Exemples de scénarios d'implémentation d'une protection d'accès réseau dans Configuration Manager
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dernière mise à jour de la rubrique — mai 2008
Les sections qui suivent présentent des exemples de scénarios décrivant la manière dont la protection d'accès réseau (NAP) dans Configuration Manager 2007 peut être implémentée afin de répondre aux exigences professionnelles suivantes :
Application de la conformité des mises à jour logicielles d'un déploiement par phases
Application de la conformité des mises à jour logicielles d'un déploiement expédié
Application de la conformité des mises à jour logicielles d'un déploiement par phases
Ce scénario explique comment utiliser la protection d'accès réseau dans Configuration Manager dans le cadre d'un déploiement échelonné des mises à jour logicielles, en limitant l'accès réseau aux quelques ordinateurs qui ne parviennent pas à installer les mises à jour logicielles requises pour une date indiquée.
La Woodgrove Bank reçoit de Microsoft la notification mensuelle des mises à jour logicielles et souhaite mieux protéger le réseau des ordinateurs vulnérables face aux risques d'exploitation que gèrent les mises à jour logicielles. Elle décide de l'action à entreprendre dans le tableau ci-dessous.
| Processus | Référence |
|---|---|
Les mises à jour logicielles chargées de gérer une faille de sécurité sont évaluées par l'équipe de sécurité de la banque dirigée par Kevin Verboort. Cette équipe vérifie si la faille concerne son environnement et, si tel est le cas, évalue son impact professionnel sur les actifs de l'entreprise et sur la pérennité des activités de cette dernière, ainsi que les circonstances dans lesquelles cette faille a pu être exploitée. Les mises à jour logicielles n'ayant aucun rapport avec la sécurité sont évaluées par d'autres équipes responsables des domaines concernés. |
Processus interne propre à l'entreprise |
Kevin travaille ensuite avec Mary North qui est chargée de l'administration de Configuration Manager pour les mises à jour logicielles. Avec la liste des mises à jour de sécurité critiques que lui a transmis l'équipe de sécurité, Mary exécute un rapport pour savoir combien d'ordinateurs du réseau sont potentiellement exposés aux risques d'exploitation gérés par la mise à jour de sécurité. Environ un quart des ordinateurs sur le réseau apparaissent alors vulnérables d'après la liste des mises à jour logicielles de sécurité et tous ces ordinateurs prennent en charge la protection d'accès réseau (NAP). |
Rapport de protection d'accès réseau : Liste des ordinateurs susceptibles de ne pas être conformes d'après les mises à jour logicielles sélectionnées Pour plus d'informations, consultez les rubriques suivantes : |
En se fondant sur les implications en matière de sécurité et sur l'analyse de l'impact professionnel, Kevin décide que tous les ordinateurs doivent installer les mises à jour de sécurité par le biais des mises à jour logicielles dans un délai de deux semaines. Pour la poignée d'ordinateurs dont l'installation des mises à jour logicielles échouera au cours de cette période, l'installation aura lieu via la protection d'accès réseau sur le réseau limité. |
Détermination de votre stratégie pour la protection d'accès réseau |
Mary reçoit également une liste de mises à jour n'ayant aucun lien avec la sécurité mais qui doivent être installées dans un délai de quatre semaines. |
Processus interne propre à l'entreprise |
En l'espace d'une semaine, Mary teste l'installation des mises à jour logicielles sélectionnées sur un groupe représentatif d'ordinateurs afin de s'assurer que l'installation a réussi et que les applications fonctionnent toujours comme prévu. |
|
Mary soumet deux demandes de modification (RFC, Request For Change) :
Les deux demandes de modification sont acceptées. |
Processus interne propre à l'entreprise |
