Partager via

Détermination de votre stratégie pour la protection d'accès réseau

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Pour déterminer une stratégie pour la protection d'accès au réseau avec Configuration Manager 2007, une réunion d'experts s'impose pour discuter des objectifs, des conditions requises et des processus. Elle peut réunir l'administrateur de Configuration Manager, l'administrateur de la protection d'accès réseau et les représentants de l'équipe de sécurité, de l'infrastructure et probablement du support technique.

La configuration des stratégies NAP de Configuration Manager nécessite la configuration de deux groupes de stratégies : les stratégies de protection d'accès réseau définies dans Configuration Manager ; et les stratégies de protection d'accès réseau définies sur le serveur NPS :

  • Les stratégies de protection d'accès réseau de Configuration Manager identifient les mises à jour logicielles qui doivent être installées sur les ordinateurs à une date donnée. Par conséquent, Configuration Manager transmet au serveur NPS l'état d'intégrité de l'ordinateur, et si nécessaire une liste des serveurs requis pour une mise à jour.

  • Les stratégies de protection d'accès réseau du serveur NPS indiquent si les clients disposent d'un accès réseau complet ou limité, et si des ordinateurs non conformes sont mis à jour. La décision est basée sur l'état d'intégrité de l'ordinateur envoyé par Configuration Manager. Vous pouvez configurer les stratégies du serveur NPS comme suit :

    • Les clients compatibles NAP conformes disposent d'un accès réseau complet.

    • Les clients compatibles NAP non conformes disposent d'un accès réseau limité jusqu'à la mise à jour.

    • Les clients compatibles NAP non conformes disposent d'un accès réseau complet pendant une durée limitée et sont mis à jour immédiatement.

    • Les clients non compatibles NAP disposent d'un accès réseau complet.

    • Les clients compatibles NAP disposent d'un accès réseau limité, mais ne seront pas mis à jour.

    • Par défaut, toutes les conditions d'erreur limitent l'accès au réseau des ordinateurs (avec mise à jour si prise en charge par le client), mais ceux-ci peuvent être configurés pour un accès au réseau complet.

Notes

Si les stratégies d'intégrité ne sont pas appliquées dans la stratégie réseau sur le serveur NPS, la protection d'accès réseau de Configuration Manager ne peut pas mettre à jour les ordinateurs non conformes. Dans ce cas, la conformité peut être obtenue via la fonction de mise à jour logicielle définie de Configuration Manager. Si les stratégies d'intégrité sont appliquées à la stratégie réseau du serveur NPS, la protection d'accès réseau de Configuration Manager essaie toujours de mettre à jour les ordinateurs non conformes, même si l'option de mise à jour automatique des ordinateurs non conformes n'est pas activée dans la stratégie réseau.

Lorsque vous avez décidé de la stratégie à appliquer pour votre réseau, vous devez configurer des stratégies de requête de connexion, des stratégies d'intégrité et des stratégies réseau. Les stratégies réseau doivent inclure les paramètres des éléments suivants :

  1. Ordinateurs compatibles NAP et conformes.

  2. Ordinateurs compatibles NAP et non conformes.

  3. Ordinateurs non compatibles NAP, et par conséquent vous ne pouvez pas savoir s'ils sont conformes ou non.

Généralement, ces stratégies sont configurées comme suit :

  1. Les ordinateurs conformes disposent d'un accès au réseau complet.

  2. Les ordinateurs non conformes disposent d'un accès au réseau limité et sont mis à jour, puis bénéficient d'un accès réseau complet ; ou ils disposent d'un accès réseau complet pendant une durée limitée, puis sont immédiatement mis à jour sur le réseau non limité.

  3. Les ordinateurs non compatibles NAP disposent d'un accès réseau complet. Cependant, dans un environnement de haute sécurité dans lequel l'état d'intégrité de ces ordinateurs ne peut pas être évalué, il est recommandé que ces ordinateurs aient un accès réseau limité même s'ils ne peuvent pas être mis à jour et par conséquent ne pourront jamais disposer d'un accès réseau complet.

Lorsque vous avez décidé du mode de fonctionnement de la majorité des ordinateurs avec la protection d'accès réseau, vous pouvez planifier des stratégies détaillées pour certaines conditions. Par exemple, les exceptions et exemptions suivantes peuvent se produire :

  • Certains utilisateurs ne disposeront jamais d'un accès réseau limité.

  • Les ordinateurs mis en réseau standard disposeront d'un accès réseau complet pendant une durée limitée s'ils ne sont pas conformes, tandis que les ordinateurs domestiques bénéficieront d'un accès limité s'ils ne sont pas conformes.

  • Pendant les heures d'indisponibilité du support technique local, les ordinateurs non compatibles bénéficient d'un accès complet au réseau pour une période limitée, et non d'un accès limité.

  • Les ordinateurs spécifiés sont exemptés des stratégies d'intégrité. À titre d'exemple, cette exemption est appropriée si le client Configuration Manager ne doit pas être installé sur certains ordinateurs.

L'implémentation de stratégies pour les exceptions et exemptions est obtenue à l'aide des conditions et du classement des stratégies. Lorsqu'une correspondance est établie entre la première stratégie et un ordinateur connecté, elle est utilisée, ce qui signifie que généralement vous devez placer les stratégies spécifiques (les exceptions) avant les stratégies générales. Si vous devez utiliser des exemptions de stratégie pour des utilisateurs ou des ordinateurs, créez les groupes Microsoft Windows nécessaires à sélectionner sur le serveur NPS.

Important

Si des ordinateurs compatibles NAP sont présents dans le site Configuration Manager activé pour la protection d'accès réseau, mais si le client Configuration Manager n'est pas installé, vous devez définir des stratégies d'exemption pour ces ordinateurs qui ne sont pas référencés par le programme de validation d'intégrité système de Configuration Manager ou disposer d'un moyen d'installer sur les ordinateurs en réseau limité le client Configuration Manager (par exemple, en fournissant un lien d'installation vers le site Web de dépannage dans le cadre de l'expérience utilisateur).

Voir aussi

Concepts

Configuration des stratégies de requête de connexion pour la protection d'accès réseau de Configuration Manager
Configuration des stratégies réseau pour la protection d'accès réseau de Configuration Manager
Configuration de catégories d'échec pour la protection d'accès réseau de Configuration Manager
Configuration des stratégies d'intégrité pour la protection d'accès réseau de Configuration Manager
Configuration des groupes de serveurs de mise à jour pour la protection d'accès réseau de Configuration Manager
Configuration de l'expérience utilisateur de correction pour la protection d'accès réseau de Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.