Cyril Voisin Chef de programme Sécurité Microsoft France 3/29/2017 11:46 PM Se préparer à NAP Cyril Voisin Chef de programme Sécurité Microsoft France © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Sommaire Rappels sur NAP 3/29/2017 11:46 PM Sommaire Rappels sur NAP Démo de configuration et de fonctionnement avec 802.1X Comment se préparer © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM NAP Rappels © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Votre politique, et non pas la topologie, définit le périmètre 3/29/2017 11:46 PM Votre politique, et non pas la topologie, définit le périmètre © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Network Access Protection La surcouche santé des réseaux 3/29/2017 11:46 PM Network Access Protection La surcouche santé des réseaux Validation vis à vis de la politique Détermine si oui ou non les machines sont conformes avec la politique de sécurité de l’entreprise. Les machines conformes sont dites “saines” (ou « en bonne santé ») Restriction réseau Restreint l’accès au réseau selon l’état de santé des machines Mise à niveau Fournit les mises à jour nécessaires pour permettre à la machine de devenir “saine”. Une fois “en bonne santé”, les restrictions réseau sont levées Maintien de la conformité Les changements de la politique de sécurité de l’entreprise ou de l’état de santé des machines peuvent résulter dynamiquement en des restrictions réseau © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Network Access Protection 3/29/2017 11:46 PM Network Access Protection Réseau de l’entreprise Réseau restreint Serveurs de remèdes Serveurs de politique Vous pouvez… Puis-je avoir les mises à jour ? Mises à jour de politique en cours sur le serveur RADIUS (NPS) Puis-je avoir accès ? Voici mon « état de santé » Demande d’accès Voici mon nouvel état de santé Ce client doit-il être restreint en fonction de sa « santé » ? Vous avez un accès restreint tant que vous n’avez pas amélioré les choses En accord avec la politique, le client est à jour Accès accordé D’après la politique, le client n’est pas à jour Mise en quarantaine du client, lui demandant de se mettre à jour Client Périphérique d’accès réseau (DHCP, VPN, 802.1X, IPsec, passerelle TS) Server RADIUS (NPS) On donne accès au poste client à l’intranet © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Network Access Protection Composants Serveur de remédiation Remediation Server Client System Health Agent Quarantine Agent Quarantine Enforcement Client Serveur(s) de politique Policy Server Network Policy Server Quarantine Server System Health Validator Périphériques d’accès Quarantine Enforcement Server RS PS SHA QS QA SHV QEC QES Serveur(s) de remédes Serveur(s) de politique Mises à jour Stratégie de santé États de santé Demandes d’accès au réseau Client Serveur RADIUS Network Policy Server (NPS) Agents de santé (SHA) MS et tiers Certificat de santé System Health Validators (SHV) MS et tiers Agent de quarantaine (QA) Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) & Autorité d’enregistrement santé (HRA) Clients d’application (QEC) (DHCP, IPsec, 802.1X, VPN) Serveur de quarantaine (QS)

Network Access Protection Rôles des composants Serveur de remédiation Distribue correctifs et signatures Client Vérifient l’état de santé du client Coordination entre SHA et QEC Méthode d’enforcement Serveur(s) de politique Fournit un SHV Network Policy Server Evalue la santé du client Evalue la réponse du SHA Périphériques d’accès Méthode d’enforcement RS PS SHA QS QA SHV QEC QES Serveur(s) de remédiation Serveur(s) de politique Mises à jour Stratégie de santé États de santé Demandes d’accès au réseau Client Serveur RADIUS Network Policy Server (NPS) Agents de santé (SHA) MS et tiers Certificat de santé System Health Validators (SHV) MS et tiers Agent de quarantaine (QA) Périphériques d’accès au réseau (DHCP, 802.1X, VPN, TS) & Autorité d’enregistrement santé (HRA) Clients d’application (QEC) (DHCP, IPsec, 802.1X, VPN) Serveur de quarantaine (QS)

