Главная › Настройки › Сетевой коп: изучаем возможности новой технологии защиты сетевого доступа NAP

Сетевой коп: изучаем возможности новой технологии защиты сетевого доступа NAP

Ситуация, когда на одной рабочей станции не установлены последние заплатки,
на другой не работает брандмауэр, а на третьей — антивирус или антишпионское ПО,
встречается сплошь и рядом. А ведь безопасность всей Сети определяется самым
слабым звеном. Как же быть администратору с клиентскими компьютерами, не
удовлетворяющими требованиям безопасности?

Новая технология NAP

Технология защиты сетевого доступа NAP (Network Access Protection) ,
реализованная в Win2k8, призвана помочь администратору в поддержании
безопасности Сети на максимально высоком уровне. Принцип работы NAP заключается
в следующем. При подключении клиента к Сети проверяется наличие файрвола,
последних обновлений безопасности, обновлений антивирусных программ и т.д. Если
компьютер не удовлетворяет принятым политикам, в полном доступе ему будет
отказано до тех пор, пока выявленные проблемы не будут устранены. В зависимости
от настроек, компьютеры, не прошедшие контроль, либо блокируются полностью, либо
помещаются в карантин (например, им выдаются IP-адреса из другого диапазона).
Как вариант, можно настроить только журналирование подобных событий без принятия
каких-либо мер. В карантинной подсети могут располагаться коррекционные сервера
(Remediation Server ), предоставляющие ресурсы для устранения выявленных
недостатков, к примеру, сервер обновлений WSUS (Windows Server Update
Services) или антивирусная база. После обновления соответствие политикам
проверяется повторно, – если все нормально, система получает доступ в Сеть.
Среди настроек можно указать веб-страничку, на которой описано, почему
пользователь не может подключиться, и что ему для этого нужно сделать.

Так что, NAP выполняет не только блокирующие функции, но и является
средством, помогающим устранить найденные недостатки. Его работа не сводится к
однократной проверке при подключении (после которой пользователь может отключить
антивирус, «чтобы не мешал»). Проверка состояния производится периодически в
течение всего времени, когда компьютер подключен к Сети.

Для некоторых компьютеров (несовместимая ОС; ноутбук посетителя, которым
управлять не имеем права) может быть настроено исключение, позволяющее получить
доступ в любом случае.

Очень важно понимать, что сам по себе NAP не защищает Сеть и тем более
не заменяет антивирус и межсетевой экран. Он взаимодействует со многими
механизмами принуждения (DHCP, VPN, IPsec, IEEE 802.1x и TS-Gateway) для
повышения уровня безопасности. Собственно, одна из задач администратора при
развертывании NAP и заключается в выборе «своего» метода. Наиболее простым и в
реализации и по принципу действия является DHCP, – достаточно перестроить
таблицу маршрутизации, и клиент уже не сможет получить доступ в Сеть.
Модифицированная NAP совместимая DHCP-служба называется DHCP NAP Enforcement
Client (EC). Остальные методы более надежны, хотя потребуют дополнительных
настроек.

Разберем такой вариант. Вся клиентская система в порядке, только не
активирован брандмауэр. Что проще всего сделать в такой ситуации? Блокировать
доступ или объяснить пользователю, в чем его проблема? Нет. Проще включить
Windows Firewall. Вот тут мы подходим к еще одной важной особенности NAP
– клиент-серверная архитектура.

Для оценки состояния используется агент NAP либо уже встроенный в
систему, либо устанавливаемый отдельно. Агент передает отчет о соблюдении
установленных требований серверу сетевых политик (NPS, Network Policy Server )
отправкой специального SHV-маркера (System Health Validators) . NPS-сервер
является механизмом обработки политик, встроенным в Win2k8. Он пришел на замену
Internet Authentication Service (IAS) , который обеспечивал RADIUS
аутентификацию в Active Directory.

Кроме Win2k8, агент уже включен в состав Windows Vista и XP SP3. Сам агент
состоит из нескольких уровней. Это позволяет наращивать его возможности. За
проверку соответствия заданным требованиям отвечает агент состояния системы (System
Health Agents, SHA ). Причем, на компьютере может одновременно работать
несколько таких агентов. Собственный агент Microsoft SHA на основании
информации, полученной из Центра безопасности, проверяет, включен ли брандмауэр,
установлен ли антивирус и антишпионское ПО. Производители программ могут
добавлять SHA для поддержки своих продуктов. Агент карантина (Quarantine
Agent, QA ) создает отчеты о состоянии работоспособности SHA. И, наконец,
клиент принуждения (Enforcement Client, EC ) обеспечивает доступ к Сети,
основываясь на состоянии системы.

Имеющийся API позволяет третьим сторонам создавать реализации EC для своих
решений, а использование сетевого протокола идентификации IEEE 802.1X
гарантирует совместимость с различными видами устройств. В настоящее время
разработан протокол авторизации учетных данных узла (Host Credential
Authorization Protocol, HCAP ), обеспечивающий интеграцию и с подобной
разработкой Cisco NAC (Network Admission Control ). Активировать
поддержку HCAP можно на этапе установки сервера NPS. Имеются данные о
разработках агента Anyclick for NAP для Mac и Linux в UNETsystem (www.unetsystem.co.kr).
Компания Avenda (www.avendasys.com)
уже представила готовое (правда, не бесплатное) решение Avenda Linux NAP Agent
для использования в Linux.

Установка NPS

Роль NPS , как и большинство остальных ролей, по умолчанию не
устанавливается. Выбираем в «Диспетчере сервера» (Server Manager) ссылку
«Добавить роли» (Add roles), затем в окне выбора ролей отмечаем «Службы политики
сети и доступа» (Network Policy and Access Services). Попутно не забываем
устанавливать остальные роли, которые могут потребоваться (DHCP, службы
терминалов, VPN). В дальнейших настройках будем использовать DHCP, поэтому
отмечаем и роль «DHCP Server».

Переходим к выбору служб ролей (Select Role Services). Кроме HCAP, о котором
говорилось выше, и самого NPS, здесь имеется еще ряд пунктов, которые активируем
в зависимости от конфигурации. Так, «Центр регистрации работоспособности» (Health
Registration Authority, HRA) является компонентом NAP, обеспечивающим
безопасность IPSec. Роли HRA и HCAP потребуют наличия IIS и Windows Process
Activation Service. Запрос на их установку появится на соответствующем шаге.
Роль службы маршрутизации и удаленного доступа (Routing and Remote Access
Service, RRAS) необходима для клиентов, подключающихся удаленно (Dial-up & VPN,
NAT). Вот, собственно, и все. По окончании установки во вкладке «Роли» в
«Диспетчере сервера» появится новый пункт. Также в меню «Администрирование» (Administrative
Tools) станет доступна консоль «Сервер политики сети» (Network Policy Server).

Настройка NPS при помощи шаблона

Консоль управления позволяет настроить NPS-сервер несколькими способами.
Самый простой – выбрать нужную конфигурацию в раскрывающемся списке
«Стандартная конфигурация» (Standard Configuration) на заглавной странице.
Отсюда можно быстро настроить сервер NAP, а также RADIUS-сервер для удаленного
доступа (Dial-up & VPN) и IEEE 802.1x-подключения. К примеру, выбираем «Защита
доступа к сети» (Network Access Protection). После этого внизу страницы появится
ссылка на документацию. Для начала настройки нажимаем на «Настройка NAP» (Configure
NAP), – стартует мастер конфигурации. Самый важный шаг – определение в списке «Network
Connection method» метода подключения для NAP-совместимых клиентов. Здесь есть
все поддерживаемые NAP варианты: DHCP, IPSec с HRA, IEEE 802.1x Wired и Wireless,
VPN и TS-Gateway. Затем в поле «Имя политики» при необходимости уточняем
название правила и переходим к шагу выбора сервера принудительной защиты
доступа. Главное, не запутаться в терминологии, так как просят указать на RADIUS
клиента. Обычно это IEEE 802.1x-совместимый маршрутизатор или беспроводная точка
доступа.

Если на компьютере, на котором производится установка NPS, выполняется служба
DHCP, то этот шаг можно пропустить. В Сети может быть несколько DHCP-областей;
сервер NPS может контролировать их все или только некоторые. Шаг «Укажите
DHCP-области» (Specify DHCP Scopes) позволяет определить области, которые будут
контролироваться этим сервером. Если здесь ничего не указать, политика будет
применяться ко всем NAP-областям. Все добавленные DHCP-серверы должны также
поддерживать NPS. Теперь указываем группы пользователей и компьютеров, к которым
будут применяться правила. На следующей странице «Specify a NAP Remediation
Group and URL» задаем группу серверов обновлений, которые будут использоваться
клиентами. Если такой группы нет, то ее следует создать, нажав кнопку «Новая
группа». Чуть ниже, в строке «Trouble shooting URL», вводим адрес страницы с
инструкциями для пользователя (если она нужна) и переходим к определению
политики работоспособности NAP (Define NAP Health policy). Установленный флажок
«Включить автообновление клиентских компьютеров» (Enable auto-remediation of
client computers) разрешает получение обновлений клиентскими системами, не
удовлетворяющими политикам. Если этот параметр не выбран, клиенты, не
поддерживающие NAP, не обновятся автоматически и не смогут получить полный
доступ, пока не будут обновлены вручную. Переключатель внизу позволяет выбрать
ограничения доступа к Сети клиентам, не поддерживающим NAP. По умолчанию
разрешен только ограниченный доступ (Deny full network access …). Если по
какой-то причине для таких систем ограничений не предусмотрено, то переключаем в
полный доступ (Allow full network access …). После нажатия кнопки «Далее»
создаются политики и выводится отчет.

Знакомство с консолью NPS

Более тонко политики задаются в отдельных меню . Так в «RADIUS Server и
Clients» настраиваются клиенты и удаленные группы серверов RADIUS (Remote RADIUS
Server Groups). Если узел NPS будет настроен как RADIUS прокси, то на удаленные
сервера будут пересылаться запросы на подключение.

В меню «Политики» (Policies) указываются политики запросов на подключение (Connection
Request Policies, CRP), сетевые политики (Network Policies) и политики
работоспособности (Health Policies). В CRP-политиках определяется обработчик
запроса при подключении клиента. Это может быть как локальный узел, так и
удаленный (в случае с RADIUS). Так как ранее мы уже создали политики, используя
шаблон, то в списке присутствуют две записи: NAP DHCP и проверка подлинности
Windows. Чтобы добавить новую политику, следует в контекстном меню выбрать пункт
«Новый документ». После чего следовать указаниям мастера. В колонке «Статус»
показано, активна эта политика или нет, а цифра в соседней колонке указывает на
порядок ее обработки.

Для изменения политики следует дважды щелкнуть по имени. В появившемся окне
свойств – три вкладки. На вкладке «Обзор» (Overview) можно изменить имя
политики; сняв флажок «Политика включена» (Policy enabled), отключить проверку
этой политики сервером. Раскрывающийся список чуть ниже позволяет изменить тип
NPS-сервера (сейчас установлен DHCP-сервер). Активная политика будет применяться
без каких-либо ограничений. Во вкладке «Условия» (Conditions) задаются различные
ограничения для выбранной политики: по времени, IP-адресу, группе HCAP, по имени
пользователя, протоколу, типу службы и туннеля и т.д. В том числе, предусмотрены
и такие, как разработчик оборудования RADIUS. Все это позволяет задать
действительно гибкие правила, правда, тут придется немного потрудиться. И,
наконец, в третьей вкладке «Параметры» (Settings) настраиваются параметры для
политики сети, которые будут применены после проверки всех ограничений.
Большинство основных параметров NAP находятся в «Network Policies». Различают
два типа политик: разрешающая и запрещающая. После использования шаблона в
списке уже будут присутствовать пять политик, определяющих, кому и на каких
условиях будет разрешен или запрещен доступ. При выборе политики в окнах внизу
будут показаны условия и параметры. При необходимости их можно отредактировать,
вызвав мастера двойным щелчком. Новая политика создается аналогично предыдущему
пункту (выбор «Новый документ» в контекстном меню).

Обратимся к свойствам политики. Сразу обращаем внимание, что теперь вкладок
четыре: добавилась «Ограничения» (Constraints). А содержимое других вкладок чуть
изменилось. На вкладке «Обзор» указывается, разрешить или запретить доступ в
сеть клиентам, удовлетворяющим требованиям этой политики. Установленный по
умолчанию флажок «Ignore user account dial-in properties» позволяет игнорировать
свойства удаленного доступа учетной записи пользователя, если запрос на
подключение удовлетворяет политикам. Настройка методов проверки подлинности
перекочевала в «Ограничения». Здесь же указывается тайм-аут простоя и сеанса,
ограничения по времени, тип порта NAS и некоторые другие. Соответственно,
несколько изменилось содержимое вкладки «Параметры». В ней настраиваются
IP-фильтры (позволяющие определить, какие пакеты обрабатывать этим интерфейсом),
шифрование, дополнительные атрибуты RADIUS, обработка многоканальных
подключений. Политика назначения клиенту IP-адреса определяется в подпункте «IP
Setting». Выбрав «Принудительное использование NAP» (NAP Enforcement), мы
настраиваем уровень применения правил NAP. Это может быть полный доступ к Сети,
полный доступ в ограниченное время (испытательный срок) и ограниченный доступ.

