
- Vrifier dans le cadre central que le groupe de serveurs a t cr et que les deux URL
apparaissent dans la partie basse.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 33

- Slctionner Clients de contrainte dans larborescence, faire un clic droit sur Partie de
confiance IPsec et cliquer sur Activer.
- Fermer la fentre
6.13.8 Autoriser lICMP dans le firewall windows des deux clients
- Cliquer sur Dmarrer, taper wf.msc et faire Entre.
- Faire un clic droit sur Rgles de trafic entrant ->Nouvelle rgle
- Choisir Personnalise, Cliquer sur Suivant
- Cocher Tous les programmes, cliquer sur Suivant
- Dans le menu droulant choisir ICMPv4. Cliquer sur Perso et cocher Certains types ICMP et
Requte dcho. Cliquer sur OK
- Cliquer sur Suivant 4 fois puis entrer le nom de la rgle ICMPv4 echo request (par exemple)
- Cliquer sur Terminer.
6.13.9 Vrifier la connectivit entre les clients
- Faire un ping dun client depuis lautre et inversement.

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 34

7 Vrifications des fonctionnalits de NAP
7.1 Vrifier linscription des certificats dintgrit sur les deux clients.
- Cliquer sur Dmarrer, Executer. Tapper mmc et cliquer sur OK
- Dans larbre droulant, dvelopper Certificats (ordinateur local)/Personnel/Certificats.
- Vrifier les points ci-dessous en fonction du client :
Client CW7FI X00 :

Client CW7FI X01 :

7.2 Ajouter le CW7FIX01 au domaine.
- Cocher membre dun domaine et renseigner ipsecnap.lab.
- Cliquer sur Autres et renseigner ipsecnap.lab en tant que suffixe DNS Principal.
- Cliquer sur OK 2 fois
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 35

- A lapparition de la fentre de bienvenue, cliquer sur OK 2 fois.
- Ne pas redmarrer le client.
- Sur SR2DC100 :
o Dans le Gestionnaire de serveur. Dvelopper Roles/Services de domaine Active
Directory/Utilisateurs et ordinateurs AD/ipsecnap.lab.
o Double cliquer sur Ordinateurs clients NAP. Dans longlet Membres, cliquer sur
Ajouter.
o Dans Types dobjets slectionner Ordinateurs.
o Entrer le nom de lobjet : CW7FIX01
o Cliquer sur OK deux fois
- Redmarrer le client CW7FIX01 et sy authentifier avec ladministrateur du domaine.
- Rejouer ltape prcdente ($4.1) de vrification du certificat client. CW7FIX01 doit maintenant
avoir un certificat dintgrit avec comme rle prvus authentification de lagent SHA et
authentification du client (du mme type que CW7FIX00).
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 36

7.3 Vrification de lauto-remdiation NAP sur le CW7FIX00
- Cliquer sur Dmarrer, Excuter. Taper firewall.cpl et cliquer sur OK
- Cliquer sur Activer ou dsactiver le Pare-Feu Windows dans la colonne de gauche.
- Cocher Dsactiver le Pare-feu Windows pour chaque emplacement rseau utilis et cliquer
sur OK.
- Le pare-feu passe en rouge (dsactiv) puis en vert (activ) rapidement. Un message NAP
apparait en bas droite de lcran indiquant un accs rseau limit. Cliquer sur le message.
- La fentre NAP souvre et vous voyez que NAP a mis jour ltat de scurit de lordinateur
OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 37

7.4 Configurer WSHV pour exiger un antivirus
- Sur SR2NPS00 :
o Cliquez sur Dmarrer, Excuter. Tapez nps.msc et cliquer sur OK.
o Dans larborescence, drouler NPS (local)/Protection daccs rseau/Programmes
de validation dintgrit systme/Programme de validation dintgrit de la
scurit Windows/Paramtres
o Faire un double clic sur Configuration par dfaut.
o Dcocher toutes les cases sauf Un pare-feu est activ pour toutes les connexions
rseau et Un logiciel antivirus est activ. Cliquer sur OK.
7.5 Rafraichir ltat de sant sur le CW7FIX00
- Dsactiver le firewall Windows comme prcdemment.
- Il est automatiquement ractiv mais le client nobtient pas de certificat.
- Vrifier avec les mmes tapes quau 4.3.
7.6 Supprimer lexigence de lantivirus pour que CW7FIX00 satisfasse aux
exigences.
- Sur SR2NPS00 :
o Cliquez sur Dmarrer, Excuter. Tapez nps.msc et cliquer sur OK.
o Dans larborescence, drouler NPS (local)/Protection daccs rseau/Programmes
de validation dintgrit systme/Programme de validation dintgrit de la
scurit Windows/Paramtres
o Faire un double clic sur Configuration par dfaut.
o Dcocher toutes les cases sauf Un pare-feu est activ pour toutes les connexions
rseau et Un logiciel antivirus est activ. Cliquer sur OK.
- Sur CW7FIX00 :
o Dsactiver le firewall Windows comme prcdemment.
o Il est automatiquement ractiv et le client obtient nouveau un certificat.
o Vrifier avec les mmes tapes quau 4.3.

Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 38

8 Configuration des stratgies IPsec
Maintenant que NAP est correctement configur et que nous avons pu mettre en vidence ses
fonctionnalits, nous allons procder lisolation des machines conformes ou exemptes.
8.1 Crer deux OUs
- Sur SR2DC100 :
o Dans le gestionnaire de serveur, dployer larborescence Rles\Services de domaine
Active Directory\Utilisateurs et ordinateurs Active directory\ ipsecnap.lab
o Faire un clic droit sur ipsecnap.lab et cliquer sur Nouveau -> Unit dorganisation.
o Sous Nom, crire IPsec Securise et cliquer sur OK.
o Recommencer la manipulation pour crer IPsec Frontiere

8.2 Crer des stratgies pour lunit dorganisation IPsec securise
- Sur SR2NPS00 :
o Cliquez sur Dmarrer, Excuter. Tapez gpme.msc et cliquer sur OK.
o Dans la boite de dialogue, slectionner IPsec Securise et cliquer sur Crer un nouvel
objet Stratgie de groupe.
o Sous Nom, crire Strategie Securisee et cliquer sur OK.
o Dans la fentre diteur de gestion des stratgies de groupe dployez larborescence
Configuration ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\
Pare-feu Windows avec fonctions avances de scurit - LDAP[]
o Faire un clic droit sur Pare-feu Windows avec fonctions avances de scurit -
LDAP[] et cliquer sur Proprits
o Dans longlet Profil de domaine, ct de tat du Pare-feu, slectionnez Activ. A
ct de Connections Entrantes, choisissez Bloquer (par dfaut).
o A ct de Connections sortantes, choisissez Autoriser (par dfaut). Les mmes
paramtres seront utiliss pour les profils privs et publics.
o Rpter les mmes oprations dans les onglets Profil priv et Profil public.
o Dans la fentre diteur de festion des strategies de groupe, sous Pare-feu Windows
avec fonctions avances de scurit - LDAP[], faites un clic droit sur Rgles de
scurit de connexion, et cliquez sur Nouvelle rgle.
o Dans lassistant, dans la page Type de rgle, vrifiez quIsolation est slectionn et
cliquez sur Suivant.
o Slctionnez Imposer lauthentification des connexions entrants et demander
lauthentification des connexions sortantes, puis cliquez sur Suivant.
o Slectionnez avanc et cliquez sur Personnaliser.
o Dans la section Premire authentification, cliquez sur Ajouter. Cochez ensuite
Certificat ordinateur mis par cette autorit de certification, slctionnez
Naccepter que les certificats dintgrit. Assurez-vous que Autorit de certification
racine est slectionne en face du champ Type de magasin de certificats. Cliquez sur
Parcourir et slectionnez Root CA. Cliquez sur OK.
o Cliquez sur Suivant.
o Vrifiez que les trois cases sont coches et cliquez sur Suivant.
o Dans le champ Nom, renseignez Regle securisee. Cliquez sur Terminer.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 39

o Dans la fentre diteur de gestion des stratgies de groupe, sous Pare-feu
Windows avec fonctions avances de scurit - LDAP[], faites un clic droit sur
Rgles de trafic entrant et cliquez sur Nouvelle rgle.
o Choisir Prdfinie et slectionnez Partage de fichiers et dimprimates. Cliquez sur
Suivant deux fois.
o Slectionnez Autoriser la connexion si elle est scurise. Cliquez sur Suivant puis
sur Terminer.