Infrastructure réseau sécurisée 3/29/2017 11:46 PM Infrastructure réseau sécurisée Enforcement d’abord – santé ensuite NAP ne peut pas protéger le réseau des utilisateurs et systèmes malveillants NAP est conçu comme la surcouche santé qui se met sur des systèmes de sécurité réseau NAP est dépendant de ses mécanismes d’enforcement (=mécanismes de restrictions d’accès) DHCP 802.1X (EAP) VPN (EAP/PEAP) IPsec Passerelle Terminal Services RDP/HTTP La mise en œuvre d’IPsec, VPN, 802.1X, passerelle TS ou DHCP doit avoir été pensée et déployée en tant que solution de sécurité autonome, avant d’ajouter le contrôle de santé © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM Enforcement avec DHCP Le serveur DHCP contrôle l’accès en définissant les routes Option DHCP Router = 0.0.0.0 (donc pas de passerelle par défaut sur le client) Masque de sous-réseau = 255.255.255.255 (donc pas de route pour le sous réseau) Option Classeless Static Routes Pour le serveur DHCP Pour le serveur DNS Pour les serveurs de mises à jour D’où la possibilité de ne se connecter qu’à certaines adresses spécifiques © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM Enforcement avec DHCP Option 220 MS vendor pour envoyer le bilan de santé (SoH) Support IPv4 seulement (pas d’IPv6) Inconvénient : comme la quarantaine DHCP repose sur des entrées dans la table de routage IPv4, impossible d’empêcher un administrateur local malveillant de changer manuellement la table de routage pour obtenir un accès complet au réseau Tous les serveurs DHCP doivent être mis à jour © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

802.1X : port contrôlé et port non contrôlé Serveur d’authentification (RADIUS) Supplicant (Client) Authentificateur (switch ou point d’accès) Port non contrôlé Port contrôlé État non authentifié État authentifié Autres ressources Accès bloqué Accès autorisé

EAP (Extensible Authentication Protocol) Plug-in d’authentification sur le client et le serveur RADIUS MS CHAP v2 TLS SecurID GSS_API Kerberos Méthode TLS PEAP IKE MD5 EAP EAP Media PPP 802.3 802.5 802.11 …

Authentification RADIUS authentication server Client supplicant Point d’accès authenticator Access blocked EAPOL-start EAP-request/identity EAP-response/identity RADIUS-access-request (EAP) EAP-request RADIUS-access-challenge (EAP) EAP-response (credentials) RADIUS-access-request (EAP) EAP-success RADIUS-access-accept (EAP) Access allowed

PEAP - Microsoft, Cisco, RSA Crée un tunnel TLS avec le certificat du serveur RADIUS uniquement Authentifie le client dans ce tunnel Le protocole d’authentification est protégé RADIUS-EAP EAPOL (802.1X) Certificat Serveur TLS EAP Authentification © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM Enforcement avec 802.1X Quarantaine par mise en place de filtres IP ou par affectation à un VLAN Peut utiliser Une liste de bilans de santé (SoH) Envoi par PEAP-TLV (comme VPN) Un certificat de santé (X509) Recommandé © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Étapes démarrage Windows Mise sous tension Chargement des pilotes réseau Authentification machine 802.1X Connectivité réseau DHCP Secure channel avec DC Mise à jour GPO Application GPO dont script démarrage Affichage bannière de logon Ctrl+Alt+Suppr Authentification domaine Authentification utilisateur 802.1X DHCP Mise à jour GPO Application GPO dont script logon