Наличие разрешающих политик и настроек может немного запутать. На этапе
подготовки нужно четко определиться с задачами и представлять конечный
результат, чтобы не активировать ничего лишнего. Так, параметры сетевой политики
для «правильных» клиентов должны разрешать полный доступ, автообновление должно
быть выключено. Для нарушителей, наоборот – ограниченный доступ и активируем
автообновление.

Группа серверов обновлений задается в окне, появляющемся при нажатии кнопки
«Настроить» (Configure). За автообновление клиентских компьютеров отвечает
флажок «Enable auto-remediation of client computers».

Конфигурации, необходимые для доступа к Сети NAP-совместимым клиентам,
создаются в «Политики работоспособности». После использования шаблона здесь две
политики: DHCP Совместимый и DHCP Несовместимый. Вторая определяет клиентов,
которые не прошли одну или несколько SHV-проверок.

Непосредственно параметры SHV и группы серверов обновлений настраиваются в
меню «Защита доступа к Сети». По умолчанию в NPS присутствует только один SHV –
«Средство проверки работоспособности системы безопасности Windows» (Windows
Security Health Validator). Двойным щелчком вызываем окно свойств, в котором
представлены способы разрешения кода ошибки в различных ситуациях (SHV не может
связаться со службами или не отвечает, SHA не отвечает клиенту и т.д.). По
умолчанию при возникновении любой ошибки клиенту устанавливается статус
«Несовместимый». Нажав на кнопку «Настроить», получим возможность указать
требования к клиентским компьютерам (отдельно Windows XP и Vista):

должен ли быть включен Windows Firewall (или другой совместимый
брандмауэр);
должна ли быть включена антивирусная программа и насколько актуальна ее
версия;
работает ли Windows Defender или другое антишпионское ПО и насколько оно
актуально (только для Vista);
включено ли автоматическое обновление;
установлены ли обновления безопасности с заданным уровнем, с указанием
времени последней проверки наличия обновлений.

Последнее меню – «Учетные данные» (Accounting) – отвечает за настройки
журналирования событий NPS. Для хранения журналов можно использовать локальный
файл или базу SQL-сервера (в том числе и удаленного). При использовании
локального хранилища события будут отображаться в Event Viewer.

Настройка клиента NAP

Настройка NAP клиента производится при помощи MMC консоли «Конфигурация
клиента NAP» (NAP Client Configuration), доступной в совместимых версиях ОС.
По умолчанию она не выводится в списке, поэтому ее необходимо добавить
самостоятельно . Запускаем mmc из командной строки и добавляем новую оснастку
«Консоль» – «Добавить или удалить оснастку». Выбираем в списке «Конфигурация
клиента NAP» и нажимаем кнопку «Добавить». В появившемся окне отмечаем
компьютер, на котором будет выполняться оснастка (обычно это локальная система).
После нажатия на «ОК» в окне MMC появляется новая консоль, в корне которой
предложено три настройки: клиент системы ограничений (Enforcement Client),
параметры интерфейса пользователя (User Interface Settings) и параметры
регистрации работоспособности (Health Policies). Список поддерживаемых
механизмов NAP доступен в «Enforcement Client» (по умолчанию все отключены).
Например, для активации механизма DHCP выделяем «Клиент принудительного
карантина для DHCP» (DHCP Quarantine Enforcement Client) и нажимаем «Включить».
Пункт «User Interface Setting» позволяет задать рисунок значка NAP-клиента и
поясняющий текст.

Если компьютеров много, то ручная настройка клиентов займет много времени. В
этом случае следует использовать групповые политики, которые расположены в узле
Конфигурация компьютера/Установки Windows/Настройки безопасности/Защита доступа
к Сети (Computer Configuration/Windows Setting/Security Setting/Network Access
Protection).

Заключение

Новая технология Network Access Protection позволяет повысить
безопасность Сети, блокировав или ограничив доступ незащищенным клиентским
компьютерам. Особенно это актуально для удаленных систем, как правило,
неподконтрольных администратору и служащих основными источниками неприятностей.

WARNING

Сам по себе NAP не защищает Сеть и, тем более, не заменяет антивирус и
межсетевой экран.

NAP не предназначен для защиты от инсайдеров и других подобных типов
внутренних угроз, когда пользователь обладает в Сети особыми правами,
позволяющими выполнять злонамеренные действия как умышленно, так и случайно.

Лекция 5 Защита доступа к сети

Тема: Защита доступа к сети

Защита доступа к сети (NAP) – это новый набор компонентов операционной системы в Windows Server® 2008 и Windows Vista®, предоставляющий платформу, которая помогает обеспечивать соответствие клиентских систем в частной сети требованиям к работоспособности, заданным администратором. Политики NAP определяют необходимое состояние конфигурации и обновления для операционной системы и критически важного программного обеспечения на клиентских компьютерах. Например, они могут требовать, чтобы на компьютерах использовалось антивирусное программное обеспечение с новейшими сигнатурами, были установлены необходимые обновления операционной системы и включен индивидуальный брандмауэр. Обеспечивая соответствие требованиям к работоспособности, защита доступа к сети помогает администраторам сети уменьшить риск, связанный с неправильной настройкой клиентских компьютеров, из-за чего они могут оказаться уязвимы для вирусов и других вредоносных программ.

Для чего нужна защита доступа к сети?

Защита доступа к сети обеспечивает соблюдение требований к работоспособности, отслеживая и оценивая работоспособность клиентских компьютеров, когда они пытаются подключиться к сети или передать по ней данные. При обнаружении клиентских компьютеров, которые не соответствуют требованиям, они могут быть помещены в сеть с ограниченным доступом, содержащую ресурсы, помогающие привести клиентские системы в соответствие политикам работоспособности.

Для кого предназначена эта возможность

Защита доступа к сети может заинтересовать администраторов сетей и систем, которым необходимо обеспечить соответствие клиентских компьютеров, подключающихся к сети, требованиям к работоспособности. Защита доступа к сети дает администраторам сети следующие возможности:

Обеспечивать в локальной сети работоспособность настольных компьютеров, настроенных для использования протокола DHCP, подключающихся к сети через устройства проверки подлинности 802.1X или выполняющих обмен данными в соответствии с политиками NAP IPsec;

Обеспечивать соблюдение требований к работоспособности мобильных компьютеров при их повторном подключении к корпоративной сети;

Проверять соответствие политикам и работоспособность неуправляемых домашних компьютеров, подключающихся к корпоративной сети через сервер виртуальной частной сети со службами маршрутизации и удаленного доступа;

Определять работоспособность мобильных компьютеров, принадлежащих посетителям и партнерам организации, и ограничивать доступ к ресурсам организации для этих компьютеров.

В зависимости от конкретных требований администраторы могут создать и настроить решение, пригодное для использования во всех этих сценариях.

Защита доступа к сети включает также набор прикладных программных интерфейсов (API), позволяющих разработчикам и поставщикам создавать собственные компоненты для проверки сетевых политик, обеспечения соответствия требованиям и изоляции сети.

Некоторые дополнительные особенности

Для развертывания защиты доступа к сети необходимы серверы с ОС Windows Server 2008, а также клиентские компьютеры с ОС Windows Vista, Windows Server 2008 или Windows XP с пакетом обновления 3 (SP3). Центральным сервером, который выполняет анализ работоспособности для защиты доступа к сети, должен быть компьютер с ОС Windows Server 2008 с сервером политики сети (NPS).

Сервер политики сети – это реализация RADIUS-сервера и RADIUS-прокси для систем Windows. Он заменяет службу проверки подлинности в Интернете в системе Windows Server 2003. Устройства доступа и серверы NAP являются клиентами для RADIUS-сервера на базе сервера политики сети. Сервер политики сети выполняет проверку подлинности и авторизацию при попытках подключения к сети, определяет, соответствуют ли компьютеры заданным политикам работоспособности, и ограничивает доступ к сети для компьютеров, которые им не соответствуют.

Новые возможности

Платформа NAP представляет собой новую технологию проверки работоспособности клиентов и обеспечения их соответствия требованиям, входящую в операционные системы Windows Server 2008 и Windows Vista.

Значение этой возможности

Одной из самых важных проблем для современных компаний является повышение уязвимости клиентских устройств перед вредоносным программным обеспечением, таким как вирусы и вирусы-черви. Эти программы могут попасть на незащищенные или неправильно настроенные компьютеры и использовать их для распространения на другие устройства в корпоративной сети. Платформа NAP позволяет администраторам защитить сети, обеспечив соответствие клиентских систем требованиям к конфигурации и уровню обновления для их защиты от вредоносных программ.

Ключевые процессы защиты доступа к сети

Для правильной работы защиты доступа к сети должны быть реализованы процессы проверки соответствия политике, применения защиты доступа к сети и ограничения доступа, а также обновления систем и непрерывной проверки их соответствия требованиям.

Проверка соответствия политике

Для анализа состояния работоспособности клиентских компьютеров сервер политики сети использует средства проверки работоспособности системы. Эти средства интегрируются в политики сети, определяющие на основе состояния работоспособности клиентов действия, которые необходимо выполнить (например, предоставить полный или ограниченный доступ к сети). Состояние работоспособности отслеживают клиентские компоненты NAP, которые называются агентами работоспособности системы. Средства проверки работоспособности системы и агенты работоспособности системы используются компонентами защиты доступа к сети для отслеживания, применения и обновления конфигураций клиентских компьютеров.

В состав операционных систем Windows Server 2008 и Windows Vista входят агент работоспособности системы безопасности Windows и средство проверки работоспособности системы безопасности Windows, которые обеспечивают соответствие компьютеров с поддержкой NAP следующим требованиям:

На клиентском компьютере должен быть установлен и включен программный брандмауэр;

На клиентском компьютере должно быть установлено и включено анти-вирусное ПО;

На клиентском компьютере должны быть установлены текущие обновления антивирусного ПО;

На клиентском компьютере должна быть установлена и включена анти-шпионская программа;

На клиентском компьютере установлены текущие обновления антишпионской программы;

На клиентском компьютере включены службы обновления Microsoft.

Кроме того, если на клиентских компьютерах с поддержкой защиты доступа к сети выполняется агент центра обновления Windows и они зарегистрированы на сервере служб Windows Server Update Service (WSUS), защита доступа к сети может проверить наличие наиболее свежих обновлений программного обеспечения системы безопасности с использованием одного из четырех возможных значений, которые соответствуют уровням угроз для системы безопасности, определяемым центром Microsoft Security Response Center.

Применение защиты доступа к сети и ограничение доступа к сети

Защиту доступа к сети можно настроить так, чтобы клиентские компьютеры, не соответствующие политикам, не могли получить доступ к сети или могли получить только ограниченный доступ. Сеть с ограниченным доступом должна содержать ключевые службы NAP, такие как серверы центра регистрации работоспособности и серверы обновлений, чтобы клиенты NAP, не соответствующие требованиям, могли обновить свои конфигурации в соответствии с требованиями к работоспособности.

Параметры применения защиты доступа к сети позволяют или ограничить доступ к сети для клиентов, не соответствующих требованиям, или просто включить отслеживание и регистрацию состояния работоспособности клиентских компьютеров, поддерживающих защиту доступа к сети.

Используя указанные ниже параметры, можно ограничить доступ, отложить ограничение доступа или разрешить доступ.

Разрешить полный доступ к сети. Этот вариант используется по умолчанию. Клиенты, которые отвечают условиям политики, считаются соответствующими требованиям к работоспособности и получают неограниченный доступ к сети, если запрос на подключение проходит проверку подлинности и авторизацию. При этом регистрируется соответствие клиентов с поддержкой NAP требованиям к работоспособности.

Разрешить полный доступ к сети в ограниченное время. Клиентам, которые соответствуют требованиям политики, временно предоставляется неограниченный доступ к сети. Защита доступа к сети не применяется до заданных даты и времени.

Разрешить ограниченный доступ. Клиентские компьютеры, которые отвечают условиям политики, не считаются соответствующими требованиям к работоспособности и помещаются в сеть с ограниченным доступом.

Обновление

Клиентские компьютеры, не соответствующие требованиям и помещенные в сеть с ограниченным доступом, могут пройти процедуру обновления.

