Partager via

Déterminer les rôles d'administrateur et les processus pour la protection d'accès réseau

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dernière mise à jour de la rubrique — mai 2008

Dans un environnement de production, la mise en œuvre d'une protection d'accès réseau (NAP) exigera une interaction et une collaboration avec un certain nombre de groupes de l'entreprise. Par exemple, ces groupes peuvent être les suivants :

  • Des architectes de services de domaine Active Directory afin de désigner quelle forêt sera utilisée pour publier les références de l'état d'intégrité de la protection d'accès réseau, et développer le schéma avec les extensions de schéma Configuration Manager 2007.

  • Les administrateurs de service des services de domaine Active Directory qui étendront le schéma et configureront le conteneur System Management avec les autorisations de sécurité requises. Les mêmes administrateurs peuvent également être impliqués dans la création et l'identification de comptes ou de groupes de sécurité Windows à utiliser lors de la configuration du point du programme de validation d'intégrité système et des stratégies NAP.

  • Des architectes d'infrastructure pour concevoir l'architecture réseau et serveur qui sera requise pour la prise en charge de la protection d'accès réseau, y compris le choix des technologies de mise en œuvre à utiliser.

  • Des spécialistes en infrastructure à clés publiques (PKI) pour fournir les services de certificats, si vous utilisez une solution de mise en œuvre IPSec avec la protection d'accès réseau.

  • Des administrateurs Windows Server pour élaborer et configurer les serveurs de stratégie réseau prenant en charge les services Windows.

  • Des administrateurs de pare-feu pour modifier les configurations des pare-feu et des périphériques réseau afin de permettre la prise en charge de la protection d'accès réseau.

  • Des conseillers en sécurité pour aider à déterminer les critères de sélection des mises à jour logicielles pour l'application de la protection d'accès réseau et la date de leur mise en application, ainsi que pour décider de restreindre ou non l'utilisation des ordinateurs incompatibles jusqu'à leur mise en conformité.

  • Des concepteurs des sites Internet internes pour concevoir un site Web de dépannage exhaustif pour les ordinateurs qui ne parviennent pas à effectuer la mise à jour sur le réseau restreint.

  • Des techniciens de support technique qui peuvent traiter des appels d'utilisateurs ne parvenant pas à accéder au réseau dans la mesure où leur ordinateur dispose d'un accès limité, ou lorsque la mise à jour échoue.

  • Des administrateurs chargés de la distribution des logiciels Configuration Manager pour mettre à niveau vers Windows XP Service Pack 3 les clients exécutant une version prise en charge de Windows XP, de sorte que ces clients prennent en charge la protection d'accès réseau.

  • Des administrateurs chargés des mises à jour logicielles de Configuration Manager pour configurer les points de mise à jour logicielle et pour créer des packages de mise à jour sur des points de distribution.

  • Des administrateurs de Configuration Manager pour configurer les points du programme de validation d'intégrité système et l'agent du client de protection d'accès réseau, ainsi que pour configurer et contrôler les stratégies Configuration Manager de protection d'accès réseau.

  • Des utilisateurs finaux qui nécessitent une formation et qui doivent recevoir des informations sur les processus de protection d'accès réseau, ainsi que sur la démarche à suivre en cas de problème.

Étant donné qu'une solution de protection d'accès réseau implique un grand nombre de rôles, la réussite d'une mise en œuvre dépend de l'identification des personnes occupant les divers rôles et de la collaboration entre les groupes, chaque fois que nécessaire. La réussite d'une implémentation en cours dépendra de l'identification et du respect des processus qui coordonnent les diverses fonctions entre les rôles.

Le non-respect des processus définis lors de l'implémentation de la protection d'accès réseau dans un environnement de production peut avoir les conséquences suivantes :

  • Le support technique est submergé d'appels provenant des utilisateurs. Ces derniers reçoivent, en effet, des messages et des erreurs relatifs à la protection d'accès réseau.

  • La productivité baisse et les délais ne sont pas respectés du fait que les utilisateurs ne peuvent pas accéder aux ressources réseau dont ils ont besoin.

  • Le niveau de satisfaction vis-à-vis des services informatiques chute et les contrats de niveau de service (SLA) ne sont pas honorés.

  • Les ordinateurs non conformes obtiennent par erreur un accès réseau complet et mettent en danger les ressources de l'entreprise.