Mary s'adresse ensuite à l'administrateur NPS (Network Policy Server) pour lui communiquer la date de création des stratégies NAP de Configuration Manager, ainsi que la date à laquelle les mises à jour logicielles de sécurité y seront effectives. Les deux administrateurs travaillent de concert pour s'assurer que les ordinateurs non conformes seront automatiquement corrigés sur le réseau limité et que les mises à jour logicielles sont disponibles sur le site Web Dépannage en cas d'échec de l'action corrective. Mary transmet également au support technique une notification anticipée sur l'installation des mises à jour logicielles et indique les mises à jour logicielles qui seront appliquées à l'aide de la protection d'accès réseau. |
Déterminer les rôles d'administrateur et les processus pour la protection d'accès réseau |
Mary confirme que les packages de mises à jour logicielles qu'elle a créés pour les mises à jour logicielles ont désormais été répliqués sur tous les points de distribution dans la hiérarchie. À l'aide de l'Assistant Déploiement des mises à jour logicielles, elle crée ensuite deux déploiements et les oriente tous les deux vers le regroupement Tous les systèmes sur le site central :
|
Distribution de logiciels - Rapport Packages : État de la distribution d'un package spécifique Comment déployer des mises à jour logicielles Comment configurer l'évaluation NAP pour les mises à jour logicielles |
Mary envoie un avis de confirmation du déploiement à l'équipe de sécurité, l'équipe NPS et le support technique. Le support technique distribue le message de notification utilisateur avertissant les ordinateurs du risque de perte de connectivité réseau si les mises à jour logicielles de sécurité ne sont pas installées à la date d'échéance. Il encourage alors les utilisateurs à les installer dès que possible. |
Processus interne propre à l'entreprise |
Mary contrôle la conformité des mises à jour logicielles. À l'issue des trois semaines, certains ordinateurs demeurent non conformes aux mises à jour logicielles de sécurité. Chaque propriétaire d'ordinateur reçoit une notification par courrier électronique lui indiquant que son ordinateur n'est pas conforme aux stratégies de sécurité et risque de souffrir d'une perte de connectivité réseau qu'il doit automatiquement corriger si l'ordinateur n'est toujours pas conforme à la fin de la semaine. |
Rapport de protection d'accès réseau : Liste des ordinateurs susceptibles de ne pas être conformes d'après les mises à jour logicielles sélectionnées Pour plus d'informations, consultez les rubriques suivantes : |
Deux jours avant la date d'effet configurées dans les stratégies NAP, Mary remarque que seule une poignée d'ordinateurs restent non conformes aux mises à jour logicielles de sécurité. Mary transmet ce rapport à l'équipe de sécurité et informe le support technique au sujet des ordinateurs toujours non conformes et prenant en charge la protection d'accès réseau. |
Processus interne propre à l'entreprise |
Mary continue de contrôler la conformité des mises à jour logicielles sélectionnées et transmet des rapports de progression à l'équipe de sécurité à un intervalle convenu. |
Processus interne propre à l'entreprise |
Après six semaines, Mary note que 85 pour cent des ordinateurs apparaissent en conformité avec les mises à jour logicielles non relatives à la sécurité et que 100 pour cent d'entre eux sont conformes aux mises à jour logicielles de sécurité. Elle passe en revue le processus pour voir si des modifications sont nécessaires et analyse les ordinateurs qui n'ont pas installé les mises à jour non relatives à la sécurité. |
Rapports de protection d'accès réseau :
|
Mary met ses rapports à la disposition de l'équipe de sécurité et invite le support technique à lui transmettre des commentaires pour identifier toutes les améliorations techniques ou de communication à apporter. |
Processus interne propre à l'entreprise |
Dans le cadre d'un déploiement échelonné, les stratégies de protection d'accès réseau dans Configuration Manager peuvent avoir un impact sur les utilisateurs des manières suivantes :
Retour d'un ordinateur portable sur le réseau de l'entreprise après une période d'absence :
Un représentant commercial se déplace fréquemment chez des clients mais revient au siège de l'entreprise pour assister à des réunions importantes. Il a passé rapidement en revue ses notifications par courrier électronique lui indiquant d'installer les mises à jour de sécurité mais n'a procédé à aucune installation jusqu'à l'expiration sans crier gare de la date d'échéance.