Обновлением называется процесс обновления клиентского компьютера для приведения его характеристик в соответствие с текущими требованиям к работоспособности. Например, сеть с ограниченным доступом может содержать FTP-сервер, предоставляющий новые сигнатуры вирусов, чтобы клиентские компьютеры, не соответствующие требованиям, могли обновить устаревшие сигнатуры.

Параметры защиты доступа к сети можно использовать в политиках сети сервера политики сети для настройки автоматического обновления, чтобы клиентские компоненты защиты доступа к сети автоматически пытались обновить клиентский компьютер, если он не соответствует требованиям политики. Для настройки автоматического обновления можно использовать параметр политики сети, указанный ниже.

Автообновление. Если задан параметр Включить автообновление клиентских компьютеров, автоматическое обновление включено и компьютеры с поддержкой NAP, не соответствующие требованиям к работоспособности, автоматически пытаются выполнить обновление.

Постоянное наблюдение для обеспечения соответствия требованиям

Защита доступа к сети может обеспечивать соответствие клиентских компьютеров, уже подключенных к сети, требованиям к работоспособности. Эта возможность полезна, если требуется обеспечить постоянную защиту сети независимо от изменений политик работоспособности и характеристик работоспособности клиентских компьютеров. Например, если политика работоспособности требует, чтобы брандмауэр Windows был включен, а пользователь случайно отключил его, компоненты защиты доступа к сети могут определить, что компьютер уже не соответствует требованиям, и поместить его в сеть с ограниченным доступом до тех пор, пока брандмауэр Windows снова не будет включен.

Если автоматическое обновление включено, клиентские компоненты защиты доступа к сети могут автоматически включить брандмауэр Windows без участия пользователя.

Способы применения защиты доступа к сети

Защита доступа к сети может разрешить полный или ограниченный доступ к сети либо запретить доступ с учетом состояния работоспособности клиентского компьютера. Клиентские компьютеры, не соответствующие политикам работоспособности, могут быть автоматически обновлены для приведения в соответствие им. Способ применения защиты доступа к сети можно выбрать из нескольких доступных вариантов. Технология защиты доступа к сети применяет политики работоспособности для следующих элементов:

Трафик, защищенный с помощью протокола IPsec;

Управление доступом к проводной и беспроводной сети с использованием портов 802.1X;

Виртуальные частные сети (VPN) с маршрутизацией и удаленным доступом;

Аренда и обновление адресов IPv4 протокола DHCP;

Подключения к серверу шлюза служб терминалов;

Эти способы применения защиты доступа к сети описаны в приведенных ниже подразделах.

Применение защиты доступа к сети для соединений IPsec

Применение защиты доступа к сети для трафика, защищенного с помощью протокола IPsec, обеспечивается с помощью сервера сертификатов работоспособности, сервера центра регистрации работоспособности, сервера политики сети и клиента принудительной защиты доступа к сети с помощью IPsec. Когда клиенты защиты доступа к сети приводятся в соответствие требованиям к работоспособности, сервер сертификации работоспособности выдает им сертификаты X.509. Впоследствии эти сертификаты используются для проверки подлинности клиентов защиты доступа к сети, когда они инициируют обмен данными, защищенный с помощью протокола IPsec, с другими клиентами защиты доступа к сети, находящимися в интрасети.

Применение защиты доступа к сети для трафика IPsec обеспечивает возможность обмена данными в сети только для клиентов, соответствующих требованиям, и является наиболее строгим способом реализации защиты доступа к сети. Поскольку при этом используется протокол IPsec, можно определять требования к безопасному взаимодействию как для отдельных IP-адресов, так и для отдельных номеров портов TCP/UDP.

Применение защиты доступа к сети для стандарта безопасности 802.1X

Применение защиты доступа к сети для управления доступом к сети с использованием портов 802.1X реализуется с помощью сервера политики сети и клиентского компонента принудительной защиты доступа к сети EAPHost. При применении защиты доступа к сети с использованием портов 802.1X сервер политики сети указывает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X поместить клиентов 802.1X, не соответствующих требованиям, в сеть с ограниченным доступом. Сервер политики сети ограничивает доступ клиентов к сети, указывая точке доступа применить к подключению IP-фильтры или виртуальный идентификатор локальной сети. Система ограничений 802.1X обеспечивает строгое ограничение доступа к сети для всех компьютеров, получающих доступ к сети с использованием устройств доступа к сети, поддерживающих стандарт безопасности 802.1X.

Применение защиты доступа к сети для виртуальных частных сетей

Применение защиты доступа к сети для виртуальных частных сетей реализуется с помощью серверного и клиентского компонентов принудительной защиты доступа к сети для виртуальных частных сетей. Благодаря защите доступа к сети для виртуальных частных сетей серверы виртуальных частных сетей могут применять политику работоспособности, когда клиентские компьютеры пытаются соединиться с сетью через VPN-подключение удаленного доступа. Применение защиты доступа к сети для виртуальных частных сетей обеспечивает строгое ограничение доступа для всех компьютеров, соединяющихся с сетью через VPN-подключение удаленного доступа.

Применение защиты доступа к сети для протокола DHCP

Применение защиты доступа к сети для протокола DHCP реализуется с помощью серверного и клиентского компонентов принудительной защиты доступа к сети DHCP и сервера политики сети. Система ограничений DHCP позволяет серверу политики сети и DHCP-серверам применять политику работоспособности, когда компьютер предпринимает попытку арендовать или обновить адрес IPv4. Сервер политики сети предоставляет клиенту только ограниченный доступ к сети, указывая DHCP-серверу назначить клиенту ограниченную конфигурацию IP-адреса. Однако если клиентские компьютеры имеют статические IP-адреса или по иным причинам не используют ограниченную конфигурацию IP-адресов, применение защиты доступа к сети для протокола DHCP является неэффективным.

Применение защиты доступа к сети для шлюза служб терминалов

Применение защиты доступа к сети для шлюза служб терминалов реализуется с помощью серверного и клиентского компонентов принудительной защиты доступа к сети для шлюза служб терминалов. Используя защиту доступа к сети для шлюза служб терминалов, сервер шлюза служб терминалов может применять политику работоспособности к клиентским компьютерам, пытающимся подключиться к внутренним корпоративным ресурсам через сервер шлюза служб терминалов. Защита доступа к сети для шлюза служб терминалов обеспечивает строгое ограничение доступа для всех компьютеров, получающих доступ к сети через сервер шлюза служб терминалов.

Комбинированные подходы

Каждый способ применения защиты доступа к сети имеет свои сильные и сла-бые стороны. Сочетание разных способов позволяет объединить их преимущества. Однако развертывание нескольких способов применения защиты доступа к сети может затруднить управление ими.

Платформа защиты доступа к сети предоставляет набор API-интерфейсов, с помощью которых сторонние компании могут интегрировать в нее свое программное обеспечение. Используя эти API-интерфейсы, разработчики и поставщики программного обеспечения могут создавать законченные решения для проверки работоспособности клиентов и обновления клиентов, не соответствующих требованиям.

Подготовка к развертыванию

Меры по подготовке к развертыванию защиты доступа к сети зависят от вы-бранных способов ее применения и требований к работоспособности, которые будут предъявляться к клиентским компьютерам, подключающимся к сети или передающим по ней данные.

Администраторы сетей или систем могут развернуть защиту доступа к сети с помощью агента работоспособности системы безопасности Windows и средства проверки работоспособности системы безопасности Windows. Кроме того, можно узнать у других поставщиков программного обеспечения, предоставляют ли они агенты работоспособности системы и средства проверки работоспособности системы для своих продуктов. Например, если поставщик антивирусного ПО желает создать решение для защиты доступа к сети, включающее его собственные агенты работоспособности системы и средства проверки работоспособности, он может воспользоваться набором API для создания этих компонентов. Затем эти компоненты могут быть интегрированы в решения для защиты доступа к сети, развертываемые заказчиками данного поставщика программного обеспечения.

Помимо агентов работоспособности системы и средств проверки работоспособности системы платформа защиты доступа к сети использует различные клиентские и серверные компоненты для регистрации и отслеживания работоспособности клиентских компьютеров, когда они пытаются подключиться к сети или передать по ней данные. Некоторые компоненты, обычно используемые для развертывания защиты доступа к сети, показаны на приведенном ниже рисунке.

Клиентские компоненты защиты доступа к сети

Клиент с поддержкой защиты доступа к сети представляет собой компьютер, на котором установлены компоненты защиты доступа к сети и который способен проверять свое состояние работоспособности путем отправки сведений о состоянии работоспособности серверу политики сети. Часто используемые клиентские компоненты защиты доступа к сети описаны ниже.

Агент работоспособности системы. Агент работоспособности системы от-слеживает и сообщает состояние работоспособности клиентского компьютера, чтобы сервер политики сети мог контролировать состояние обновления и правильность настройки параметров, за которыми следит агент. Например, агент работоспособности системы безопасности Windows может следить за работой брандмауэра Windows, проверять, что антивирусное ПО установлено, включено и обновлено, что антишпионские программы установлены, включены и обновлены, что службы обновления Microsoft включены и на компьютере установлены самые новые обновления для системы безопасности от служб обновления Microsoft. Агенты работоспособности системы, предлагаемые сторонними компаниями, могут обеспечивать дополнительные возможности.

Агент защиты доступа к сети. Агент защиты доступа к сети собирает сведе-ния о работоспособности и управляет ими. Кроме того, он обрабатывает сведения о состоянии работоспособности, полученные от агентов работоспособности системы, и создает отчеты о работоспособности клиента для установленных клиентов принудительной защиты доступа к сети. Для указания общего состояния работоспособности клиента защиты доступа к сети агент защиты доступа к сети использует системное состояние работоспособности.

Клиент принудительной защиты доступа к сети. Для использования защиты доступа к сети на клиентском компьютере должен быть установлен и включен хотя бы один клиент принудительной защиты доступа к сети. Как было сказано выше, каждый клиент принудительной защиты доступа к сети использует лишь определенный способ применения защиты доступа к сети. Клиенты принудительной защиты доступа к сети интегрируются с технологиями доступа к сети, такими как протокол IPsec, управление доступом к проводной и беспроводной сети с использованием портов 802.1X, виртуальная частная сеть с маршрутизацией и удаленным доступом, протокол DHCP и шлюз служб терминалов. Клиент принудительной защиты доступа к сети запрашивает доступ к сети, передает сведения о состоянии работоспособности клиентского компьютера серверу политики сети и сообщает об ограниченном статусе клиентского компьютера другим компонентам клиентской архитектуры защиты доступа к сети.

Состояние работоспособности. Состояние работоспособности – это декларация агента работоспособности системы, в которой определяется его статус работоспособности. Агенты работоспособности системы создают состояния работоспособности и отправляют их агенту защиты доступа к сети.

Серверные компоненты защиты доступа к сети

Часто используемые серверные компоненты защиты доступа к сети описаны ниже.

Сервер политики работоспособности защиты доступа к сети. На этом сервере работает сервер политики сети, выполняющий функции сервера оценки работоспособности NAP. Сервер политики работоспособности NAP включает политики работоспособности и политики сети, определяющие требования к работоспособности и параметры применения защиты доступа к сети для клиентских компьютеров, запрашивающих доступ к сети. Сервер политики работоспособности NAP использует сервер политики сети для обработки сообщений RADIUS с запросом доступа, содержащих системное состояние работоспособности, отправленное клиентом принудительной защиты доступа к сети, и передает их для оценки серверу администрирования NAP.

Сервер администрирования NAP. Сервер администрирования NAP по функциональности схож с агентом защиты доступа к сети на клиентской стороне. Он отвечает за сбор сведений о состоянии работоспособности с точек применения защиты доступа к сети и доставку этих сведений соответствующим средствам проверки работоспособности системы, а также за получение откликов о состоянии работоспособности от средств проверки работоспособности системы и их передачу для оценки службе сервера политики сети.

Средства проверки работоспособности системы. Средства проверки работоспособности системы – это серверные аналоги агентов работоспособности системы. Каждому агенту работоспособности системы на клиентском компьютере соответствует средство проверки работоспособности системы на сервере политики сети. Средства проверки работоспособности системы проверяют состояние работоспособности, созданное соответствующим агентом работоспособности системы на клиентском компьютере. Средства проверки работоспособности системы и агенты работоспособности системы сопоставлены друг с другом, а также с соответствующим сервером состояния работоспособности (если это уместно) и, возможно, с сервером обновлений. Средство проверки работоспособности системы может также выявить, что состояние работоспособности не получено (например, если агент работоспособности системы не был установлен либо был поврежден или удален). Независимо от того, соответствует ли состояние работоспособности требованиям определенной политики или нет, средство проверки работоспособности системы отправляет серверу администрирования NAP сообщение с откликом о состоянии работоспособности. В одной сети могут работать несколько средств проверки работоспособности системы разных видов. В этом случае сервер политики сети должен координировать вывод всех средств проверки работоспособности системы и определять, необходимо ли ограничить доступ к сети для компьютера, не соответствующего требованиям. Если используются несколько средств проверки работоспособности системы, необходимо понимать их взаимодействие и тщательно планировать действия при настройке политик работоспособности.

