Assurez-vous de consulter les articles précédents de cette série Geek School sur Windows 7:
- Présentation de l'école de geek
- Mises à niveau et migrations
- Configuration des périphériques
- Gestion des disques
- Gérer les applications
- Gérer Internet Explorer
- Principes fondamentaux d'adressage IP
- La mise en réseau
- Réseau sans fil
- fenêtre pare-feu
- Administration à distance
Et restez à l’écoute pour le reste de la série toute cette semaine.
Protection d'accès au réseau
La protection d'accès réseau est une tentative de Microsoft pour contrôler l'accès aux ressources réseau en fonction de la santé du client essayant de s'y connecter. Par exemple, dans le cas où vous utilisez un ordinateur portable, il se peut que vous passiez de nombreux mois sur la route sans connecter votre ordinateur portable au réseau de votre entreprise. Pendant ce temps, rien ne garantit que votre ordinateur portable ne sera pas infecté par un virus ou un logiciel malveillant, ni que vous recevrez même des mises à jour de la définition antivirus.
Dans cette situation, lorsque vous revenez au bureau et que vous connectez la machine au réseau, NAP détermine automatiquement l'état de la machine par rapport à une stratégie que vous avez configurée sur l'un de vos serveurs NAP. Si le périphérique qui s'est connecté au réseau échoue à l'inspection d'intégrité, il est automatiquement déplacé vers une section de votre réseau extrêmement restreinte appelée zone de correction. Lorsqu'ils se trouvent dans la zone de correction, les serveurs de correction tentent automatiquement de résoudre le problème avec votre ordinateur. Quelques exemples pourraient être:
- Si votre pare-feu est désactivé et que votre stratégie requiert l'activation de celui-ci, les serveurs de correction activeront votre pare-feu à votre place.
- Si votre stratégie d'intégrité indique que vous devez disposer des dernières mises à jour Windows et que vous n'en avez pas, vous pouvez avoir un serveur WSUS dans votre zone de résolution qui installera les dernières mises à jour sur votre client.
Votre machine ne sera renvoyée sur le réseau de l'entreprise que si vos serveurs NAP le jugent sain. Vous pouvez appliquer la protection NAP de quatre manières différentes, chacune présentant ses propres avantages:
- VPN - L'utilisation de la méthode d'application de VPN est utile dans une entreprise dans laquelle des télétravailleurs travaillent à distance depuis leur domicile, en utilisant leurs propres ordinateurs. Vous ne pouvez jamais être sûr des malwares que quelqu'un pourrait installer sur un PC sur lesquels vous n'avez aucun contrôle. Lorsque vous utilisez cette méthode, l’intégrité d’un client est vérifiée chaque fois qu’il établit une connexion VPN.
- DHCP - Lorsque vous utilisez la méthode d'application DHCP, le serveur DHCP ne communique à aucun client une adresse réseau valide tant qu'il n'a pas été jugé sain par votre infrastructure NAP.
- IPsec - IPsec est une méthode de chiffrement du trafic réseau à l'aide de certificats. Bien que cela ne soit pas très courant, vous pouvez également utiliser IPsec pour appliquer le protocole NAP.
- 802.1x - 802.1x est également parfois appelée authentification basée sur le port et constitue une méthode d'authentification des clients au niveau du commutateur. L’utilisation de la norme 802.1x pour appliquer une stratégie NAP est une pratique courante dans le monde actuel.
Connexions à distance
Pour une raison quelconque à notre époque, Microsoft veut toujours que vous sachiez à propos de ces connexions par numérotation primitives. Les connexions par ligne commutée utilisent le réseau téléphonique analogique, également appelé POTS (Plain Old Telephone Service), pour transmettre des informations d'un ordinateur à un autre. Ils font cela en utilisant un modem, qui est une combinaison des mots moduler et démoduler. Le modem est normalement connecté à votre PC à l’aide d’un câble RJ11 et module les flux d’informations numériques de votre PC en un signal analogique pouvant être transféré sur les lignes téléphoniques. Lorsque le signal atteint sa destination, il est démodulé par un autre modem et reconverti en un signal numérique que l'ordinateur peut comprendre. Pour créer une connexion d'accès à distance, cliquez avec le bouton droit de la souris sur l'icône d'état du réseau et ouvrez le Centre Réseau et partage.
Remarque: si vous avez une question qui vous oblige à configurer une connexion d'accès à distance pour l'examen, ils vous fourniront les détails pertinents.
Réseaux privés virtuels
Les réseaux privés virtuels sont des tunnels privés que vous pouvez établir sur un réseau public, tel qu'Internet, pour vous permettre de vous connecter en toute sécurité à un autre réseau.
Par exemple, vous pouvez établir une connexion VPN depuis un PC sur votre réseau domestique vers votre réseau d'entreprise. De cette façon, il semblerait que le PC de votre réseau domestique fasse vraiment partie de votre réseau d'entreprise. En fait, vous pouvez même vous connecter à des partages réseau, par exemple si vous aviez pris votre PC et l'avez physiquement connecté à votre réseau de travail avec un câble Ethernet. La seule différence est bien sûr la vitesse: au lieu d’obtenir les vitesses Gigabit Ethernet que vous auriez si vous étiez physiquement au bureau, vous serez limité par la vitesse de votre connexion haut débit.