À son arrivée au siège social pour la réunion, il connecte son ordinateur au réseau et, à peine connecté, reçoit une notification lui signalant que son ordinateur dispose d'un accès limité au réseau parce qu'il n'est pas conforme aux stratégies de sécurité. Il se souvient alors des notifications par courrier électronique et les recherche pour obtenir des instructions sur ce qu'il lui faut faire. Le temps pour lui de retrouver le courrier électronique et de le lire et l'ordinateur a déjà installé les mises à jour logicielles requises et il bénéficie d'un accès réseau illimité. Son ordinateur poursuit en arrière-plan l'installation des mises à jour non relatives à la sécurité.
Retour de congés d'un utilisateur :
Une utilisatrice reprend le travail après plusieurs semaines de congés. Bien que son ordinateur était parfaitement conforme avant son départ, il était hors tension au cours de son absence et n'a pas pu recevoir de mises à jour logicielles pendant cette période. À son retour au travail, elle remet son ordinateur sous tension, se connecte et ouvre Microsoft Outlook. Cependant, sa boîte aux lettres refuse de se connecter au serveur et elle aperçoit une notification qui lui indique qu'elle dispose d'un accès réseau restreint parce que son ordinateur n'est pas conforme.
Sans remarquer les notifications par courrier électronique qui lui ont été envoyées au cours des dernières semaines, elle contacte le support technique qui lui confirme que son ordinateur figure sur la liste des ordinateurs répertoriés comme non conformes à la date d'effet de la stratégie NAP de Configuration Manager. Le support technique lui explique que son ordinateur fera automatiquement l'objet d'une action corrective et qu'il lui suffit de patienter jusqu'à ce qu'il la rappelle dans une demi-heure pour lui confirmer que la connectivité est rétablie.
Le temps pour cette utilisatrice de prendre un café et de s'informer des derniers événements survenus au bureau en son absence. À son retour, elle constate que son ordinateur bénéficie à présent d'un accès réseau complet, le confirme auprès du support technique qui ferme alors son ticket d'assistance utilisateur.
Configuration d'un nouvel ordinateur :
Une nouvelle utilisatrice fait l'acquisition d'un ordinateur de Bureau Windows Vista fourni avec une image du client Configuration Manager. Elle déballe l'ordinateur, le branche et le met sous tension. Après la phase d'installation initiale, une bulle apparaît et l'informe que son ordinateur dispose d'un accès limité au réseau.
Elle clique sur la notification et s'aperçoit que son ordinateur est en train d'installer les mises à jour logicielles requises pour la stratégie de sécurité de l'entreprise. Elle range ses papiers, puis à son retour sur l'ordinateur, aperçoit une autre notification qui lui signale que l'ordinateur dispose désormais d'un accès réseau illimité. Elle configure son Bureau tandis que, en arrière-plan, les mises à jour non relatives à la sécurité et les applications dont elle a besoin sont automatiquement installées.
L'accès réseau complet est refusé aux invités :
Un consultant d'une autre société connecte son ordinateur portable au réseau de l'entreprise. L'invité constate que son ordinateur dispose d'un accès réseau limité et que toute correction sur le réseau restreint a échoué. Il contacte le support technique.
Ce comportement est lié à la conception. Du fait qu'aucun client Configuration Manager n'est installé sur cet ordinateur, le point du programme de validation d'intégrité système ne peut pas valider si l'ordinateur est conforme ou non. Dans ce scénario, le programme de validation d'intégrité système de Configuration Manager sur le serveur NPS est configuré dans le but d'attribuer à l'ordinateur un état d'intégrité non conforme ; aucune correction automatique n'est donc possible.
Le support technique confirme que la procédure dans ce scénario consiste à expliquer à l'invité qu'un accès réseau complet est impossible mais qu'il peut utiliser le serveur proxy Web sur le réseau restreint. L'invité utilise ce serveur pour accéder à Internet et une connexion VPN pour accéder au réseau de son entreprise.