Enforcement avec VPN Support de PPTP ou de L2TP/IPsec 3/29/2017 11:46 PM Enforcement avec VPN Support de PPTP ou de L2TP/IPsec Nécessite une authentification basée sur PEAP Prend en charge la renégociation PPP sans déconnexion Les serveurs VPN contrôlent l’accès en appliquant des filtres IP © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Enforcement avec IPsec 3/29/2017 11:46 PM Enforcement avec IPsec IPsec : mécanisme d’isolation au niveau hôte Si vous utilisez déjà IPsec pour l’isolation de domaine ou de serveurs NAP peut s’appuyer sur ce qui est d’ores et déjà en place pour isoler les machines non conformes Politique IPsec Nécessite des lettres de créance, comme un certificat de santé Exemples : Tous les pairs doivent présenter un certificat de santé Tous les pairs doivent présenter un certificat de santé, sauf s’ils se connectent au port 80 © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modèle d’isolation NAP basé sur IPsec 3/29/2017 11:46 PM Modèle d’isolation NAP basé sur IPsec Définitions des politiques Zone protégée Tous les systèmes ont un certificat de santé Certificat nécessaire pour se connecter à un système Zone limi-trophe Certificat demandé mais non obligatoire pour se connecter à un système Zone de quaran-taine Pas de certificat de santé Pas de politique IPsec Zone de quarantaine Zone limitrophe Zone protégée AUTORISÉ AUTORISÉ AUTORISÉ BLOQUÉ © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Règle de sécurité de connexion 3/29/2017 11:46 PM Règle de sécurité de connexion © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Network Access Protection Enforcement - IPsec IPsec est le seul mécanisme à fonctionner au niveau hôte Ne peut pas être contourné en utilisant un hub ou des machines virtuelles Si IPsec est déjà utilisé pour l’isolation de domaine ou de serveurs NAP peut s’appuyer sur ce qui est d’ores et déjà en place pour isoler les machines non-conformes Politique IPsec Nécessite des lettres de créance, comme un certificat de santé Exemples Tous les pairs doivent présenter un certificat de santé Tous les pairs doivent présenter un certificat de santé, sauf s’ils se connectent au port 80

Network Access Protection Enforcement - IPsec 3/29/2017 11:46 PM Fonctionne en complément des technologies de protection niveau 2 Défense en profondeur des segments où les switches & routeurs ont été mis à niveau Possibilité d’isoler de manières spécifique des ports UDP/TCP et applications Fonctionne avec les serveurs et l’infrastructure existante Ne nécessite pas de remplacement/mise à jour des serveurs DHCP et VPN Protection des segments où les switches & routeurs ont été mis à niveau Offre une isolation flexible Les systèmes en bonne santé peuvent accéder aux systèmes en quarantaine (pas vice versa) Le modèle d’isolation est défini par la stratégie © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Network Access Protection 3/29/2017 11:46 PM Network Access Protection Flux réseau Serveurs de remèdiation Serveurs de politique Autorité de délivrance des certificats de santé Serveur DHCP HTTPS DHCP Serveur VPN PEAP over PPP RADIUS PEAP over EAPOL Client Eléments actifs réseau 802.1X Serveur RADIUS (NPS) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Options d’enforcement Client conforme Client non conforme DHCP Adresse IP complète, accès complet Ensemble restreint de routes VPN Accès complet VLAN restreint 802.1X IPsec Peut communiquer avec tout autre client géré Les machines gérées rejettent les tentatives de connexion des machines non conformes Complémente la protection au niveau de la couche 2 Fonctionne avec l’existant (serveurs, infrastructure) Isolation flexible

Options d’enforcement DHCP VPN 802.1X IPsec Réseau local ou à distance LAN A distance LAN et WLAN Niveau de sécurité de la méthode + ++ +++ Utilisation des serveurs existants Non Oui Utilisation de l’infrastructure réseau existante Nouveaux scénarios comme l’isolation d’application

