Application Network Access Control

Dans cette section :

À propos d'Application Network Access Control (Contrôle de l'accès réseau aux applications)

Application Network Access Control (ANAC) permet de contrôler les connexions réseau sortantes par adresse IP, nom d'hôte, URL, nom UNC ou port, sur la base du résultat du traitement des règles. Par exemple, accès en fonction de l'emplacement du demandeur : connexion par VPN our connexion directe au réseau.

Application Network Access Control (Contrôle de l'accès réseau aux applications) est conçu pour contrôler les accès au sein de l'infrastructure réseau d'une entreprise. Ce contrôle est mis en place en interceptant les demandes d'application émises via la couche WINSOCK. Exemple :

Vous pouvez créer des éléments Connexion réseau un par un ou dans le cadre d'un groupe. Vous pouvez appliquer des groupes et des éléments à n'importe quelle règle, dans Éléments autorisés pour autoriser l'accès ou dans Éléments refusés pour refuser l'accès. Application Control (Contrôle des applications) intercepte et bloque l'accès réseau si les demandes émanent de ressources réseau refusées. L'exécution des applications n'est pas contrôlée.

L'accès est autorisé pour toutes les ressources réseau jusqu'à ce qu'il soit activement refusé.

Éléments de connexion réseau

Vous pouvez créer des éléments de connexion réseau pour toutes les ressources réseau et les ajouter à une configuration à l'aide des méthodes suivantes :

  • Ajout direct à une règle - L'ajout d'éléments de connexion réseau distincts aux listes Éléments autorisés et Éléments refusés s'avère particulièrement utile si vous avez besoin d'un niveau de contrôle plus granulaire ou que seulement quelques éléments sont nécessaires.Cependant, cette méthode peut demander beaucoup de temps.
  • Affectation à un groupe - Aucun élément de connexion réseau en double n'est autorisé au sein d'un même groupe.
  • Copier-coller - Vous pouvez couper, copier ou faire glisser des éléments de connexion réseau d'une règle à une autre. Il n'existe aucun élément de connexion réseau par défaut dans une configuration. Le chemin complet de l'élément Connexion réseau ne peut pas dépasser 400 caractères.

Ajouter une connexion réseau

Type de connexion

Sélectionnez l'un des types suivants :

  • Adresse IP - Sélectionnez cette option pour contrôler l'accès à une adresse IP spécifique.
  • Partage réseau - Sélectionnez cette option pour contrôler l'accès aux chemins UNC. Le préfixe \\ est ajouté au champ Hôte.
  • Nom d'hôte - Sélectionnez cette option pour contrôler l'accès à un nom d'hôte spécifique.

Options de connexion

La longueur totale combinée des trois champs Hôte, Port et Chemin ne doit pas dépasser 400 caractères.

Hôte

Adresse IP ou nom d'hôte de la connexion réseau. Cette valeur dépend du type de connexion choisi. Vous pouvez utiliser les caractères génériques ? et *.Vous pouvez utiliser le tiret (-) pour spécifier une plage, mais uniquement si l'option Adresse IP est sélectionnée.

L'adresse IP doit être au format octal IP4. Par exemple, n.n.n.n

Si vous avez sélectionné le type de connexion Partage réseau, le préfixe \\ est requis.

Vous pouvez entrer le chemin complet de la ressource cible dans le champ Hôte.

Exemple :

Entrez http://serveur1.entreprise.local:80/ressource1/ dans le champ Hôte.

Si vous cliquez hors du champ Hôte, le chemin est automatiquement divisé entre les différentes options de connexion :

  • La mention http:// est supprimée du champ Hôte et la mention serveur1.entreprise.local est conservée.
  • Le caractère deux-points (:) est supprimé et la valeur 80 est déplacée vers le champ Port.
  • La mention /ressource1/ est déplacée vers le champ Chemin.

Cela permet de copier et coller facilement un chemin entier.

Port

Numéro de port de la connexion réseau. Vous pouvez utiliser cette valeur en plus de l'adresse IP ou du nom d'hôte pour contrôler l'accès à un port spécifique. Les plages et les valeurs séparées par une virgule sont admises dans le numéro de port.

Cliquez sur Ports pour afficher la liste des ports couramment utilisés.Sélectionnez autant de ports que nécessaire.

Path

Chemin de la connexion réseau. Vous pouvez utiliser les caractères génériques ? et *. Pour utiliser

L'option Chemin n'est pertinente que pour contrôler HTTP et

  • Le texte contient des caractères génériques - Sélectionnez cette option pour utiliser les caractères ? et * comme caractères génériques dans le chemin. Si l'option n'est pas sélectionnée, ? et * sont considérés comme des délimiteurs d'URL.
  • Utiliser des expressions régulières - Sélectionnez cette option pour utiliser des expressions régulières pour le chemin sélectionné.
  • Inclure les sous-répertoires - Sélectionnez cette option pour inclure les sous-répertoires dans le traitement des règles.
  • Applicable uniquement si vous avez choisi le type de connexion Partage réseau.

Description

Entrez une description explicite pour décrire la connexion réseau.