Сервер принудительной защиты доступа к сети. Сервер принудительной защиты доступа к сети сопоставляется с соответствующим клиентом принудитель-ной защиты доступа к сети для используемого способа применения защиты доступа к сети. Сервер принудительной защиты доступа к сети получает список состояний работоспособности от клиента принудительной защиты доступа к сети и передает их для оценки серверу политики сети. На основе отклика он предоставляет клиенту защиты доступа к сети ограниченный или неограниченный доступ к сети. В зависимости от типа применения защиты доступа к сети клиент принудительной защиты доступа к сети может быть компонентом точки применения защиты доступа к сети.

Точка NAP. Сервер или устройство доступа к сети, которое использует защиту доступа к сети или может быть использовано с ней для определения требования оценки состояния работоспособности клиента защиты доступа к сети и предоставления ограниченного доступа к сети или соединения. Точка NAP может быть центром регистрации работоспособности (в случае принудительной защиты доступа к сети с помощью IPsec), коммутатором проверки подлинности или точкой беспроводного доступа (в случае применения системы ограничений 802.1x), сервером со службой маршрутизации и удаленного доступа (в случае обеспечения работоспособности DHCP) или сервером шлюза служб терминалов (в случае применения карантина шлюза сервера терминалов).

Сервер состояния работоспособности. Программный компонент, который взаимодействует со средством проверки работоспособности системы при предоставлении сведений, используемых для оценки требований к работоспособности системы. Например, сервером состояния работоспособности может быть сервер сигнатур вирусов, предоставляющий версию текущего файла сигнатур для проверки состояния работоспособности клиентского антивирусного ПО. Серверы состояния работоспособности сопоставляются со средствами проверки работоспособности системы, но не все средства проверки работоспособности системы нуждаются в сервере состояния работоспособности. Например, средство проверки работоспособности системы может указать клиентам с поддержкой защиты доступа к сети проверить параметры локальной системы, чтобы гарантировать, что индивидуальный брандмауэр включен.

Сервер обновлений. Сервер обновлений содержит обновления, которые могут использоваться агентами защиты доступа к сети для приведения клиентских компьютеров в соответствие политике. Например, на сервере обновлений могут храниться обновления программного обеспечения. Если политика работоспособности требует, чтобы на клиентских компьютерах защиты доступа к сети были установлены последние обновления программного обеспечения, клиент принудительной защиты доступа к сети ограничит доступ к сети для клиентов, на которых эти обновления не установлены. Серверы обновлений должны быть доступны клиентам с ограниченным доступом к сети, чтобы клиенты могли получать обновления, необходимые для соответствия политикам работоспособности.

Один из аспектов сетевой безопасности, который расстраивает многих администраторов, заключается в том, что у них нет контроля над конфигурацией удаленных компьютеров. Хотя корпоративная сеть может иметь очень безопасную конфигурацию, в настоящий момент ничто не может помешать удаленному пользователю подключиться к корпоративной сети с помощью компьютера, который заражен вирусами, или который не содержит необходимых обновлений. Инструмент операционной системы Longhorn Server под названием Network Access Protection (защита доступа к сети, NAP) позволит изменить такую ситуацию. В этой статье я расскажу вам об инструменте NAP и покажу, как он работает.

Когда я работал сетевым администратором, одна из вещей, которая меня очень расстраивала, заключалась в том, что у меня был очень слабый контроль над удаленными пользователями. Согласно бизнес требованиям моей организации, у удаленных пользователей должна была существовать возможность подключения к корпоративной сети из любого места вне офиса. Проблема заключалась в том, что хотя я предпринимал экстремальные меры для защиты корпоративной сети, у меня не было абсолютно никакого контроля над компьютерами, который пользователи могли бы использовать для удаленного подключения к сети. В конце концов, домашний компьютер сотрудника не является собственностью компании.

Причина, по которой это так сильно меня расстраивало, заключалась в том, что я никогда не знал, в каком состоянии находится компьютер пользователя. Иногда, удаленные пользователи могли подключаться к сети с помощью компьютера, который заражен вирусами. Иногда, компьютер удаленного пользователя мог работать на устаревшей версии операционной системы Windows. Хотя я предпринимал шаги по защите корпоративной сети, я всегда боялся, что удаленный пользователь с неадекватной защитой может инфицировать файлы в сети вирусом, или случайно открыть важную корпоративную информацию, потому что его компьютер может быть заражен трояном.

Однако несколько лет назад появился луч надежды. Компания Microsoft подготовилась к выпуску операционной системы Windows Server 2003 R2, в которой велся разговор о новом инструменте под названием NAP. Чтобы немного сократить историю, расскажу лишь, что чтобы настроить безопасность сети с помощью более ранних версий этого инструмента, необходимо было иметь ученую степень в области компьютерной безопасности. И поэтому инструмент NAP был удален из окончательной версии R2.

Компания Microsoft проделала большой объем работы по усовершенствованию инструмента NAP с того времени, и теперь инструмент NAP одним из основных инструментов для безопасности в операционной системе Longhorn Server. Хотя версия инструмента NAP для операционной систем Longhorn будет гораздо более простой в настройке, чем невышедшая версия для Windows Server 2003, она по-прежнему остается весьма сложной. Поэтому целью написания этой статьи было то, чтобы предоставить вам описание инструмента NAP, а также показать вам, как он работает еще до выхода официальной версии операционной системы Longhorn Server.

Для начала

Перед тем как я продолжу, я хочу объяснить еще одну вещь относительно инструмента NAP. Назначение инструмента NAP заключается в том, чтобы убедиться, что компьютер удаленного пользователя удовлетворяет требованиям безопасности вашей организации. NAP ничего не делает, чтобы предотвратить неавторизованный доступ к вашей сети. Если у злоумышленника есть компьютер, который удовлетворяет требованиям по безопасности вашей компании, то NAP ничего не сделает, чтобы попытаться остановить злоумышленника. Защита от злоумышленников, которые пытаются получить доступ к сетевым ресурсам – это задача других механизмов безопасности. NAP спроектирован для того, чтобы просто запретить вход в вашу сеть разрешенным пользователям, которые используют небезопасные компьютеры.

Еще одну вещь, о которой я хочу упомянуть, перед тем как продолжить свой рассказ дальше, заключается в том, что инструмент NAP отличается от инструмента Network Access Quarantine Control, который присутствует в операционной системе Windows Server 2003. Инструмент Network Access Quarantine Control использует ограниченные политики для контроля удаленных компьютеров, но он подчиняется NAP.

Основы защиты доступа к сети

Инструмент NAP спроектирован, чтобы расширить корпоративный VPN. Процесс начинается, когда клиент устанавливает VPN сессию с сервером Longhorn, на котором запущена служба Routing and Remote Access (маршрутизация и удаленный доступ). После того, как пользователь устанавливает соединение, сервер сетевой политики проверяет состояние удаленной системы. Это обеспечивается путем сравнения конфигурации удаленного компьютера с политикой сетевого доступа, которая определена администратором. Что происходит дальше, зависит от того, что администратор прописал в этой политике.

У администратора есть настройка для конфигурации либо политики мониторинга (monitoring only policy), либо политики изоляции (isolation policy). Если включена только политика мониторинга, то любой пользователь с правильным правами получит доступ к сетевым ресурсам, вне зависимости от того, удовлетворяет ли его компьютер корпоративной политике безопасности или нет. Хотя политика мониторинга не запрещает любому компьютеру доступ в вашу сеть, результат сравнения конфигурации удаленного компьютера с корпоративными требованиями записывается в специальный журнал.

На мой взгляд, политика мониторинга лучше всего подходит для перехода в среду NAP. Подумайте на секунду, если у вас есть удаленные пользователи, которым необходим доступ к ресурсам, находящимся в вашей корпоративной сети, для выполнения из работы, то вы, вероятней всего, не захотите изначально включать NAP в изоляционном режиме. Если вы все же захотите сделать так, то велик шанс того, что ни один из ваших удаленных пользователей не сможет получить доступ к вашей корпоративной сети. Вместо этого вы можете настроить NAP для использования политики мониторинга. Это позволит вам оценить влияние ваших политик доступа к сети без случайного запрета выполнять кому-то его работу. После такого тестирования вы сможете включить политику в изоляционном режиме.

Как вы, вероятно, уже догадались, в режиме изоляции компьютеры, который не удовлетворяют корпоративной политике безопасности, помещаются в сетевой сегмент, который изолирован от ресурсов промышленной сети. Конечно, это очень общее заявление. Это полностью на усмотрение администратора, решить, что делать с пользователем, компьютер которого не удовлетворяет корпоративной политике. Обычно, администратор предоставляет пользователям, компьютеры которых не удовлетворяют корпоративной политике, доступ к изолированному сетевому сегменту, о котором я говорил выше. Также у администратора есть возможность ограничения доступа к одному ресурсу или к всем сетевым ресурсам.

Вы можете удивиться, какое может быть преимущество в предоставлении доступа компьютерам, которые не соответствуют требованиям корпорации, к изолированному сетевому сегменту. Если компьютер, который не соответствует требованиям, подключается к сети, и инструмент NAP запущен в изоляционном режиме, то такому компьютеру закрыт доступ в промышленную сеть. Обычно такой карантин продолжается, пока пользователь подключен к сети. Простой карантин компьютеров, которые не удовлетворяют политикам компании, позволяет избежать вирусного заражения или использования брешей в безопасности в вашей сети, но не закрывает для пользователя много всего полезного. В конце концов, если пользователь не может получить доступ к сетевым ресурсам, то он не может выполнять свою работу.

Тут как раз и приходит на помощь изолированный сетевой сегмент. Администратор может поместить специальный набор обновлений и антивирусов в этот изолированный сегмент. Такие ресурсы позволяет привести компьютер удаленного пользователя в соответствие с требованиями компании. Например, на таких серверах могут содержаться обновления для безопасности или для антивирусной программы.

Очень важно обратить внимание на то, что инструмент NAP не содержит каких-либо механизмов, которые способны проверить состояние удаленного компьютера и установку на нем обновлений. Это уже будет работа агентов состояния системы и валидатора состояния систем. По слухам, эти компоненты будут интегрированы в следующую версию SMS Server.

Заключение

В этой статье я рассказал вам о новом инструменте в операционной системе Longhorn Server под названием NAP. Во второй части этой статьи, я расскажу вам о процессе настройки с помощью этого инструмента.

Один из аспектов сетевой безопасности, который расстраивает многих администраторов, заключается в том, что у них нет контроля над конфигурацией удаленных компьютеров. Хотя корпоративная сеть может иметь очень безопасную конфигурацию, в настоящий момент ничто не может помешать удаленному пользователю подключиться к корпоративной сети с помощью компьютера, который заражен вирусами, или который не содержит необходимых обновлений. Инструмент операционной системы Windows 2008 Server под названием Network Access Protection (защита доступа к сети, NAP) позволит изменить такую ситуацию. В этой статье я расскажу вам об инструменте NAP и покажу, как он работает.

Причина, по которой это так сильно меня расстраивало, заключалась в том, что я никогда не знал, в каком состоянии находится компьютер пользователя. Иногда, удаленные пользователи могли подключаться к сети с помощью компьютера, который заражен вирусами. Иногда, компьютер удаленного пользователя мог работать на устаревшей версии операционной системы Windows. Хотя я предпринимал шаги по защите корпоративной сети, я всегда боялся, что удаленный пользователь с неадекватной защитой может инфицировать файлы в сети вирусом, или случайно открыть важную корпоративную информацию, потому что его компьютер может быть заражен трояном.

Компания Microsoft проделала большой объем работы по усовершенствованию инструмента NAP с того времени, и теперь инструмент NAP одним из основных инструментов для безопасности в операционной системе Windows 2008 Server. Хотя версия инструмента NAP для операционной систем Windows 2008 будет гораздо более простой в настройке, чем невышедшая версия для Windows Server 2003, она по-прежнему остается весьма сложной. Поэтому целью написания этой статьи было то, чтобы предоставить вам описание инструмента NAP, а также показать вам, как он работает еще до выхода официальной версии операционной системы Windows 2008 Server.

Для начала

Перед тем как я продолжу, я хочу объяснить еще одну вещь относительно инструмента NAP. Назначение инструмента NAP заключается в том, чтобы убедиться, что компьютер удаленного пользователя удовлетворяет требованиям безопасности вашей организации. NAP ничего не делает, чтобы предотвратить неавторизованный доступ к вашей сети. Если у злоумышленника есть компьютер, который удовлетворяет требованиям по безопасности вашей компании, то NAP ничего не сделает, чтобы попытаться остановить злоумышленника. Защита от злоумышленников, которые пытаются получить доступ к сетевым ресурсам - это задача других механизмов безопасности. NAP спроектирован для того, чтобы просто запретить вход в вашу сеть разрешенным пользователям, которые используют небезопасные компьютеры.