Perte de connectivité réseau provisoire pour quelques utilisateurs :
Avant même la date d'effet, certains utilisateurs reçoivent une notification de protection d'accès réseau les informant que leur ordinateur n'est plus conforme et dispose d'un accès réseau limité. Presque aussitôt après, ils reçoivent un autre message qui leur signale que leur ordinateur est désormais conforme et qu'ils disposent d'un accès complet au réseau. Certains utilisateurs s'inquiètent de ces messages et contactent le support technique. On leur explique alors que ce comportement de la protection d'accès réseau est prévisible et n'est en aucun cas le signe d'un problème. En effet, il a pour fonction de s'assurer que la configuration requise des ordinateurs est à jour.
Avec le temps, les utilisateurs s'habituent au nouveau processus et ne contactent le support technique que s'ils reçoivent un message d'échec.
Notes
Plusieurs scénarios peuvent aboutir à un client jugé non conforme par le programme de validation d'intégrité système. Ils sont sans lien avec la nécessité de savoir si les mises à jour logicielles ont été installées sur ce client ou non. Ces scénarios incluent un client muni d'un état d'intégrité (SoH) mis en cache qui est antérieur à la période de validité configurée de l'état d'intégrité et le client ne dispose pas des dernières stratégies NAP de Configuration Manager. Gardez à l'esprit que les clients Configuration Manager 2007 peuvent faire l'objet d'une action corrective pour un certain nombre de raisons et formez les utilisateurs et le support technique à cette éventualité avant le déploiement.
Pour plus d'informations sur ce scénario, consultez À propos de la mise à jour de la protection d'accès réseau et À propos de la conformité pour la protection d'accès réseau dans Configuration Manager.
Application de la conformité des mises à jour logicielles d'un déploiement expédié
Ce scénario indique comment utiliser la protection d'accès réseau dans Configuration Manager dans le cadre du déploiement expédié d'une mise à jour logicielle qui doit être installée en urgence afin de protéger les ressources du réseau.
La Woodgrove Bank reçoit une notification urgente de Microsoft concernant une mise à jour logicielle de sécurité et souhaite réduire sans tarder le nombre des ordinateurs du réseau exposés à des risques d'exploitation. Elle décide de l'action à entreprendre décrite dans le tableau ci-dessous.
| Processus | Référence |
|---|---|
Kevin Verboort reçoit la notification de sécurité et en qualité de responsable de la sécurité convie l'équipe de sécurité à une réunion urgente afin d'examiner la mise à jour logicielle de sécurité critique et comprendre les implications en matière de sécurité sur l'environnement de l'entreprise. Les risques de sécurité sont évalués pour analyser l'impact professionnel sur les actifs de l'entreprise et sur la pérennité des activités de cette dernière, ainsi que les circonstances dans lesquelles la faille constatée a pu être exploitée. |
Processus interne propre à l'entreprise |
Tandis que la réunion a lieu, Mary North qui est l'administratrice Configuration Manager pour les mises à jour logicielles reçoit l'ordre d'exécuter un rapport pour déterminer combien d'ordinateurs du réseau sont potentiellement exposés aux risques d'exploitation traités dans la mise à jour logicielle de sécurité. D'après la liste des mises à jour logicielles de sécurité, plus de la moitié des ordinateurs sur le réseau s'avèrent être vulnérables et la plupart d'entre eux prennent en charge la protection d'accès réseau. |
Rapport de protection d'accès réseau : Liste des ordinateurs susceptibles de ne pas être conformes d'après les mises à jour de logiciels sélectionnées. Rapport de protection d'accès réseau : Liste des ordinateurs compatibles NAP et pouvant être mis à niveau vers NAP Pour plus d'informations, consultez les rubriques suivantes : |
L'équipe de sécurité établit que les ordinateurs apparaissent trop vulnérables face aux risques d'exploitation de sécurité gérés par la mise à jour logicielle de sécurité et que les ordinateurs doivent installer immédiatement cette dernière, même si cela doit entraîner une perte de productivité à court terme. |
Détermination de votre stratégie pour la protection d'accès réseau |
Mary crée un package de mises à jour logicielles, télécharge simultanément la mise à jour logicielle et l'ajoute à tous les points de distribution de la hiérarchie. |
|
Mary soumet cette mise à jour logicielle à un test minimal sur un groupe représentatif d'ordinateurs pour s'assurer que l'installation a réussi et que les applications de base fonctionnent toujours comme prévu. |
Processus interne propre à l'entreprise |
