Partager via

Meilleures pratiques pour la sécurité de la protection d'accès réseau

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Ne vous reposez pas sur la protection d'accès réseau (NAP) pour protéger un réseau contre les utilisateurs malveillants    La protection d'accès réseau a pour but d'aider les administrateurs à gérer l'intégrité des ordinateurs du réseau, ce qui contribue à assurer l'intégrité globale du réseau. Par exemple, si un ordinateur dispose de toutes les mises à jour logicielles requises par la stratégie NAP Microsoft System Center Configuration Manager 2007, l'ordinateur est considéré comme conforme, et il se verra attribuer l'accès approprié au réseau. La protection d'accès réseau n'empêche pas un utilisateur non autorisé doté d'un ordinateur conforme de télécharger un programme malveillant sur le réseau ou de désactiver l'agent NAP.

Utilisez des stratégies de protection d'accès réseau dans l'ensemble de la hiérarchie du site afin de réduire les risques de confusion    Une configuration incorrecte d'une stratégie NAP peut permettre à des clients d'accéder au réseau alors que leur accès devrait être limité, et inversement, elle peut interdire l'accès au réseau à des clients valides. Plus votre stratégie NAP est complexe, plus les risques de configuration incorrecte sont élevés. Configurez l'agent du client NAP Configuration Manager 2007 et les points du programme de validation d'intégrité système Configuration Manager 2007 pour qu'ils utilisent les mêmes paramètres dans l'ensemble de la hiérarchie ou sur des hiérarchies supplémentaires dans l'organisation si les clients peuvent se déplacer entre elles.

Important

Si un client Configuration Manager pour lequel l'agent du client de protection d'accès réseau est activé se déplace dans une autre hiérarchie Configuration Manager et que sa déclaration d'intégrité est validée par un point du programme de validation d'intégrité système en dehors de sa hiérarchie, le processus de validation ne parviendra pas à effectuer la vérification du site. Par conséquent, l'état d'intégrité d'un client sera inconnu, cet état étant configuré par défaut sur le serveur de stratégie réseau comme non conforme. Si le serveur de stratégie réseau comporte des stratégies réseau configurées pour un accès limité au réseau, ces clients ne pourront pas être mis à jour et risqueront d'être incapables d'accéder à l'intégralité du réseau. Une stratégie d'exemption sur le serveur de stratégie réseau peut octroyer aux clients Configuration Manager qui se déplacent en dehors de leur hiérarchie Configuration Manager un accès illimité au réseau.

N'activez pas l'agent du client de protection d'accès au réseau immédiatement sur les nouveaux sites Configuration Manager    Bien que les serveurs de site publient la référence de l'état d'intégrité de Configuration Manager sur un contrôleur de domaine lorsque des stratégies NAP de Configuration Manager sont modifiées, il est possible que ces nouvelles données ne puissent pas être immédiatement récupérées par le point du programme de validation d'intégrité système avant la fin de la réplication Active Directory. Si vous activez l'agent du client de protection d'accès au réseau avant la fin de la réplication et si votre serveur de stratégie réseau Windows octroie aux clients non conformes un accès réseau limité, vous pourrez provoquer une attaque par déni de service contre vous-même.

Ne croyez pas que la protection d'accès réseau est un système d'application instantané ou en temps réel    Il existe des délais inhérents au mécanisme d'application de la protection d'accès réseau.  La protection d'accès réseau contribue à assurer la conformité des ordinateurs dans le temps, cependant, les délais d'application sont généralement de plusieurs heures (voire plus) en raison de différents facteurs, notamment les réglages de divers paramètres de configuration.

Voir aussi

Autres ressources

Protection d'accès réseau dans Configuration Manager
Meilleures pratiques pour la sécurité et informations de confidentialité pour les fonctionnalités de Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.