Vous vous demandez probablement à quel point ces «tunnels privés» sont sécuritaires, car ils «tunnel» sur Internet. Est-ce que tout le monde peut voir vos données? Non, c’est impossible, et c’est parce que nous cryptons les données envoyées via une connexion VPN, d’où le nom de réseau «privé» virtuel. Le protocole utilisé pour encapsuler et chiffrer les données envoyées sur le réseau vous appartient, et Windows 7 prend en charge les éléments suivants:
Remarque: Malheureusement, vous devrez connaître ces définitions par cœur pour l'examen.
-
Protocole de tunneling point à point (PPTP) - Le protocole de tunnelisation point à point permet d'encapsuler le trafic réseau dans un en-tête IP et de l'envoyer sur un réseau IP tel qu'Internet.
- Encapsulation: Les trames PPP sont encapsulées dans un datagramme IP, à l'aide d'une version modifiée de GRE.
- Cryptage: Les trames PPP sont cryptées à l’aide du cryptage MPPE (Microsoft Point-to-Point Encryption). Les clés de chiffrement sont générées lors de l'authentification lorsque les protocoles Microsoft Challenge Handshake Authentication Protocol version 2 (MS-CHAP v2) ou Extensible Authentication Protocol-Transport Layer Security (EAP-TLS) sont utilisés.
-
Protocole de tunneling de couche 2 (L2TP) - L2TP est un protocole de tunneling sécurisé utilisé pour transporter des trames PPP à l’aide du protocole Internet, il est partiellement basé sur PPTP. Contrairement à PPTP, l'implémentation Microsoft de L2TP n'utilise pas MPPE pour chiffrer les trames PPP. Au lieu de cela, L2TP utilise IPsec en mode de transport pour les services de cryptage. La combinaison de L2TP et IPsec est connue sous le nom de L2TP / IPsec.
- Encapsulation: Les cadres PPP sont d'abord enveloppés d'un en-tête L2TP, puis d'un en-tête UDP. Le résultat est ensuite encapsulé à l'aide d'IPSec.
- Cryptage: Les messages L2TP sont cryptés avec le cryptage AES ou 3DES à l'aide de clés générées à partir du processus de négociation IKE.
-
Protocole SSTP (Secure Socket Tunneling Protocol) - SSTP est un protocole de tunneling qui utilise HTTPS. Le port TCP 443 étant ouvert sur la plupart des pare-feu d’entreprise, c’est un excellent choix pour les pays qui n’autorisent pas les connexions VPN traditionnelles. Il est également très sécurisé car il utilise des certificats SSL pour le cryptage.
- Encapsulation: Les trames PPP sont encapsulées dans des datagrammes IP.
- Cryptage: Les messages SSTP sont cryptés à l'aide de SSL.
-
Echange de clés Internet (IKEv2) - IKEv2 est un protocole de tunneling qui utilise le protocole IPsec Tunnel Mode sur le port UDP 500.
- Encapsulation: IKEv2 encapsule les datagrammes en utilisant les en-têtes IPSec ESP ou AH.
- Cryptage: Les messages sont cryptés avec le cryptage AES ou 3DES à l'aide de clés générées à partir du processus de négociation IKEv2.
Configuration requise pour le serveur
Remarque: Vous pouvez évidemment avoir d'autres systèmes d'exploitation configurés pour être des serveurs VPN. Cependant, ce sont les conditions requises pour faire fonctionner un serveur VPN Windows.
Pour permettre aux utilisateurs de créer une connexion VPN à votre réseau, vous devez disposer d'un serveur exécutant Windows Server et disposer des rôles suivants:
- Routage et accès à distance (RRAS)
- Serveur de stratégie réseau (NPS)
Vous devrez également configurer DHCP ou allouer un pool IP statique que les ordinateurs connectés via un réseau privé virtuel peuvent utiliser.
Création d'une connexion VPN
Pour vous connecter à un serveur VPN, cliquez avec le bouton droit de la souris sur l'icône d'état du réseau et ouvrez le Centre Réseau et partage.
Cliquez ensuite sur l’option Créer une nouvelle connexion ou un hyperlien réseau. 
Maintenant, choisissez de vous connecter à un lieu de travail et cliquez sur Suivant. 
Choisissez ensuite d’utiliser votre connexion haut débit existante. 
P Vous devez maintenant entrer l'adresse IP ou le nom DNS du serveur VPN sur le réseau auquel vous souhaitez vous connecter. Puis cliquez sur suivant.
Ensuite, entrez votre nom d'utilisateur et votre mot de passe et cliquez sur Connecter.
Une fois que vous êtes connecté, vous pourrez voir si vous êtes connecté à un VPN en cliquant sur l'icône d'état du réseau. 
Image Devoirs
Lisez l'article suivant sur TechNet, qui vous guide tout au long de la planification de la sécurité pour un VPN.
Remarque: les devoirs du jour sont un peu en marge de l’examen 70-680, mais ils vous donneront une bonne idée de ce qui se passe dans les coulisses lorsque vous vous connectez à un VPN à partir de Windows 7.
Si vous avez des questions, vous pouvez me tweeter @taybgibb ou simplement laisser un commentaire.