Serveur NPS (RADIUS, Longhorn) 3/29/2017 11:46 PM Serveur NPS (RADIUS, Longhorn) Client RADIUS Périphériques d’accès (Wi-Fi 802.1X, commutateur authentifiant 802.1X) Serveurs NAP (serveur VPN, serveur DHCP, HRA) Paramètres NAP pour la détermination du niveau de santé et l’enforcement Traitement des demandes de connexion Configuration SHV Configuration des SHV installés pour les prérequis de santé et les conditions d’erreurs Modèles Évaluation des prérequis de santé en termes de SHV installés et d’obligation de succès ou d’échec Groupes de serveurs de remédiation Ensemble de serveurs accessibles aux clients qui ont un accès limité (clients restreints) Paramètres NAP © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Stratégies d’accès distant (NPS) 3/29/2017 11:46 PM Stratégies d’accès distant (NPS) Liste ordonnée de règles qui définissent si les connexions doivent être autorisées ou rejetées Règle = condition(s), ensemble de paramètres de profil, permission + restrictions de connexion (en cas de connexion autorisée) Les tentatives de connexion sont toujours autorisées (mais des restrictions peuvent être appliquées) Do not enforce (pour les machines conformes) Enforce (machines non conformes) Configure Resources (choix d’un groupe de serveurs de remédiation) Defer Enforcement (accès complet jusqu’à une date/heure) Direct users with limited access to a Web page for assistance Configure URL Update non compliant computers © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Déploiement des clients 3/29/2017 11:46 PM Déploiement des clients Clients LAN Il sera nécessaire d’installer une mise à jour pour Windows XP afin de bénéficier de l’agent de quarantaine Peut être déployé via les mécanismes habituels Au premier renouvellement d’adresse, les clients peuvent être redirigés vers le serveur de remédiation De façon à se mettre en conformité Clients VPN Il est recommandé d’utiliser Connection Manager Utiliser une action de type Pre-connect pour vérifier l’existence et installer la mise à jour de l’agent de quarantaine Les clients doivent utiliser l’authentification EAP © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestion des clients Non-NAP 3/29/2017 11:46 PM Gestion des clients Non-NAP Serveurs hors de la zone de protection Nécessite une administration rapprochée Préférable à une exemption des clients non-NAP Stratégie IPsec spécifique Isolation applicative ou port Stratégie de groupe pour les clients et serveurs W2K+ VLAN séparé Serveurs périmètriques Terminal Servers Passerelles applicatives et VPN © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

802.1X et IPsec : au choix ! NAP supporte les 2 technologies 3/29/2017 11:46 PM 802.1X et IPsec : au choix ! NAP supporte les 2 technologies Il est possible de les combiner comme 2 couches dans une stratégie de défense en profondeur NAP vous offre la possibilité de positionner la protection au niveau Réseau Hôte Application Ou toute combinaison des 3 précédents selon les besoins, les risques, l’infrastructure existante et le cycle de mise à jour © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Équipements de sécurité Intégrateurs de systèmes Networking Devices Antivirus Logiciels de sécurité Correctifs Équipements de sécurité Périphériques réseau Intégrateurs de systèmes Une centaine de partenaires

Cisco 3750 (testée avec Enterasys N1/DFE Platinum) 3/29/2017 11:46 PM Démo 802.1X Cisco 3750 (testée avec Enterasys N1/DFE Platinum) © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