Основы защиты доступа к сети

Инструмент NAP спроектирован, чтобы расширить корпоративный VPN. Процесс начинается, когда клиент устанавливает VPN сессию с сервером Windows 2008, на котором запущена служба Routing and Remote Access (маршрутизация и удаленный доступ). После того, как пользователь устанавливает соединение, сервер сетевой политики проверяет состояние удаленной системы. Это обеспечивается путем сравнения конфигурации удаленного компьютера с политикой сетевого доступа, которая определена администратором. Что происходит дальше, зависит от того, что администратор прописал в этой политике.

Реализация защиты доступа к сети (Network Access Protection) требует использования нескольких серверов, каждый из которых выполняет определенную роль. Как может выглядеть такая простая реализация, вы можете увидеть на рисунке 1.

Рисунок 1 : Реализация защиты доступа к сети требует использования нескольких серверов

Как вы можете увидеть из диаграммы, клиент с операционной системой Windows Vista подключается к серверу Windows 2008 Server, на котором запущена служба удаленного доступа Remote Access (RRAS). Этот сервер работает как сервер VPN server для сети. Клиент с Windows Vista устанавливает соединение с этим сервером VPN server обычным способом.

Когда удаленный пользователь подключается к серверу VPN server, контроллер домена проверяет права пользователя. В обязанности сервера сетевых политик входит определение, какие политики необходимо задействовать, и что случиться, если удаленный клиент не имеет полномочий. В тестовой среде необходимо использовать один физический сервер для выполнения ролей службы маршрутизации и удаленного доступа, а также для роли сервера сетевых политик. В реальной ситуации сервера VPN server располагаются по периметру сети, и размещение сервера сетевых политик по периметру сети очень плохая идея.

Контроллер домена

Если вы посмотрите на диаграмму, изображенную на рисунке A, то вы увидите, что один из требуемых серверов - это контроллер домена. Не думайте, что это всего лишь единственный сервер - это вся инфраструктура Active Directory infrastructure. Как, я уверен, вы знаете, Active Directory не может работать без сервера DNS server. Именно поэтому, если бы эта диаграмма представляла собой буквально описание реальной сети, то тогда контроллер домена использовал бы для своей работы службы DNS services. Конечно, в реальной ситуации организации обычно используют несколько контроллеров домена и специальные DNS.

Еще необходимо также рассмотреть тот фактор, который может быть не таким очевидным из диаграммы, что также необходимы корпоративные сертификаты. В случае этой диаграммы, службы сертификатов можно легко разместить на контроллере домена. В реальной ситуации часто используется специальный сервер для сертификатов, т.к. природа цифровых сертификатов очень чувствительна.

В том случае, если вас это удивляет, то причина, по которой необходим корпоративный сертификат, заключается в том, что сервер VPN server использует протокол PEAP-MSCHAPv2 для аутентификации. А протокол PEAP для своей работы использует сертификаты. Сервер VPN server будет использовать сертификаты с серверной машины, в свою очередь удаленные клиенты будут использовать пользовательские сертификаты.

Установка корпоративного сертификата

Процедура установки корпоративного сертификата может отличаться в зависимости от того, устанавливаете ли вы службы на сервере Windows 2003 или же на сервер Windows 2008. Т.к. одной из целей написания этой статьи было познакомить вас с операционной системой Windows 2008 Server, то следующая процедура будет описывать установку служб для сертификатов для операционной системы Windows 2008 Server.

Перед тем, как я покажу вам, как устанавливать службы для сертификатов, вы должны запомнить две вещи. Первое, операционная система Windows 2008 Server по-прежнему находится в бета тестировании. Поэтому, всегда существует шанс, что то, о чем я вам сейчас рассказываю, изменится к моменту выхода окончательной версии, хотя очень сильные изменения на этом этапе очень нежелательны.

Другая вещь, о которой также необходимо помнить, заключается в том, что вы должны предпринять экстренные меры для обеспечения безопасности вашего корпоративного сертификата. Ко всему прочему, если кто-то завладеет вашим корпоративным сертификатом, то он завладеет вашей сетью. Т.к. эта статья сфокусирована на защите доступа к сети, то я собираюсь показать вам, что необходимо сделать для того, чтобы установить и запустить ваши службы сертификатов. На практике вы должны лучше подумать о конфигурации сервера.

Начнем процесс установки с открытия менеджера сервера операционной системы Windows 2008 Server Manager и выбора настройки Управление ролями из дерева консоли. Далее нажмите на ссылку Добавить роли, которую можно найти в разделе Roles Summary в консоли. В результате этих действий Windows запустит мастера по добавлению ролей. Нажмите на кнопку Next, чтобы пропустить окно приветствия мастера. Теперь вы увидите список всех доступных ролей. Выберите параметр Active Directory Certificate Server из списка. Роли могут располагаться не в алфавитном порядке, поэтому, если это необходимо, прокрутите список до конца, чтобы найти необходимую службу. Для продолжения нажмите на кнопку Next.

После этого вы увидите экран, на котором представлены службы сертификатов и некоторые предупреждения. Нажмите на кнопку Next для того, чтобы пропустить этот экран и перейти к другому окну, на котором вам предлагают выбрать устанавливаемые компоненты. Выберите Certification Authority, а также Certificate Authority Web Enrollment, а затем нажмите на кнопку Next.

После этого вы увидите экран, на котором вас спрашивают, хотите ли вы создать корпоративный сертификат или отдельно стоящий сертификат. Выберите параметр Enterprise Certificate Authority и нажмите на кнопку Next. Далее вас спросят, будет ли этот сервер работать как корневой Root CA или же, как дополнительный Subordinate CA. Т.к. это первый (и единственный) сертификат в вашей лаборатории, то вы должны выбрать параметр Root CA. Для продолжения нажмите на кнопку Next.

Далее мастер спросит вас, хотите ли вы создать новый закрытый ключ или использовать существующий закрытый ключ. Т.к. это всего лишь тестовая установка, поэтому выбираем параметр для создания нового закрытого ключа и нажимает для продолжения на кнопку Next.

В следующем окне вы должны будете выбрать поставщика услуг для шифрования, длину ключ, а также алгоритм хеширования. На практике вы должны с осторожностью подойти к выбору этих параметров. Т.к. мы создаем этот сертификат исключительно в демонстрационных целях, то оставьте все по умолчанию и нажмите на кнопку Next.

На следующем экране у вас будет возможность определить общее название, а также различающийся суффикс для сертификата. Опять оставьте все по умолчанию и нажмите на кнопку Next.

Далее вы увидите окно, в котором вы должны задать срок действия сертификата. По умолчанию этот период составляет 5 лет, что великолепно подходит для наших целей, поэтому просто нажмите на кнопку Next. Далее откроется окно, в котором вы должны указать, где будут располагаться базы данных сертификатов и соответствующие им журналы транзакций (transaction log). В промышленной среде этот выбор необходимо сделать с особой осторожностью в плане безопасности и отказоустойчивости. Т.к. это всего лишь тестовая лаборатория, то просто нажмите на кнопку Next.

Основные задачи по конфигурации

Перед тем, как я покажу вам, как настроить этот сервер для работы в качестве сервера VPN server, вы должны выполнить некоторые основные задачи по конфигурации. В основном, это означает, что вы должны установить операционную систему Windows 2008 Server и настроить ее на использование статического IP адреса. Этот IP адрес должен попадать в тот же интервал, в котором работает контроллер домена, которые мы настроили ранее. В качестве предпочитаемого сервера Preferred DNS Server в его конфигурации TCP/IP configuration должен быть указан контроллер домена, который вы установили ранее в этой статье, т.к. он также работает в качестве сервера DNS server. После того, как вы закончите с начальной конфигурацией сервера VPN, вы должны использовать команду PING для того, чтобы проверить, что сервер VPN server может взаимодействовать с контроллером домена.

Подключение к домену

Теперь, когда вы указали TCP/IP конфигурацию компьютера и проверили, что к нему можно подключиться, пришло время приступить к настоящим задачам по конфигурации. Первое, что вы должны сделать - это подключить сервер к домену, который вы создали ранее в этой статье. Процесс подключения к домену в операционной системе Windows 2008 Server очень похож на тот же процесс в операционной системе Windows Server 2003. Щелкните правой кнопкой на команде Computer, которая находится в меню Start сервера. В результате этого действия Windows 2008 запустит апплет System из Control Panel. Теперь нажмите на кнопку Change Settings (изменить настройки), которая располагается в разделе Computer Name, Domain, and Workgroup Settings этого окна. В результате этого появится окно системных свойств (System Properties). Окно системных свойств очень похоже на аналогичное окно в операционной системе Windows Server 2003. Нажмите на кнопку Change (изменить), чтобы появилось диалоговое окно Computer Name Changes. Теперь выберите кнопку Domain, которая располагается в разделе Member of. Введите название вашего домена в поле Domain и нажмите на кнопку OK.

Теперь появится окно для ввода ваших прав. Введите имя пользователя (username) и пароль (password) для учетной записи администратора домена и нажмите на кнопку Submit (принять). После короткой паузу вы должны увидеть диалоговое окно, приветствующее вас в домене. Нажмите на кнопку OK, и вы увидите другое диалоговое окно, сообщающее вaм, что вы должны перегрузить ваш компьютер. Нажмите на кнопку OK еще раз, а затем нажмите на кнопку Close (закрыть). После перезагрузки компьютера вы станете членом домена, который вы указали.

Установка маршрутизации и удаленного доступа

Теперь пришло время установить службу маршрутизации и удаленного доступа (Routing and Remote Access service). Затем мы настроим эту службу, чтобы наш сервер работал в роли сервера VPN. Начнем процесс с запуска менеджера сервера. Вы можете найти ярлык для менеджера сервера в меню Администрирование. После запуска менеджера сервера перейдите в раздел Roles Summary, который можно найти в окне подробно. Теперь нажмите на ссылку Add Roles (добавить роли) для запуска мастера по добавлению ролей Add Roles Wizard.

После запуска мастера нажмите на кнопку Next для того, чтобы пропустить окно приветствия. Теперь вы увидите окно, спрашивающее вас о том, какие роли вы хотите установить на сервере. Выберите ссылку, соответствующую Network Access Services (службы сетевого доступа). Нажмите на кнопку Next (далее) и вы увидите экран, который представляет собой введение в службы сетевого доступа (Network Access Services). Нажмите на кнопку Next еще раз, и вы увидите экран, на котором вы можете выбрать компоненты службы сетевого доступа Network Access Services, которые вы хотите установить. Отметьте позиции, соответствующие службам Network Policy Server, и Routing and Remote Access Services.

Если вы выберите поле для службы Routing and Remote Access Services, то автоматически будут выбраны служба удаленного доступа (Remote Access Service), служба маршрутизации (Routing), а также набор Connection Manager Administration Kit. Вы должны оставить выбранным поле для службы удаленного доступа Remote Access Service, т.к. вместе с ней будут установлены компоненты, необходимые для работы нашего сервера в качестве сервера VPN. Другие два поля дополнительные. Если вы хотите, чтобы сервер работал, как маршрутизатор NAT router или использовал протоколы маршрутизации, такие как IGMP proxy или RIP, то вы должны оставить выбранным также поле Routing. В противном случае вы можете не выбирать ее.

Нажмите на кнопку Next (далее) и вы увидите экран, который отобразит общую информацию о службах, которые вы собираетесь установить. Предполагая, что все в порядке, нажимаем на кнопку Install (установить), чтобы приступить к процессу установки. Никто не знает, сколько будет длиться процесс установки на финальной версии операционной системы Windows 2008 Server. Однако, на моем тестовом сервере, который работает под управлением бета версии операционной системы Windows 2008, процесс установки занял несколько минут. На деле, возникает иллюзия, что сервер заблокирован на время процесса установки. После завершения процесса установки нажмите на кнопку Close (закрыть).

После установки служб сетевого доступа, необходимо настроить службы маршрутизации и удаленного доступа Routing and Remote Access Services для работы с VPN соединениями. Начните с ввода команды MMC в командной строке сервера. В результате такого действия откроется пустая консоль управления Microsoft Management console. Выберите команду Add/Remove Snap-in из меню файл (File). Windows отобразит список доступных дополнений. Выберите Routing and Remote Access Snap-in из списка и нажмите на кнопку Add (добавить), а затем на кнопку OK. Дополнение для маршрутизации и удаленного доступа загрузится в консоль.