Ajout d'un élément réseau directement à une règle

Vous pouvez ajouter des éléments réseau à n'importe quel nœud Éléments autorisés ou Éléments refusés. Par exemple, vous configurez un élément Connexion réseau pour une adresse IP. Cet élément Connexion réseau est affecté à Éléments refusés dans une règle de groupe. Les membres de groupe de cette règle n'auront accès à aucune ressource réseau portant cette adresse IP.

  1. Naviguez jusqu'au nœud voulu, par exemple, Éléments refusés ou Éléments autorisés pour un groupe d'utilisateurs spécifique.

  2. Dans le ruban Éléments de règle, sélectionnez Ajouter un élément > Refusé (ou Autorisé) > Élément de connexion réseau.

    La boîte de dialogue Ajouter une connexion réseau s'affiche.

  3. Indiquez les détails du type de connexion.
  4. Cliquez sur Ajouter.

Modification d'une connexion réseau directement dans une règle

  1. Naviguez dans l'arborescence de navigation jusqu'au nœud Règle où se trouve l'élément Connexion réseau à modifier.
  2. La zone de travail appropriée s'affiche.
  3. Cliquez sur l'élément Connexion réseau à modifier, sous Connexions réseau.
  4. Sélectionnez Modifier la connexion réseau dans le ruban Éléments de règle.
  5. La boîte de dialogue Modifier une connexion réseau s'affiche.
  6. Apportez les modifications nécessaires.
  7. Cliquez sur OK pour enregistrer les changements et fermer la boîte de dialogue.

Affectation d'un élément de connexion réseau à un groupe

  1. Naviguez jusqu'au nœud Gestion des groupes.
  2. Sélectionnez dans l'arborescence de navigation le groupe auquel ajouter le nouvel élément Connexion réseau.

  3. Cliquez avec le bouton droit dans la zone de travail et sélectionnez Ajouter > Connexion réseau.

    La boîte de dialogue Ajouter une connexion réseau s'affiche.

  4. Spécifiez les détails de la connexion réseau et cliquez sur Ajouter.

Modification d'un élément de connexion réseau dans un groupe

  1. Naviguez jusqu'au groupe voulu dans l'arborescence de navigation.

    La zone de travail Gestion des groupes s'affiche.

  2. Sélectionnez l'élément Connexion réseau à modifier, sous Connexions réseau.

  3. Sélectionnez Modifier l'élément dans le ruban Groupes.

    La boîte de dialogue Modifier une connexion réseau s'affiche.

  4. Apportez les modifications nécessaires.
  5. Cliquez sur OK pour enregistrer les changements et fermer la boîte de dialogue.

Application Network Access Control et recherche DNS inversée

La fonction Application Network Access Control (ANAC) peut utiliser des recherches DNS inversées lors de l'évaluation des règles de connexion réseau. Cette fonction est désactivée par défaut, car le temps qu'elle passe à récupérer les informations auprès des serveurs DNS peut dégrader les performances des applications réseau.

En activant cette fonction, vous vous assurez que les règles réseau sont plus efficaces dans les situations où les utilisateurs ou les applications émettent des demandes de ressource réseau, car le système utilise des adresses IP quand la configuration repose sur des noms d'hôte.

Vous pouvez activer la recherche DNS inversée en configurant un jeu de clés d'ingénierie.

Cette fonction nécessite que l'administrateur active et configure des zones de recherche DNS inversée sur les serveurs DNS.

Configuration d'entrées de recherche DNS inversée

Si vous utilisez les clés d'ingénierie pour configurer des entrées de recherche DNS inversée, ajoutez uniquement les adresses IP figurant dans l'infrastructure réseau de l'entreprise à la clé d'ingénierie appropriée.

Systèmes de fichiers distribués (DFS)

Un système de fichiers distribué (ou système de fichiers réseau) permet d'accéder aux fichiers partagés depuis plusieurs hôtes, via un réseau d'ordinateurs.Cela permet à plusieurs utilisateurs sur plusieurs machines de partager des fichiers et des ressources de stockage.Avec un DFS, les administrateurs système peuvent faciliter pour les utilisateurs l'accès et la gestion de fichiers physiquement distribués sur l'ensemble d'un réseau.

Vous disposez de deux méthodes pour mettre en place un système de fichiers distribué (DFS) sur un serveur :

  • Espaces de noms DFS autonomes
  • Domain-Based DFS Namespaces

Pour voir des exemples montrant les éléments qui peuvent figurer dans un scénario de domaine ou une installation autonome, consultez les consignes de Microsoft.

Pour les règles Application Network Access Control (ANAC) qui utilisent un partage réseau, et les fichiers ou dossiers qui font référence à des éléments dans un partage de système de fichiers distribué (DFS), vous devez spécifier le serveur cible au lieu du serveur d'espace de noms, dans le chemin UNC.L'agent Application Control (Contrôle des applications) remplace le chemin du serveur d'espace de noms par celui du serveur cible, si bien que le serveur d'espace de noms ne passe jamais par le moteur de règles.

Rubriques connexes

Options de règle