NAP Comment se préparer 3/29/2017 11:46 PM © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM Les fondations NAP est la surcouche santé de vos réseaux, s’attache à la conformité vis à vis de votre politique et repose sur les technologies de sécurité réseau déjà existantes Des technologies serveurs Un modèle de conformité que le système peut faire respecter Des technologies d’isolation réseau Des outils de génération de rapports et d’analyse Gestion de l’identité Gestion de la conformité Opérations matures (personnes, processus, technologies) © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM Tâches de préparation Modéliser ce qui est pris en compte dans l’état de santé Analyser les exemptions Définition de zones de politique de santé Analyse de l’infrastructure réseau sécurisée Déploiement de serveurs NPS (RADIUS) Sélection des moyens d’isolation (enforcement) dans chaque zone Planification du déploiement et du définition du processus de gestion du changement Tableaux de bord et mesures © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Développer un modèle de conformité à la politique de santé 3/29/2017 11:46 PM Développer un modèle de conformité à la politique de santé Que faire pour que NAP fonctionne bien ? Définir les politiques de santé pour les réseaux qui doivent être protégés Les personnes (et pas la technologie) définissent la politique Définir les bases pour les réseaux utilisant NAP pour la gestion de la conformité Quels paramètres sont requis pour accéder à ce réseau ? Quels SHA (System Health Agents) doivent s’exécuter pour couvrir ces paramètres ? Définir les processus qui maintiennent ces bases à jour Les personnes et les processus assurent ces fonctions – pas la technologie Surveiller la conformité – NAP permet d’automatiser cette tâche Isoler lorsque c’est nécessaire – NAP permet d’automatiser cette tâche Rapporter et corriger – NAP permet d’automatiser cette tâche © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modélisation de la santé 3/29/2017 11:46 PM Modélisation de la santé Disponibilité d’une politique de santé écrite et approuvée ? Bien plus qu’une discussion technique – différentes divisions peuvent avoir des politiques différents Quelles sont les bases pour l’entreprise ? Quelles sont les politiques “optimisées” ? Bases : anti-virus, contrôle des correctifs, pare-feu personnel, etc. Optimisées : configuration spéciale de l’OS, ensembles d’applications, allocations PKI, isolation IPsec, etc. Nécessité d’allouer le temps nécessaire pour évaluer les risques de l’entreprises Le contrôle de santé devrait être un mandat venant du sommet de l’entreprise Nécessité d’allouer du temps pour travailler avec les différentes divisions et leurs architectes © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Modélisation de l’état de santé Qu’est-ce qui doit être protégé ? Comment est-ce protégé aujourd’hui ? Quelles politiques de santé existent ou ont besoin d’être crées ? Comment sont gérées ces politiques ? Quels sont les prérequis de santé qui vont être exigés ? Est-ce que vous avez l’adhésion de tous les groupes (administrateurs réseau, administrateurs sécurité, administrateurs postes de travail) pour vous lancer ?

Analyse des exemptions 3/29/2017 11:46 PM Analyse des exemptions Des exemptions de base sont fournies par défaut en fonction du type et du niveau de système d’exploitation Les exemptions doivent être gérables Mettre en place un processus de documentation des exemptions afin de savoir en fin de compte où sont les trous ! Plans d’atténuation des exemptions Peut-on les isoler par d’autres moyens ? Segmentation IP grâce à IPsec Contrôle de VLAN Accès extranet/invité © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Zonage de politique de santé Utiliser le profil de l’entreprise Quels groupes ont besoin de quel accès à quelles données ? Besoins des divisions Géré ou non géré Employés distant / accès à distance Succursales Exemptions ? L’équipe informatique interne est-elle centralisée ou décentralisée ? Quelles combinaisons de méthodes d’enforcement peuvent le mieux satisfaire les besoins de l’entreprise ?

Analyse de l’infrastructure réseau Quelle infrastructure est en place pour la prise en charge les politiques de santé ? Y a-t-il une IGC (PKI) ? Quels sont les serveurs RADIUS et à quoi sont-ils utilisés? VPN? S’appuient sur Active Directory ? Y a-t-il des commutateurs compatibles 802.1X ? Quels sont les SHA/SHV dont vous avez besoin pour appliquer les politiques de santé ? Est-il possible de repenser l’architecture de l’infrastructure ? Logique et physique ? Mise en place de l’infrastructure & planning de mise à jour

Quelles questions se poser? Quelle est la stratégie d’accès appropriée ? Comment traiter les différentes populations de clients ? Clients NAP et conformes Clients NAP et non-conformes Non clients NAP Quelle est la bonne segmentation du réseau ? Où faut il positionner les ressources sensibles ? Services de noms Services d’authentification Applicatifs Comment déployer l’infrastructure NAP ? Serveurs RADIUS et Autorité de Certification Serveurs DHCP / VPN / TS et éléments réseau Serveurs de remédiation

Sélection de l’enforcement par zone Créer une matrice de planification Clients gérés vs. non gérés Clients filaires vs. sans fil Donner des scénarios spécifiques à l’entreprise quand une méthode d’enforcement serait plus appropriée qu’une autre Les méthodes d’enforcement peuvent être combinées Zone Méthode d’enforcement Version de politique Filaire/Sans fil Géré Zone A IPsec 1.2.5 Filaire 100% Zone B 802.1X/IPsec 2.5.7 Les 2 Zone C DHCP/IPsec 65%

Sélection de l’enforcement pour zone d’accès distant Évident pour les zones d’accès distant : utilisation du VPN La planification d’un déploiement de VPN n’est pas triviale (projet indépendant) Si des solutions VPN existent déjà alors il faut les étendre pour prendre en charge l’enforcement de la politique de santé Le choix de VPN devra s’intégrer avec les opérations IPsec – planifier en connaissance de cause ! Considérations de bande passante : La bande passante est-elle assez large pour la remédiation ?