Щелкните правой кнопкой мыши на контейнер Server Status (статус сервера в консоли) и выберите команду Add Server (добавить сервер) из контекстного меню. Затем выберите настройку This Computer (этот компьютер) и нажмите на кнопку OK. Теперь в консоли должен отобразиться список для вашего сервера. Щелкните правой кнопкой мыши на списке для сервера и выберите команду Configure and Enable Routing and Remote Access (настроить и подключить маршрутизацию и удаленный доступ) из контекстного меню. В результате этого Windows запустит мастера Routing and Remote Access Server Setup Wizard.

Нажмите на кнопку Next (далее), для того чтобы пропустить экран приветствия мастера. Теперь вы увидите экран, на котором вас спросят, какую конфигурацию вы хотите использовать. Выберите Remote Access (удаленный доступ - dial-up или VPN) и нажмите на кнопку Next (далее). В следующем окне вы сможете выбрать между настройкой dial-up или VPN доступом. Выберите поле VPN и нажмите на кнопку Next (далее).

Теперь помощник откроет перед вами окно с параметрами VPN соединения. Выберите сетевой интерфейс (network interface), который будут использовать клиенты для подключения к серверу VPN и уберите галочку напротив поля Enable Security on the Selected Interface by Setting up Static Packet Filters. Нажмите на кнопку Next (далее), а затем выберите настройку From a Specified Address и снова нажмите на кнопку Next (далее).

После этого вы увидите окно, в котором вам необходимо ввести интервал IP адресов, которые можно назначать клиентам VPN. Нажмите на кнопку New (Новый) и введите начальный и конечный адреса для интервала IP адресов. Нажмите на кнопку OK, а затем на кнопку Next. В результате этого Windows откроет окно Managing Multiple Remote Access Server.

На следующем этапе необходимо выбрать Yes для настройки сервера для работы с сервером Radius server. Теперь вам необходимо будет ввести IP адрес для сервера Radius server. Т.к. NPS будет работать на том же самом компьютере, на котором работают службы маршрутизации и удаленного доступа, то просто введите IP адрес вашего сервера в качестве основного и дополнительного адреса сервера Radius. Вам также необходимо будет ввести shared secret. В демонстрационных целях просто введите rras в качестве shared secret. Нажмите на кнопку Next (далее), а затем на кнопку Finish (завершить). Теперь вы увидите пару предупреждающих сообщений. Нажмите на кнопку OK для закрытия каждого из сообщений.

Последний этап в процессе конфигурации RRAS заключается в настройке схемы аутентификации. Для этого нажмите правой кнопкой мыши на список для вашего сервера и выберите команду Properties (свойства) из контекстного меню. Когда вы увидите окно свойств сервера перейдите на закладку Security (безопасность). Теперь добавьте EAP-MSCHAPv2 и PEAP в разделе Authentication Methods и нажмите на кнопку OK.

Проверка состояния системы (system health validator)

Системная политика состояния диктует, что необходимо компьютеру для того, чтобы его состояние считалось нормальным и чтобы он смог подключиться к сети.

В реальном мире, системная политика состояния требует, чтобы рабочая станция работала под управлением операционной системы, на которую установлены все последние обновления для безопасности. Вне зависимости от того, какие критерии вы выберите для определения нормальности состояния рабочей станции, вы должны будете выполнить некоторую работу. Критерии нормального состояния очень сильно меняются от компании к компании, поэтому компания Microsoft оставила механизм проверки нормальности системного состояния пустым (по крайней мере, в текущей бета версии). А раз так, то вам необходимо будет настроить эти критерии нормальности системного состояния.

В демонстрационных целях, я создам очень простой механизм для проверки системного состояния, который просто позволяет проверить, подключен ли брандмауэр Windows firewall. Если брандмауэр подключен, то мы будем считать, что состояние системы нормальное.

Как я уже упоминал ранее в этой статье, в реальном мире вы не должны размещать сервер сетевых политик на том же самом компьютере, на котором располагается ваш VPN сервер. Сервер VPN открыт для внешнего мира, и размещение на нем сервера сетевых политик может привести к большим проблемам. В операционной системе Windows нет ничего, что запретит вам использовать один и тот же сервер, как для компонентов VPN components, так и для компонентов сервера сетевых политик, поэтому в демонстрационных целях (и из-за нехватки аппаратного обеспечения) я буду использовать один и тот же компьютер для обоих компонентов.

Мы начнем процесс настройки с того, что введем команду MMC в командной строке Run, в результате чего откроется пустая консоль управления Microsoft Management Console. После открытия консоли выберите пункт Add / Remove Snap-in из меню File (Файл). В результате этого действия на экране появится диалоговое окно Add or Remove Snap-Ins. Выберите параметр Network Policy Server (сервер сетевой политики) из списка доступных элементов, и нажмите на кнопку Add (добавить). Теперь вы увидите окно, в котором вам предложат выбрать, каким компьютером вы хотите управлять - локальным или каким-то другим. Убедитесь, что выбран параметр Local Computer (локальный компьютер) и нажмите на кнопку OK. Нажмите на кнопку OK еще раз, и откроется компонент Network Policy Server (сервер сетевой политики).

После этого вы должны перейти в дереве консоли к NPS (Local) | Network Access Protection | System Health Validators, что изображено на рисунке 1. Теперь, щелкните правой кнопкой мыши на объекте Windows System Health Validators (контроль системного состояния), который можно найти в центральной части консоли, и выберите команду Properties из контекстного меню. В результате этого действия откроется окно Windows Security Health Validator Properties, которое изображено на рисунке 2.

Рисунок 1: Перейдите в дереве консоли к NPS (Local) | Network Access Protection | System Health Validators

Рисунок 2: Окно свойств Windows Security Health Validator Properties используется для настройки контроля за состоянием системы

В диалоговом окне нажмите на кнопку Configure (настроить), в результате чего откроется диалоговое окно Windows Security Health Validator, которое изображено на рисунке 3. Как вы можете увидеть из рисунка, это диалоговое окно позволяет вам задать параметры для политики контроля состояния вашей системы. По умолчанию, это диалоговое окно настроено так, что необходимо подключение брандмауэра Windows firewall, необходимо подключение обновления Windows update, а также необходимо, чтобы на рабочей станции было установлено антивирусное и антишпионское программное обеспечение и, чтобы оно было современным. Т.к. мы заинтересованы лишь в том, чтобы был подключен лишь брандмауэр Windows firewall, то поставьте галочку напротив поля A Firewall is Enabled for all Network Connections (брандмауэр включен для всех сетевых соединений) и уберите все остальные галочки. Нажмите два раза на кнопку OK для продолжения.

Рисунок 3: Поставьте галочку напротив поля A Firewall is Enabled for all Network Connections и уберите галочки из всех остальных полей

Теперь, когда вы настроили контроль за состоянием системы, Вы должны настроить шаблон для контроля за состоянием системы. Шаблоны для контроля за состоянием системы описывают результаты контроля состояния системы. Обычно, это означает, что произойдет в результате проверки клиента на удовлетворение условиям проверки.

Для настройки шаблонов для контроля состояния Network Policy Server, нажмите правой кнопкой мыши на контейнере System Health Validator Template и выберите команду New (создать) из выпадающего контекстного меню. После этого появится диалоговое окно под названием Create New SHV Template, которое изображено на рисунке 4.

Рисунок 4: Вы должны создать новый шаблон для контроля состояния системы

Как вы можете увидеть из рисунка, в диалоговом окне вы должны задать название для нового шаблона. Введите слово Compliant в поле Name (название). Теперь убедитесь, что в выпадающем списке Template Type (тип шаблона) выбран пункт Client Passes all SHV Checks (клиент проходит все проверки). Поставьте галочку напротив поля Windows System Health Validator и нажмите на кнопку OK.

Сейчас мы создали шаблон, который описывает то, что называется compliant (совпадение, удовлетворение). Теперь мы должны создать второй шаблон, который описывает то состояние, когда мы не удовлетворяем условиям. Для этого нажмите правой кнопкой мыши на контейнере System Health Validator Templates container и выберите команду New (создать) из контекстного меню. Теперь вы должны увидеть то же самый экран, с которым вы работали мгновение назад.

На этот раз название шаблона будет NonCompliant. Установите тип шаблона (Template Type) в Client Fails one or More SHV Checks (клиент не удовлетворяет одной или нескольким проверкам). Теперь поставьте галочку напротив поля Windows Security Health Validator и нажмите на кнопку OK. Если вы вернетесь в главную консоль сервера сетевых политик и выберите контейнер System health Validator Templates container, то вы сможете увидеть, что оба шаблона Compliant и NonCompliant отображены в центральном окне консоли, что показано на рисунке 5.

Рисунок 5

Если вы вернетесь в главное окно консоли сервера сетевых политик и выберите контейнер System health Validator Templates (шаблоны для контроля за состоянием системы), то вы увидите, что оба шаблона Compliant и NonCompliant template, отображены в центральном окне консоли.

Политики авторизации состояния (health authorization policies)

Политики авторизации состояния - это такие политики, которые контролируют, что произойдет в том случае, если клиент удовлетворяет политикам сетевого состояния, или что случиться, если система, которая запрашивает доступ к сети, признана неудовлетворительной. Именно эти политики задают, какой уровень доступа получит клиент после того, как ему будет разрешено войти в сеть.

Начнем процесс с открытия консоли сервера сетевых политик (Network Policy Server), если она еще не открыта, а затем выберем контейнер под названием Authorization Policies (политики авторизации). После этого посмотрите на окно Details (Общие), чтобы увидеть, были ли уже созданы политики авторизации. На моей тестовой системе уже существовали четыре ранее созданных политики авторизации, но кто знает, будут ли эти политики существовать в итоговой версии операционной системы Windows 2008 Server. Если у вас существуют какие-либо политики, то удалите их, щелкнув на них правой кнопкой и выбрав команду Delete (удалить) из выпадающего контекстного меню.

Теперь, когда вы удалили ранее существовавшие политики, вы можете приступить к созданию новой политики авторизации (authorization policy). Для этого щелкните правой кнопкой мыши на контейнере Authorization Policy и выберите New | Custom commands из выпадающего контекстного меню. В результате этого отобразиться таблица свойств для новой политики авторизации New Authorization Policy Properties.

Первое, что вы должны сделать, это присвоить название для политики. Давайте назовем это политику Compliant-Full-Access. Вы можете ввести название политики в поле Policy Name (название политики), которое находится на закладке Overview (обзор). Теперь, установите параметр на Grant Access (разрешить доступ), как показано на рисунке A. Установка типа политики на Grant Access не предоставляет пользователям полный доступ к сети. Все, что это значит, что запросы, попадающие под действие этой политики, будут направлены на дальнейшую обработку.

Рисунок A Установка типа политики (Policy Type) на Grant Access (разрешить доступ)

Теперь выберите закладку Conditions (условия). Как следует из названия, закладка Conditions (условия) позволяет вам задать условия, которым должен удовлетворять компьютер клиента, чтобы применилась данная политика. Перекрутите список возможных условий до позиции Network Access Protection (защита доступа к сети), а затем выберите параметр SHV Templates, который расположен под ним. После этого в окне details появится выпадающий список Existing Templates (существующие шаблоны). Выберите параметр Compliant (удовлетворяет) из выпадающего списка и нажмите на кнопку Add (добавить). Условия, которые используются в этом окне политик теперь покажут, что состояние компьютера (Computer Health) соответствует “Compliant”, что показано на рисунке B. Это значит, что для того чтобы попасть под действие этой политики компьютеры клиентов должны удовлетворять критериям, описанным в политике Compliant, которую вы создали в предыдущей части этой статьи. Более конкретно, это значит, что на компьютере клиента должен быть включен брандмауэр Windows.

Рисунок B Для того, чтобы удовлетворять условиям, компьютеры клиентов должны удовлетворять требованиям, описанным в политике Compliant, которую мы создали в предыдущей части этой статьи

Теперь выберите закладку Settings (настройки) на странице свойств. Закладка Settings (настройки) содержит различные настройки, которые необходимо применить к компьютерам, чтобы они удовлетворяли условиям, описанным ранее. Т.к. эта политика будет применяться для компьютеров, которые удовлетворяют политике сетевой безопасности (network security policy), то мы должны убрать все ограничения из настроек, чтобы компьютеры могли получить доступ к сети.

Для этого перейдите в дереве консоли к Network Access Protection | NAP Enforcement. Теперь выберите кнопку Do Not Enforce, как показано на рисунке C. Это закроет совместимым компьютерам доступ к сетевым ресурсам.