8.3 Crer des stratgies pour lunit dorganisation IPsec Frontiere
- Sur SR2NPS00 :
o Cliquez sur Dmarrer, Excuter. Tapez gpme.msc et cliquer sur OK.
o Dans la boite de dialogue, slectionner IPsec Frontiere et cliquer sur Crer un nouvel
objet Stratgie de groupe.
o Sous Nom, crire Strategie Frontiere et cliquer sur OK.
o Dans la fentre diteur de gestion des stratgies de groupe dployez larborescence
Configuration ordinateur\Stratgies\Paramtres Windows\Paramtres de scurit\
Pare-feu Windows avec fonctions avances de scurit - LDAP[]
o Faire un clic droit sur Pare-feu Windows avec fonctions avances de scurit -
LDAP[] et cliquer sur Proprits
o Dans longlet Profil de domaine, ct de tat du Pare-feu, slectionnez Activ. A
ct de Connections Entrantes, choisissez Bloquer (par dfaut).
o A ct de Connections sortantes, choisissez Autoriser (par dfaut). Les mmes
paramtres seront utiliss pour les profils privs et publics.
o Rpter les mmes oprations dans les onglets Profil priv et Profil public.
o Dans la fentre diteur de gestion des stratgies de groupe, sous Pare-feu Windows
avec fonctions avances de scurit - LDAP[], faites un clic droit sur Rgles de
scurit de connexion, et cliquez sur Nouvelle rgle.
o Dans lassistant, dans la page Type de rgle, vrifiez quIsolation est slectionne et
cliquez sur Suivant.
o Slectionnez Demander lauthentification des connexions entrantes et sortantes,
puis cliquez sur Suivant.
o Slectionnez avanc et cliquez sur Personnaliser.
o Dans la section Premire authentification, cliquez sur Ajouter. Cochez ensuite
Certificat ordinateur mis par cette autorit de certification, slectionnez
Naccepter que les certificats dintgrit. Assurez-vous quAutorit de certification
racine est slectionne en face du champ Type de magasin de certificats. Cliquez sur
Parcourir et slectionnez Root CA. Cliquez sur OK.
o Cliquez sur Suivant.
o Vrifiez que les trois cases sont coches et cliquez sur Suivant.
o Dans le champ Nom, renseignez Regle Frontiere. Cliquez sur Terminer.
o Dans la fentre diteur de gestion des stratgies de groupe, sous Pare-feu
Windows avec fonctions avances de scurit - LDAP[], faites un clic droit sur
Rgles de trafic entrant et cliquez sur Nouvelle rgle.
o Choisir Prdfinie et slectionnez Partage de fichiers et dimprimates. Cliquez sur
Suivant deux fois.
o Slectionnez Autoriser la connexion si elle est scurise. Cliquez sur Suivant puis
sur Terminer.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 40

8.4 Placez les ordinateurs dans les units dorganisation scurise et
frontire
- Sur SR2DC100 :
Active Directory\Utilisateurs et ordinateurs Active directory\ipsecnap.lab\Computers.
o Faites un clic droit sur CW7FIX00 et cliquez sur Dplacer.
o Dans la boite de dialogue, cliquez sur IPsec Securise et cliquez sur OK
o Dans la boite de dialogue, cliquez sur IPsec Securise et cliquez sur OK
o Faites un clic droit sur SR2NPS00 et cliquez sur Dplacer.
o Dans la boite de dialogue, cliquez sur IPsec Frontiere et cliquez sur OK

8.5 Appliquer les paramtes de stratgie de groupe
- Sur SR2NPS00, CW7FIX00 et CWFIX01 :
o Cliquez sur Dmarrer, tapez cmd et Entre.
o Dans linvite de commande, tapez gpupdate /force. Et validez avec Entre.
o Vrifiez que les messages La mise jour de la stratgie utilisateur sest termine
sans erreur et La mise jour de la stratgie dordinateur sest termine sans
erreur.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 41

9 Dmonstration de la mise en uvre de NAP IPsec
9.1 Vrifiez que les clients NAP conformes peuvent communiquer
- Sur CW7FIX00 :
o Cliquez sur Dmarrer, tapez cmd et Entre.
o Dans linvite de commande, tapez net use * \\CW7FIX01\C$. Et validez avec Entre.
o Vrifier que la commande sest correctement excute.
o Vrifier que larborescence du lecteur rseau mont est accessible.
9.2 Modifier la stratgie NAP pour la rendre plus restrictive
- Sur SR2NPS00 :
o Cliquez sur Dmarrer, tapez nps.msc et Entre.
o Dans la fentre ouverte, dployez larborescence Protection daccs rseau /
Programme de validation dintgrit de la scurit Windows / Paramtres . Double
cliquez sur Configuration par dfaut.
o Cochez la case Les mises jour automatiques sont actives. Cliquer sur OK.
o Dployez larborescence Stratgies / Stratgies Rseau . Double cliquez sur NAP
IPsec avec autorit HRA Non conforme.
o Dans longlet Paramtres cliquez sur Contrainte de mise en conformit NAP et
dcochez la case Activer la mise jour automatique des ordinateurs clients.
Cliquez sur OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 42