Kevin lance la procédure d'urgence pour une demande de modification (RFC) hors bande qui est aussitôt passée en revue et accordée. La notification est transmise à Mary, aux administrateurs du serveur NPS (Network Policy Server), au support technique et aux équipes chargées des ressources de service pour les informer d'une augmentation soudaine du trafic lorsqu'un nombre élevé d'ordinateurs tentent une action corrective dans un espace de temps limité. |
Processus interne propre à l'entreprise |
Après avoir confirmé qu'il n'existe aucun problème avec la mise à jour logicielle testée, Mary fait appel à l'Assistant Nouvelles stratégies pour identifier la mise à jour logicielle, puis définit la date d'effet à Dès que possible. Elle configure ensuite les propriétés du point du programme de validation d'intégrité système et configure l'option La date de création doit être ultérieure au temps universel (UTC) d'après la date et l'heure actuelles. |
Comment créer une stratégie NAP de Configuration Manager pour la protection d'accès réseau |
Mary sait que certains des ordinateurs qu'elle gère ne prennent pas en charge la protection d'accès réseau et qu'il s'agit d'ordinateurs équipés des systèmes Windows XP Service Pack 1 et Windows Server 2003. La mise à jour de sécurité s'applique aux ordinateurs dotés de Windows XP Service Pack 1 mais elle ne concerne pas les serveurs fonctionnant sous Windows Server 2003. Mary crée un déploiement de mise à jour logicielle avec une échéance Dès que possible. Elle cible ce déploiement de mise à jour logicielle sur un regroupement contenant uniquement Windows XP Service Pack 1. |
|
Mary envoie un avis de confirmation indiquant que la tâche de demande de modification est terminée et toutes les parties intéressées en sont informées. |
Processus interne propre à l'entreprise |
Mary contrôle la conformité de la mise à jour logicielle de sécurité critique et signale la progression à l'équipe de sécurité. Elle porte une attention toute particulière aux ordinateurs qui ne prennent pas en charge la protection d'accès réseau. En effet, même si des installations ont échoué sur ces ordinateurs, ces derniers peuvent tout de même accéder au réseau. Tous les échecs d'installation sur ces ordinateurs sont immédiatement rapportés au support technique afin de les étudier de manière proactive et de les résoudre pour garantir la conformité. |
Rapport de protection d'accès réseau : Liste des ordinateurs susceptibles de ne pas être conformes d'après les mises à jour de logiciels sélectionnées. Pour plus d'informations, consultez les rubriques suivantes : |
Au bout de 24 heures, 90 pour cent des ordinateurs concernés apparaissent conformes à la mise à jour logicielle. Mary analyse les ordinateurs non conformes et découvre qu'ils ne se trouvent actuellement pas sur le réseau de l'entreprise pour des raisons légitimes. Une notification par courrier électronique leur est transmise demandant qu'ils procèdent à une installation manuelle des mises à jour logicielles. Mary sait que si ce mécanisme échoue (par exemple, l'utilisateur est en congés et a laissé son ordinateur hors tension), la conformité sera appliquée dès que l'ordinateur est connecté au réseau de l'entreprise. |
Processus interne propre à l'entreprise |
Mary continue de contrôler la conformité des mises à jour logicielles sélectionnées et transmet des rapports de progression à l'équipe de sécurité à un intervalle convenu. |
Processus interne propre à l'entreprise |
À l'issue d'une période convenue avec l'équipe de sécurité, Mary confirme que tous les ordinateurs sont désormais jugés conformes à la mise à jour logicielle sélectionnée et passe en revue la procédure afin d'observer si des modifications sont nécessaires pour installer avec efficacité les mises à jour logicielles urgentes. |
Rapports de protection d'accès réseau :
|
Mary met le résultat de ses recherches à la disposition de l'équipe de sécurité et invite le support technique à lui transmettre des commentaires pour identifier toutes les améliorations techniques ou de communication à apporter. |
Processus interne propre à l'entreprise |
Si la protection d'accès réseau est utilisée en tant que déploiement expédié d'une mise à jour de sécurité urgente, les stratégies NAP de Configuration Manager peuvent avoir un impact sur les utilisateurs des manières suivantes :
Perte de connectivité réseau sans conséquence pour la plupart des utilisateurs :
La plupart des utilisateurs sont confrontés simultanément à une perte de connectivité réseau et les applications qui nécessitent cette connectivité signalent des erreurs jusqu'à ce qu'elles soient corrigées. Pour beaucoup d'utilisateurs, il ne s'agit que d'une courte période et certains utilisateurs ne s'en aperçoivent même pas.