Рисунок C NAP не должно применяться к компьютерам, удовлетворяющим требованиям

После того, как вы выбрали параметр Do Not Enforce, перейдите в дереве консоли к Constraints | Authentication Method. В окне details сразу же появится набор полей, каждое из которых соответствует различному методу аутентификации (authentication method). Продолжайте и уберите галочки из всех полей, но оставьте галочку в поле EAP. Поставьте галочку напротив поля EAP Methods и нажмите на кнопку Add (добавить). Выберите параметр Secured Password (EAP-MSCHAP v2) и дважды нажмите на кнопку OK, чтобы закрыть различные диалоговые окна, которые откроются в процессе. Нажмите на кнопку OK еще раз, чтобы сохранить шаблон, который вы создали.

Итак, мы создали шаблон для компьютеров, которые удовлетворяют условиям, теперь мы должны создать аналогичный шаблон для компьютеров, которые не удовлетворяют условиям. Для этого щелкните правой кнопкой в дереве консоли на контейнере Authorization Policies (политики авторизации) и выберите команду New | Custom из выпадающего контекстного меню. В результате этого откроется уже знакомое окно свойств New Authorization Policy Properties.

Как и в предыдущем случае, первое, что нам необходимо сделать - это ввести название для создаваемой вами политики. Давайте назовем эту политику Noncompliant-Restricted. Хотя мы и создаем ограничивающую политику, вы все равно должны выбрать тип политики Grant Access (открыть доступ). Помните, что это не гарантирует доступа к сети, а лишь позволяет продолжить обработку политики.

Теперь выберите закладку Conditions (условия). Когда мы создавали политику авторизации для компьютеров, которые удовлетворяют условиям, мы создали условие, согласно которому компьютеру было достаточно удовлетворять требованиям шаблона (compliant template), который мы создали в предыдущей статье. Т.к. эта политика для компьютеров, которые не удовлетворяют условиям, то вы должны убедиться, что конфигурация клиентского компьютера соответствует условиям, описанным в шаблоне NonCompliant template. А именно, это означает, что на клиентском компьютере выключен брандмауэр Windows.

Выберите из списка доступных условий Network Access Protection (защита доступа к сети), а затем выберите контейнер SHV Templates. Выберите параметр NonCompliant из списка существующих шаблонов, а затем нажмите на кнопку Add (добавить).

Далее, выберите закладку Settings (настройки) и перейдите в дереве консоли к Constraints | Authentication Method. В окне details вы сможете увидеть набор полей, каждое из которых соответствует конкретному методу аутентификации (authentication method). Уберите галочки из всех полей, но оставьте галочку в поле EAP. Поставьте галочку в поле EAP Methods, а затем нажмите на кнопку Add (добавить). Выберите параметр Secured Password (EAP-MSCHAP v2) и дважды нажмите на кнопку OK, чтобы закрыть все ненужные диалоговые окна.

Итак, все, что мы сделали для политики для компьютеров, которые не удовлетворяют условиям, было полностью идентично политики, которую мы создали для компьютеров, которые удовлетворяют условиям, кроме указания другого шаблона SHV template. Если мы оставим эту политику в том виде, в котором она сейчас, то компьютеры, которые не удовлетворяют условиям, также получат доступ к сети. Т.к. мы не хотим, чтобы это случилось, то мы должны использовать усиление NAP для закрытия доступа к сети.

Для этого выберите контейнер NAP Enforcement, который можно найти в списке доступных настроек Available Settings. После этого в окне Details вы сможете увидеть различные настройки. Выберите настройку Enforce, а затем поставьте галочку напротив поля Update Non Compliant Computers Automatically, как показано на рисунке D. Нажмите на кнопку OK, что сохранить созданную вами политику.

Рисунок D Вы должны усилить защиту NAP для компьютеров, которые не удовлетворяют условиям

Политика аутентификации по умолчанию (default authentication policy)

В предыдущей статье из этой серии я показал вам, как создать политики для авторизации (authorization policy), как для компьютера, удовлетворяющего политике безопасности, так и для компьютера, не удовлетворяющего политике безопасности. В этой статье мы завершим процедуру конфигурации сервера. Для этого на первом этапе необходимо создать политику для аутентификации по умолчанию (default authentication policy), которую можно применить на любой машине, которая проходит аутентификацию на сервера RRAS server.

Начнем процесс с открытия консоли сервера сетевых политик Network Policy Server и перехода к NPS (Local) | Authentication Processing | Authentication Policies. После этого на окне будут отражены все ранее существовавшие политики для аутентификации (authentication policies). Выбираем ранее существовавшие политики, нажимаем на них правой кнопкой мыши, а затем выбираем команду Delete (удалить) из контекстного меню.

Теперь пришло время для создания политики для аутентификации по умолчанию (default authentication policy). Для этого нажмите на ссылку New (создать), которая находится в окне Actions (команды), и выберите параметр Custom (общий). Windows отобразит окно свойств New Authentication Policy (новая политика для аутентификации), которое можно увидеть на рисунке A.

Рисунок A : Введите RRAS в качестве названия политики, затем поверьте, что политика подключена

Введите RRAS в качестве названия политики, а затем проверьте, что в поле Policy Enabled (политика включена) стоит галочка. Затем, проверьте, что выбрана кнопка Available Sources (доступные источники), а затем выберите настройку Remote Access Server (VPN-Dialup) из выпадающего списка Available Sources (доступные источники).

Теперь, перейдите на закладку Settings (настройки) и выберите контейнер Authentication (аутентификация) из дерева консоли. Теперь поставьте галочку в поле Override Authentication Settings from Authorization Policy. После этого в окне появится множество методов аутентификации, как изображено на рисунке B. Выберите поле EAP, а затем нажмите на кнопку EAP Methods.

Рисунок B : Выберите поле EAP и нажмите на кнопку EAP Methods

Windows теперь отобразит диалоговое окно Select EAP Providers (выбор поставщиков EAP). Нажмите на кнопку Add (добавить), чтобы открылся список методов аутентификации EAP authentication methods. Выберите EAP-MSCHAPv2 и Protected EAP (PEAP) из списка и нажмите на кнопку OK. Выбранные методы аутентификации EAP authentication methods должны появится в диалоговом окне Select EAP Providers (выбор поставщиков EAP), как показано на рисунке C. Для продолжения нажмите на кнопку OK.

Рисунок C : Вы должны включить аутентификацию MSCHAPv2 и PEAP authentication

Теперь перейдите на закладку Conditions (условия). Вы должны выбрать по крайней мере одно условие, которое должно быть соблюдено, чтобы политики применилась. Вы можете установить любое понравившееся вам условие, но я рекомендую перейти в дереве консоли к Connection Properties | Tunnel Type и поставить галочки напротив полей Point to Point Tunneling Protocol и Layer Two Tunneling Protocol, а затем нажать на кнопку Add (добавить). Таким образом новая аутентификационная политика (authentication policy) будет применена к VPN подключениям. Нажмите на кнопку OK, чтобы сохранить новую аутентификационную политику, которую вы только что создали.

Политика настройки клиента RADIUS

При таком типе установки сервер сетевой политики Network Policy Server работает как сервер RADIUS server. В отличие от клиентов, выполняющих прямую аутентификацию RADIUS authentication на сервере сетевой политики Network Policy Server, сервер RRAS, который работает в качестве сервера VPN, будет работать в качестве клиента RADIUS.

Последний этап в процессе настройки сервера заключается в предоставлении серверу сетевых политик Network Policy Server списка авторизованных клиентов RADIUS. Т.к. единственным клиентом RADIUS будет сервер VPN server, то вы просто вводите IP адрес VPN сервера. Т.к. службы RRAS работают на том же физическом сервере, что и службы сетевых политик Network Policy Services, то вы просто используете IP адрес сервера.

Чтобы создать политику конфигурации клиента RADIUS Client Configuration Policy, перейдите в дереве консоли сервера сетевой политики Network Policy Server к NPS (Local) | RADIUS Clients. Затем нажмите на ссылку New RADIUS Client, которою можно найти в окне Actions. Windows запустит мастера New RADIUS Client Wizard.

В первом окне мастера вы должны будете задать имя и IP адрес для нового клиента RADIUS. При установке в реальных условиях, вы должны ввести в качестве названия RRAS, а также ввести IP адрес сервера RRAS в поле для IP адреса. Как вы помните, мы используем тестовую среду, и RRAS работает на том же самом сервере, что и службы сетевых политик Network Policy Services. Поэтому введите IP адрес сервера в соответствующее поле и нажмите на кнопку Next (далее).

После этого появится окно дополнительной информации Additional Information. В этом окне вы должны будете задать поставщика клиента (client vendor) и общий секрет (shared secret). Выберите RADIUS Standard в качестве Client Vendor (поставщика клиента). В рамках этой статьи вы можете вести RRASS в качестве shared secret. Поставьте галочку в поле Client is NAP Capable, как показано на рисунке D, и нажмите на кнопку Finish (завершить). Вы, наконец, настроили сервер сетевой политики Network Policy Server!

Рисунок D : Введите shared secret и поставьте галочку в поле Client is NAP Capable

Настройка клиента

Теперь, когда мы закончили настройку сервера сетевых политик Network Policy Server, пришло время перейти к настройке клиента для подключения к серверу. Помните, что эта техника, о которой я собираюсь вам рассказать, работает только на клиентах, которые работают под управлением операционной системы Windows Vista.

В рамках этой статьи я предполагаю, что компьютер клиента работает под управлением операционной системы Windows Vista, и что он имеет статический IP адрес. Как вы знаете, операционная система Windows Vista спроектирована для работы с IPv6 по умолчанию. Инструмент Network Access Protection (защита доступа к сети) в конечно счете должен поддерживать IPv6, но т.к. операционная система Windows Windows 2008 Server по-прежнему находится в тестировании, в настоящее время IPv6 не поддерживается, когда дело доходит до Network access protection. Поэтому, вы должны отключить IPv6 в сетевых настройках компьютера. Когда выйдет операционная система Windows 2008 Server, я намереваюсь написать обновление этого цикла статей, направленное на использование IPv6, а также всего, что изменилось по сравнению с тестовой версией.

Компьютер клиента также должен быть членом домена, который содержит сервер сетевой политики Network Policy Server. Дополнительно, домен должен содержать учетную запись пользователя (user account), которую вы можете использовать для входа на сервер Routing and Remote Access Server, который вы создали.

Теперь давайте создадим соединение Virtual Private Network connection, которое вы в конечном счете сможете использовать для проверки сервера защиты доступа к сети Network Access Protection server. Для этого откройте Панель Управления (Control Panel) и нажмите на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network Center (сетевой центр). После запуска Network Center нажмите на ссылку Set up a Connection or Network (создать сеть или сетевое подключение). Появится окно, в котором вы должны указать тип соединения, которое вы хотите создать. Выберите настройку Connect to a Workplace (подключение к рабочему месту) и нажмите на кнопку Next (далее).

Выберите параметр для подключения с помощью VPN, и вам необходимо будет задать Internet адрес и название пункта назначения. Вы должны ввести IP адрес сервера RRAS в поле Internet Address. Вы можете ввести любое название в поле Destination Name (название пункта назначения). Поставьте галочку в поле Allow Other People to use this Connection (разрешить другим людям использовать это соединение) и нажмите на кнопку Next (далее). Вы должны теперь указать имя пользователя и пароль для пользователя, у которого есть разрешение на вход на сервер RRAS server, а также название домена, в который вы собираетесь входить.

Нажмите на кнопку Connect (подключиться) и операционная система Vista попытается подключиться к вашему серверу RRAS server. Более, чем вероятно, соединения не произойдет. Если вы получите сообщение, в котором говорится, что мастер не может подключиться к вашему рабочему месту, нажмите на иконку Setup a Connection Anyway. В результате этого ваши настройки будут сохранены, и позднее мы сможем завершить их конфигурацию в следующей статье из этого цикла.

VPN соединение с клиентом, работающим под управлением Windows Vista

Начнем процесс настройки с запуска Панели управления (Control Panel), и нажатия на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network and Sharing Center (сеть и центр доступа). Когда откроется окно Network and Sharing Center, нажмите на ссылку Manage Network Connections (управление сетевыми подключениями). Вы должны увидеть окно, в котором отображены все ваши сетевые подключения, а также VPN подключение, которое вы создали в последней части этой статьи.

Щелкните правой кнопкой мыши на VPN соединении и выберите команду Properties (свойства) из выпадающего контекстного меню. После этого появится окно свойств соединения. Перейдите на закладку Security (безопасность) и выберите радио-кнопку Advanced (Custom Settings), как показано на рисунке A.

Рисунок A : Вы должны настроить ваше соединение, чтобы использовать дополнительные настройки безопасности Advanced (Custom Settings)

Теперь нажмите на кнопку Settings (настройки), чтобы появилось диалоговое окно Advanced Security Settings (дополнительные настройки безопасности). Т.к. мы уже настроили VPN соединение на использование открытого протокола для аутентификации (Extensible Authentication Protocol), то вы должны выбрать радио-кнопку Use Extensible Authentication Protocol (EAP). После этого станет активным выпадающий список, расположенный под этой радио-кнопкой. Выберите пункт Protected EAP (PEAP - защищенный EAP) (Encryption Enabled-шифрование включено), как показано на рисунке B.