- Sur CW7FIX00 :
o Dans une invite de commande, tappez ping t CW7FIX01 et appuyez sur Entre.
o Vrifiez que CW7FIX01 rpond aux ping.
- Sur CW7FIX01 :
o Cliquez sur Dmarrer. Allez dans Panneau de configuration puis Systme et scurit
et cliquez sur Activer ou dsactiver la mise jour automatique.
o Slectionnez Ne jamais rechercher des mises jour et validez en cliquant sur OK.
- Sur CW7FIX00 :
o Vrifiez que CW7FIX01 ne rpond plus aux pings (dlai dattente de la demande
dpass).
- Sur CW7FIX01 :
o Cliquez sur Dmarrer. Allez dans Panneau de configuration puis Systme et scurit
et cliquez sur Activer ou dsactiver la mise jour automatique.
o Slectionnez Installer les mises jour automatiquement et validez en cliquant sur
OK.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 43

9.3 Vrification du cloisonnement par lajout dune machine tierce
Nous connectons une machine tierce avec les paramtres suivants :
MECHANT-PC : 192.168.1.25
SR2DC100
CW7FIX01
SR2NPS00
CW7FIX00
192.168.1.11
192.168.1.12
192.168.1.21
192.168.1.22
Active Directory
DNS
ADCS
HRA
ADCS
NPS
MECHANT-PC
192.168.1.25

Ni lordinateur ni lutilisateur nappartiennent au domaine.

- Sur MECHANT-PC :
o Dans une invite de commande, tappez ping t CW7FIX01 et appuyez sur Entre.
o Vrifiez que CW7FIX01 ne rpond pas aux ping.
- Sur SR2DC100 :
Active Directory\Utilisateurs et ordinateurs Active directory\ipsecnap.lab\IPSec Securise.
o Dans la boite de dialogue, cliquez sur Computers et cliquez sur OK
- Sur CW7FIX01 :
o Dans une invite de commande, tappez gpupdate /force et appuyez sur Entre.
- Sur MECHANT-PC :
o Vrifiez que CW7FIX01 rpond maintenant aux ping.
- Sur SR2DC100 :
Active Directory\Utilisateurs et ordinateurs Active directory\ipsecnap.lab\Computers.
o Dans la boite de dialogue, cliquez sur IPSec Securise et cliquez sur OK.
- Sur CW7FIX01 :
o Dans une invite de commande, tappez gpupdate /force et appuyez sur Entre.
- Sur MECHANT-PC :
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 44

o Vrifiez que CW7FIX01 ne rpond nouveau plus aux ping.
Technologie NAP
Date: 11/09/2013
14:34:00

Beinchet
11/09/2013 Page 45

10 Conclusion
La technologie NAP simplmente plusieurs niveaux, ce qui permet de ladapter des systmes
dinformation trs diffrents, notamment en terme de moyens, de comptences disponibles, de
risques et de sensibilit des informations.
La mise en uvre de NAP combine IPSec peut paraitre complexe et technique mais elle a
lavantage dassurer un trs bon niveau de scurit pour un cot relativement faible dans un
environnement Windows supposer que lon dispose des comptences ncessaires.
Un autre avantage de cette implmentation est que de nombreux autres produits sont compatibles
avec IPSec, ce qui permet den tirer pleinement profit. Cest le cas par exemple de certains Pare-feu
(Cyberoam,).

Lquipe projet est constitue de Renaud BEAUMELLE et Hugo ROLAND, dont voici les rfrences :
BEAUMELLE Renaud
Administrateur Systmes et Rseaux
Entreprise : SOGETI
Formation : BAC +4 Responsable ingnierie
rseau
renaud.beaumelle@viacesi.fr
06 40 13 41 15
ROLAND Hugo
Administrateur Systmes et Rseaux
Entreprise : SOGETI
Formation : BAC +4 Responsable ingnierie
rseau
hugo.roland@viacesi.fr
06 71 76 36 71
Travail ralis lors de la formation RARE 07 sur Microsoft Windows 2008 sous la
responsabilit dOlivier BEINCHET.
DSI / RTIC de lEPLEFPA de Bordeaux Gironde Consultant expert en scurit, et architecture
de systme dinformation
Mail : olivier.beinchet@educagri.fr Tl : 06.84.61.31.23

NAP ROLAND BEAUMELLE RARE12 v1.0 PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

NAP ROLAND BEAUMELLE RARE12 v1.0 PDF

Uploaded by

Copyright:

Available Formats

CESI

You might also like