Perte de connectivité réseau importante pour les responsables :
Une responsable est en train de montrer une présentation au siège de son entreprise et utilise des diapositives hébergées sur un ordinateur distant. Au beau milieu de la présentation, son ordinateur perd la connectivité réseau et une notification l'informe que l'ordinateur n'est pas conforme aux stratégies réseau et dispose d'un accès réseau restreint jusqu'à ce qu'il le soit.
La responsable n'est pas très content de cet événement qui la pousse à interrompre sa présentation et décide que la prochaine fois, elle copiera les diapositives localement sur son ordinateur. Elle n'est pas certaine du temps que durera cette perte de connectivité mais elle décide de suspendre la présentation et invite les participants à débattre et poser des questions sur les diapositives présentées jusqu'ici. Au bout de dix minutes, elle reçoit une notification qui lui indique que la connectivité est rétablie et elle poursuit sa présentation.
Perte de connectivité avec impact sur les éléments à livrer :
Un développeur travaille sur des modifications apportées à une application interne qu'il doit vérifier avant la fin de la journée. À quatre heures, il achève les modifications mais ne parvient pas à les vérifier et est confronté à une erreur d'échec du réseau. Il s'aperçoit alors que son ordinateur dispose d'un accès réseau limité et contacte le support technique.
Le support technique lui indique la mise à jour logicielle urgente qu'il doit installer aussitôt et lui demande de patienter pendant l'installation automatique. Il clique sur la notification de protection d'accès réseau et constate que son ordinateur est en train d'installer les mises à jour logicielles à l'aide de l'agent d'intégrité système de Configuration Manager et que l'installation prend un temps considérable.
Le support technique enquête et confirme que son segment réseau est extrêmement saturé et que l'exécution des points de distribution est plus lente que d'habitude en raison d'une demande inhabituellement plus forte. Le développeur se rend alors compte qu'il a peu de chances de vérifier son nouveau code avant la fin de la journée et en informe son responsable. Il rentre chez lui en laissant son ordinateur sous tension. Le lendemain, il découvre qu'il dispose à nouveau d'une connexion réseau et peut désormais vérifier son code.
Perte réseau permanente pour les bureaux distants :
Un utilisateur d'une filiale distante perd sa connectivité lorsqu'il tente d'envoyer du courrier électronique. Il contacte le support technique et est informé de la mise à jour logicielle critique à installer. Cependant, son ordinateur ne parvient pas à installer la mise à jour logicielle et, après enquête, le support technique constate des échecs de correction liés à des délais d'attente sur le réseau. Le package de mises à jour logicielles n'a pas encore été répliqué sur le point de distribution de branche et l'ordinateur tente de télécharger la mise à jour logicielle sur une connexion réseau lente et non fiable.
L'ingénieur du support technique explique à l'utilisateur comment il peut installer la mise à jour logicielle depuis le site Web de dépannage et lui demande de redémarrer son ordinateur. L'utilisateur suit ce conseil. Après redémarrage, son ordinateur dispose d'une connexion à accès illimité.
Voir aussi
Concepts
À propos des différences entre les mises à jour logicielles et la protection d'accès réseau
À propos du processus de protection d'accès réseau
À propos des déploiements de protection d'accès réseau échelonnées et expédiées
Déterminer les rôles d'administrateur et les processus pour la protection d'accès réseau
À propos de la conformité pour la protection d'accès réseau dans Configuration Manager
À propos de la mise à jour de la protection d'accès réseau
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.