Onglet Vérification des postes clients (ZTNA)

Depuis la version SNS 4.8.1, il est possible de mettre en place une politique de vérification de la conformité des postes clients (ZTNA) établissant un tunnel VPN SSL à l'aide d'un client Stormshield VPN SSL en version 4.0.0 ou supérieure.

Lorsque cette vérification est activée, un poste de travail ou un utilisateur non conforme aux critères de la politique ne peut pas établir de tunnel VPN SSL avec le firewall SNS.

Activer la vérification des postes clients (ZTNA)

Cochez la case pour activer la fonctionnalité de vérification de la conformité des postes clients et des utilisateurs. Lorsqu'elle est activée :

  • Un client VPN SSL compatible peut établir un tunnel VPN SSL avec le firewall uniquement si tous les critères définis dans la politique sont respectés,

  • Un client VPN SSL non compatible ne peut pas établir de tunnel VPN SSL avec le firewall, sauf si le mode permissif est activé (voir ci-dessous).
Autoriser l’établissement de tunnels pour des clients non compatibles avec ZTNA

Cochez la case pour activer le mode permissif autorisant les clients VPN SSL non compatibles avec la fonctionnalité de vérification des postes clients à établir des tunnels VPN SSL avec le firewall SNS. Ce mode permissif permet :

  • De mettre à jour progressivement un parc de clients VPN SSL Stormshield vers une version compatible,
  • De continuer à utiliser d'autres clients VPN SSL sur les systèmes d'exploitation non compatibles avec le client VPN SSL Stormshield.

Paramètres de vérification des postes clients (ZTNA)

Définissez les critères de la politique de conformité des postes clients et des utilisateurs à vérifier. Vous devez cocher au moins un critère.

Antivirus du poste client actif et à jour

Le poste de travail doit disposer d'un logiciel antiviral actif avec les dernières mises à jour de base de données antivirale. Cette information se base sur l'état de l'antivirus reconnu par le centre de Sécurité Windows. Les antivirus tiers sont donc pris en charge tant que le centre de Sécurité Windows reconnait leur état.
Firewall actif sur le poste client

Le Pare-feu Windows doit être en cours d'exécution sur le poste de travail et les profils Réseau avec domaine, Réseau privé et Réseau public doivent être activés. Si un profil est inactif, le critère sera considéré comme non conforme.
SES installé sur le poste client

Dans les infrastructures ayant déployé la solution SES Evolution, l'agent SES doit être installée sur le poste de travail. 

À noter que la configuration et l'état de l'agent SES ne sont pas pris en compte.
Interdire les utilisateurs possédant les droits d’administration du poste client Un utilisateur disposant de droits d'administration sur le poste de travail ne peut pas établir de tunnels VPN SSL avec le firewall.
Vérifier les versions (numéro de build) de Windows 10 / Windows 11

Le poste de travail sous Windows 10 ou Windows 11 doit disposer des versions de Windows spécifiées (numéros de builds) pour établir un tunnel VPN SSL avec le firewall. En cochant cette case, vous activez la zone de paramétrage des versions exigibles.

 

Onglets Windows 10 et Windows 11

  • Autoriser une plage de versions : si vous choisissez cette option :
    • Vous devez préciser la Version minimale que doit posséder le poste de travail (par défaut 10000 pour Windows 10 et 20000 pour Windows 11),
    • Vous pouvez préciser la Version maximale que doit posséder le poste de travail. Laissez ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale précisée.
  • N’autoriser qu’une seule version : si vous choisissez cette option, vous devez préciser la version exacte de Windows que le poste de travail doit posséder.
Onglet Machine rattachée à un domaine

Si vous cochez la case La machine doit être rattachée à un domaine d’entreprise, vous devez ajouter dans la grille Liste des domaines Active Directory les domaines d'appartenance des postes de travail autorisés à établir un tunnel VPN SSL avec le firewall.

À noter que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall.
Onglet Utilisateur rattaché à un domaine

Si vous cochez la case L'utilisateur doit être rattaché à un domaine d’entreprise, vous devez ajouter dans la grille Liste des domaines Active Directory les domaines d'appartenance des utilisateurs autorisés à établir un tunnel VPN SSL avec le firewall.

Avec ce critère, le nom complet de l'utilisateur composé du domaine est vérifié. Ainsi, même si le poste de travail est rattaché à un domaine, un utilisateur local du poste de travail ne pourra pas établir de tunnel VPN SSL avec le firewall. À noter que ce critère n'est pas lié à la configuration d'un annuaire sur le firewall.
Version de Stormshield VPN SSL Client

Le poste de travail doit disposer des versions du Client VPN SSL Stormshield spécifiées pour établir un tunnel VPN SSL avec le firewall. En cochant la case Vérifier la version du client VPN SSL Stormshield, vous activez la zone de paramétrage des versions exigibles.

  • Autoriser une plage de versions : si vous choisissez cette option :
    • Vous devez préciser la Version minimale du client VPN SSL Stormshield autorisée (la version minimale autorisée est 4.0.0),
    • Vous pouvez préciser la Version maximale du client VPN SSL Stormshield autorisée. Laissez ce champ vide pour autoriser toutes les versions égales ou supérieures à la version minimale précisée.
  • N’autoriser qu’une seule version : si vous choisissez cette option, vous devez préciser la version exacte du client VPN SSL Stormshield autorisée (la version minimale autorisée est 4.0.0).

Message personnalisé

En cas d'échec d'établissement d'un tunnel VPN SSL du fait d'une non-conformité du poste de travail ou de l'utilisateur, le client VPN SSL Stormshield affiche le message "La connexion a été refusée car l'utilisateur ou le poste client utilisé n'est pas conforme à la politique définie sur le firewall" suivi d'un message additionnel en français, anglais et allemand.

Dans la zone de saisie, vous pouvez :

  • Modifier le message additionnel pour le personnaliser. Aucun mécanisme de traduction automatique n'est mis en place, vous devez donc prendre en charge sa traduction,
  • Supprimer le contenu si vous ne souhaitez pas afficher un message additionnel.

Vous pouvez réinitialiser le message additionnel en cliquant sur Revenir aux messages proposés par défaut.