Maintenir les opérations 3/29/2017 11:46 PM Maintenir les opérations Vulnérabilité identifiée 1 Évaluer et suivre le risque lié à la vulnérabilité 6 2 Mesurer et créer rapports surveillance conformité Si risque haut ou critique, màj politique et notifier clients 5 3 Faire respecter la politique après une période de grâce Développer critère d’analyse pour détecter conformité 4 Analyser la conformité p/r politique sur réseau © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Planning de mise en œuvre & gestion du changement L’absence de gestion du changement peut avoir un résultat désastreux Une des fonctions utiles de NAP est le fonctionnement multi-mode Mode Reporting : pour avoir une bonne vue des ressources réseau, clients, zones Le mode Reporting est simple et efficace comme outil de planification Mode Provisioning : pour le dimensionnement (analyse d’impact des packages de mises à jour sur les différentes zones) Mode Enforcement : quand tous les impacts ont été évalués et approuvés

Tableaux de bord La meilleure façon d’améliorer la réponse à incident est d’avoir des mesures à analyser Combien de temps pour sceller une zone ? Faut-il ajuster la politique ou la remédiation dans une zone donnée ? Quels sont les objectifs (mesures) à atteindre pour chaque zone ? Pour l’entreprise ? Il y aura un incident de sécurité/santé NAP est un moyen d’atténuation que vous pouvez mettre en œuvre proactivement La technologie dépend de vos processus

En résumé Contrôle d’accès au réseau basé sur la politique de santé 3/29/2017 11:46 PM En résumé Contrôle d’accès au réseau basé sur la politique de santé Flexibilité grâce au choix de la méthode d’enforcement Protection au niveau de l’accès au réseau et/ou de l’accès à l’hôte et/ou de l’accès à l’application selon les besoins, les risques, l’infrastructure existante et le cycle de mise à jour Large support de l’industrie Plateforme avec une architecture extensible , basée sur les standards : solution multivendeur de bout en bout Large écosystème de partenaires (une centaine) : préservation des investissements déjà effectués Préparation : la technologie ne peut pas tout : Aide à automatiser la surveillance de la conformité, isolation si nécessaire, rapports / correction les personnes définissent la politique de santé, les bases et les processus de maintien à jour de ces bases © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Autres sessions Déployer l’isolation avec IPsec 3/29/2017 11:46 PM Autres sessions Déployer l’isolation avec IPsec Windows Vista : améliorations du firewall et IPsec Longhorn Server de A à Z © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM Références La session NAP des JMS 2006 disponible en PPT & vidéos depuis http://www.microsoft.com/france/securite/jms/infor.mspx PPT : http://download.microsoft.com/download/5/9/F/59F51CAC-B200-4E11-9221-CB7213661F7E/[300]_Controle_sante_machines_(NAP).ppt Vidéo : http://www.microsoft.com/france/events/event.aspx?EventID=118771226 http://www.microsoft.com/france/events/event.aspx?EventID=118771227 http://www.microsoft.com/france/events/event.aspx?EventID=118771228 © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

3/29/2017 11:46 PM © 2003-2004 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Attributs RADIUS pour NAP Microsoft-Quarantine-State Machine access should be Full Access Quarantined Probation until a certain time Microsoft-Quarantine-Grace-Time Specified date and time for probation Microsoft-IPv4-Remediation-Servers Collection of IPv4 addresses of fixup servers Microsoft-IPv6-Remediation-Servers Collection of IPv6 addresses of fixup servers Microsoft-Attribute-Not-Quarantine-Capable Machine requesting access is not participating in NAP