Vous pouvez utiliser une méthodologie telle que ITIL ou Microsoft Operations Framework (https://go.microsoft.com/fwlink/?LinkId=88047) pour mettre en application une protection d'accès réseau dans une structure de processus définis. Prenez soin de documenter votre conception, vos procédures de test, les domaines de responsabilité, les processus à suivre pour configurer les stratégies, la mise à jour et le dépannage, puis communiquez ces informations en vous assurant qu'elles sont centralisées et actualisées.

Notes

Vérifiez les stratégies de sécurité de l'entreprise et, si nécessaire, modifiez-les pour y intégrer l'implémentation de la protection d'accès réseau. Les stratégies de sécurité de l'entreprise impliquent généralement des processus en aval pour la mise en œuvre de la conformité aux stratégies.

Séparation des rôles dans Configuration Manager

À chaque fois que vous déterminez les rôles requis pour la protection d'accès réseau dans Configuration Manager, les mises à jour logicielles et la protection d'accès réseau risquent de se chevaucher. Ces deux rôles peuvent être combinés ou séparés, en fonction de vos exigences professionnelles. En règle générale, des organisations plus petites combineront les deux rôles, mais certaines organisations souhaiteront les distinguer. Vous pouvez même combiner le rôle de la protection d'accès réseau de Configuration Manager avec d'autres rôles externes au produit, tels que ceux d'administration du serveur de stratégie réseau ou ceux de gestion de la sécurité.

Un nœud distinct pour la protection d'accès réseau dans la console Configuration Manager vous permet de prendre en charge la séparation des rôles pour les mises à jour logicielles et la protection d'accès réseau dans Configuration Manager 2007. Utilisez l'onglet Sécurité des propriétés du nœud Protection d'accès réseau pour spécifier des autorisations destinées à des utilisateurs ou groupes spécifiques afin que ces derniers puissent effectuer des tâches relatives à la protection d'accès réseau dans Configuration Manager. Utilisez ensuite l'onglet Sécurité des propriétés du nœud Mises à jour logicielles pour empêcher les administrateurs de la protection d'accès réseau d'accéder aux mises à jour logicielles. Cette configuration se traduit comme suit :

  • Dans le nœud Protection d'accès réseau, les administrateurs de la protection d'accès réseau peuvent visualiser les statistiques correspondantes.

  • Les administrateurs de la protection d'accès réseau (NAP) peuvent créer, afficher, modifier et supprimer les stratégies NAP.

  • En revanche, ils ne peuvent ni créer, ni afficher, ni modifier, ni supprimer les déploiements de mises à jour logicielles, les packages ou les modèles.

Étant donné que le nœud Stratégies est pourvu d'un onglet Sécurité, vous pouvez affiner davantage les autorisations afin de déterminer les administrateurs de protection d'accès réseau autorisés à afficher, créer et supprimer des stratégies NAP.

Cependant, dans la mesure où vous pouvez configurer une mise à jour logicielle pour qu'elle soit activée pour une évaluation NAP dans l'Assistant Déploiement des mises à jour logicielles et comme une propriété d'un package de mise à jour, vous ne pouvez pas empêcher les administrateurs de mises à jour logicielles de configurer également les stratégies NAP de Configuration Manager depuis le nœud Mises à jour logicielles.

Si vous utilisez la séparation des rôles dans Configuration Manager, vous pouvez être amené à configurer la sécurité de manière à ce que les administrateurs NAP puissent accéder au nœud Rapports et, ainsi, soient en mesure d'exécuter les rapports ayant la catégorie NAP.

Un administrateur chargé uniquement de la protection d'accès réseau dans Configuration Manager 2007 n'a pas besoin d'accéder aux regroupements, car les stratégies NAP de Configuration Manager sont automatiquement appliquées à tous les clients attribués au site.

Pour plus d'informations sur les droits de sécurité pour la protection d'accès réseau dans Configuration Manager, consultez Droits de sécurité de la protection d'accès réseau.

Voir aussi

Concepts

Flux de travail d'administration : configurer la protection d'accès réseau pour Configuration Manager
À propos des références de l'état d'intégrité NAP dans la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau
À propos du processus de protection d'accès réseau

Autres ressources

Liste de vérification de l'administrateur : configurer la protection d'accès réseau pour Configuration Manager
Planification pour la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.