Рисунок B : Вы должны настроить безопасность вашего VPN соединения и использовать Protection EAP (PEAP) (Encryption Enabled)

Теперь щелкните на кнопку Properties (свойства), чтобы открыть диалоговое окно Protected EAP Properties (свойства защищенного EAP). Поставьте галочку в поле Validate Server Certificate (проверять сертификат сервера) и уберите галочку из поля Connect to these Servers (подключаться к серверам). Вы также должны выбрать пункт Secured Password (EAP-MSCHAP V2) из выпадающего списка Select Authentication Method (выбор метода аутентификации). Наконец, уберите галочку из поля Enable Fast Reconnect (включить быстрое переподключение) и поставьте галочку в поле Enable Quarantine Checks (включить карантинные проверки), как показано на рисунке C.

Рисунок C : Страница свойств Protected EAP Properties позволяет вам настроить параметры для открытого протокола для аутентификации (Extensible Authentication Protocol)

После этого нажмите на кнопку OK в каждом открытом диалоговом окне, чтобы их закрыть. Теперь вы настроили соединение VPN connection, чтобы оно удовлетворяло необходимым требованиям. Но еще не все сделано. Для того, чтобы Network Access Protection (защита доступа к сети) начала работать, необходимо сделать так, чтобы служба Network Access Protection service стартовала автоматически. По умолчанию, в операционной системе Windows Vista все службы настроены на ручной запуск, поэтому вы должны изменить способ запуска этой службы.

Для этого откройте панель управления (Control Panel) и нажмите на ссылку System and Maintenance (система и поддержка), а затем на ссылку Administrative Tools (администрирование). Теперь перед вами появится список различных административных инструментов. Дважды щелкните на иконке Services (службы), чтобы открыть Service Control Manager (менеджер управления службами).

Найдите в списке служб службу Network Access Protection Agent service. Дважды щелкните на этой службе, а затем измените тип запуска (startup type) на Automatic (автоматически) и нажмите на кнопку OK. Помните, что изменение типа запуска службы на Automatic (автоматически) не запустит эту службу. Это лишь гарантирует, что эта служба будет автоматически запущена после перезагрузки компьютера. Однако, вы можете запустить службы без перезагрузки, нажав правой кнопкой мыши на службе и выбрав команду Start (пуск) из контекстного меню. Если у вас возникли проблемы с запуском службы, то проверьте, чтобы была запущена служба Remote Procedure Call (RPC удаленный вызов процедур) и службы DCOM Server Process Launcher. Агент службы защиты доступа к сети Network Access Protection Agent service не может работать без этих вспомогательных служб.

Проверка защиты доступа к сети (Network Access Protection)

Верите ли вы или нет, но мы, наконец, закончили настройку защиты доступа к сети (Network Access Protection). Теперь пришло время выполнить некоторые простые тесты, чтобы убедиться, что все работает так, как мы хотим.

Как вы помните, мы изменили настройку нашего сервера сетевых политик (network policy server) таким образом, чтобы компьютеры, неудовлетворяющие политике, автоматически исправлялись. Мы также настроили наш сервер сетевых политик (network policy server) таким образом, чтобы единственным критерием был включенный брандмауэр Windows firewall. Таким образом, вы должны отключить брандмауэр (firewall) на клиентской машине, а затем подключиться к серверу сетевой политики (network policy server), который использует созданное вами VPN соединение. После этого, брандмауэр на клиентской машине должен быть автоматически включен.

Давайте начнем с отключения брандмауэра на клиентском компьютере. Для этого откройте панель управления (Control Panel) и нажмите на ссылку Security (безопасность). Теперь выберите ссылку Windows Firewall (брандмауэр), чтобы открыть диалоговое окно Windows Firewall. Предполагая, что брандмауэр Windows Firewall уже запущен, нажмите на ссылку Turn Windows Firewall On or Off. Теперь вы увидите диалоговое окно, которое позволяет вам включить или отключить брандмауэр. Выберите радио-кнопку Off (not recommended), как изображено на рисунке D, и нажмите на кнопку OK. Теперь брандмауэр Windows firewall должен быть отключен.

Рисунок D : Выберите радио-кнопку Off (Not Recommended) и нажмите на кнопку OK, чтобы отключить брандмауэр Windows firewall

Теперь, когда вы отключили брандмауэр Windows Firewall, нужно установить VPN соединение с вашим сервером RRAS / NAP server. Для этого откройте Control Panel (Панель управления) и нажмите на ссылку Network and Internet (сеть и интернет), а затем на ссылку Network and Sharing Center (сеть и центр доступа). Когда откроется окно Network and Sharing Center, нажмите на ссылку Manage Network Connections (управление сетевыми подключениями). Теперь вы должны увидеть список локальный соединений вашей рабочей станции и существующие VPN подключения.

Дважды щелкните на VPN соединение, которое вы создали, а затем нажмите на кнопку Connect (подключиться). Вам необходимо будет ввести имя пользователя, пароль и название домена. Нажмите на кнопку OK после вводе этой информации, и после этого будет установлено соединение с вашим сервером VPN / NAP server.

Через небольшой промежуток времени после установления соединений, вы должны увидеть следующее сообщение на экране:

This Computer Does Not Meet Corporate Network Requirements. Network Access is Limited (Этот компьютер на удовлетворяет корпоративным требованиям к сети. Доступ к сети ограничен).

Вы можете увидеть это сообщение на рисунке E.

Рисунок E : Если брандмауэр (firewall) отключен, то вы должны увидеть это сообщение после установления VPN соединения

Сразу же после этого, вы увидите, что иконка брандмауэра Windows Firewall измениться и будет указывать на то, что брандмауэр включен. Как только это случиться, вы увидите еще одно сообщение:

This Computer Meets Corporate Network Requirements. You Have Full Network Access (Это компьютер удовлетворяет корпоративным требованиям к сети. У вас полный доступ к сети).

Вы можете увидеть это сообщение на рисунке F.

Рисунок F : Когда сервер NAP Server подключит брандмауэр Windows Firewall, появится это сообщение

Сообщение, изображенное на рисунке F также появится, когда ваш компьютер, полностью удовлетворяющий корпоративным требованиям, подключиться к серверу NAP, используя VPN соединение.

Брайн Позей (Brien Posey)

Как вы, скорее всего, заметили, в последнее время большинство моих статей посвящается технологии групповой политики, которую, по моему мнению, необходимо знать и понимать, так как именно благодаря этой технологии вы можете оградить пользователей, компьютеры и сеть своей компании от многих бед. Групповые политики тесно связаны практически с каждыми технологиями, которые можно разворачивать в организации. Но в любом случае, даже если вы будете использовать сценарии с каждым параметром групповой политики, парк компьютеров вашей организации все еще будет уязвим по многим причинам.

Практически в каждой организации, одной из основных задач системного администратора, а иногда и отдельного администратора по безопасности, связанной с обслуживанием парка компьютеров является обеспечение безопасности. В организациях чаще всего для обеспечения безопасности внедряют следующие решения:

Установка антивирусного программного обеспечения на клиентские компьютеры, файловые и почтовые сервера, а также консоли управления антивирусным программным обеспечением на выделенном сервере. К ключевым продуктам для бизнеса по обеспечению антивирусной безопасности можно отнести продукты Microsoft ForeFront, Kaspersky Enterprise Space Security, а также Symantec Endpoint Protection;
Настройка брандмауэров на рабочих станциях и серверах в организации. Например, брандмауэр Windows в режиме повышенной безопасности позволяет фильтровать входящий и исходящий трафик, используя настраиваемые правила для определения законных и небезопасных коммуникаций;
Развертывание межсетевых экранов в демилитаризованных зонах, которые могут быть комплексными решениями для обеспечения безопасности в сети, позволяющие защитить внутреннюю сеть организации от угроз из Интернета. Например, межсетевой экран Microsoft Forefront Threat Management Gateway 2010 предлагает единый простой способ обеспечения безопасности периметра благодаря интегрированному межсетевому экрану, VPN, предотвращению вторжений, проверке наличия вредоносных программ и фильтрации URL-адресов.
Обеспечение безопасности обмена данных между компьютерами при помощи протокола IPSec, который чаще всего применяется для защиты трафика через Интернет при использовании виртуальных частных сетей;
Настройка политики безопасности групповой политики. К таким политикам можно отнести политики паролей и блокировки учетных записей, политики открытого ключа, политики ограниченного использования программ и многое другое;
Использование шифрования дисков, позволяющее защитить данные, расположенные на клиентских компьютерах в том случае, если пользовательский компьютер украден или во избежание раскрытия данных, находившихся на потерянных, украденных или неправильно списанных персональных компьютерах.

Как видите, не существует единого комплексного решения, позволяющего полностью защитить всех ваших пользователей от различных ситуаций и атак и, разумеется, перечисленный выше список решений не является окончательным. Но при помощи всех указанных выше решений обеспечения безопасности вы сможете лишь защитить сеть своей организации от атак злоумышленниками извне, то есть из сети Интернет. Также вы можете защитить свою интрасеть от человеческого фактора, так как при правильном использовании функционала групповой политики можно ограничить пользователей от выполнения многих действий, а также от внесения большинства изменений в систему. Но не стоит исключать возможность, когда сотрудники вашей компании разъезжают по командировкам. Будучи на вокзале, в аэропорту, интернет кафе или в партнерской организации, ваш пользователь мог подключать свой ноутбук к сети Интернет или к внутренней сети другой компании. А так как в расположении, где пользователь подключался к сети Интернет, могут быть не соблюдены требования безопасности, ноутбук вашего сотрудника может быть заражен и по возвращении в свой офис, вирус, расположенный на ноутбуке приехавшего сотрудника может начать распространяться на уязвимые компьютеры. Описанный выше сценарий является наиболее распространяемым и во избежание подобных ситуаций, в операционной системе Windows Server 2008 была анонсирована новая технология «Защита доступа к сети» . Эта технология содержит как клиентские, так и серверные компоненты, позволяющие создавать и применять определенные политики требований к работоспособности, определяющие характеристики конфигурации программного обеспечения и системы при подключении компьютеров к внутренней сети организации. Когда клиентские компьютеры подключаются к сети организации, их компьютеры должны соответствовать определенным требованиям состояния и если компьютер не соответствует таким требованиям (например, установка последних обновлений операционной системы), то они будут помещены в сетевой карантин, где смогут загрузить последние обновления, установить антивирусное обеспечение и выполнить другие требуемые действия. В этой вводной статье я вкратце расскажу о данной технологии.

Технология защиты доступа к сети и методы принудительной защиты

Как уже было упомянуто немного ранее, защита доступа к сети (Network Access Protection, NAP) является расширяемой платформой, предоставляющей определенную инфраструктуру. Защита доступа к сети требует выполнения полной проверки и оценивает работоспособность клиентских компьютеров, при этом ограничивая сетевой доступ для клиентских компьютеров, не соответствующих этим требованиям. В защите доступа к сети применяются политики работоспособности, проверяющие и оценивающие клиентские компьютеры, приводя их в соответствие политике работоспособности до предоставления им полного доступа к сети. Несмотря на то, что технология защиты доступа к сети обеспечивает богатый функционал, такие компоненты как проверка состояния работоспособности компьютера, создание отчетов о работоспособности, сравнение показателей работоспособности клиентского компьютера с параметрами политики работоспособности, а также настройка параметров клиентского компьютера в соответствие с требованиями политики работоспособности осуществляются другими компонентами, которые называются агентами работоспособности системы и средствами проверки работоспособности системы. Агенты работоспособности по умолчанию включены как компоненты системы в операционных системах, начиная с Windows Vista и Windows Server 2008. Но для интеграции защиты доступа к сети, разработчики стороннего программного обеспечения также могут использовать набор API для написания своих собственных агентов работоспособности. Стоит обратить внимание на то, что защита доступа к сети предоставляет двухстороннюю защиту клиентских компьютеров и внутренней сети организации, обеспечивая соответствие подключающихся к сети компьютеров действующих в организации требованиям политики сети, а также политики работоспособности клиента.

Сами по себе политики работоспособности применяются с использованием компонентов клиентской стороны, которые уже проверяют и оценивают работоспособность, согласно которым ограничивается доступ к сети для несоответствующих клиентских компьютеров, а также одновременно компонентов клиентской и серверной стороны, обеспечивающих обновление несоответствующих клиентских компьютеров для предоставления им полного доступа к сети. А работоспособность задается в виде сведений о клиентском компьютере, которые используются защитой доступа к сети для определения возможности доступа данного клиента к внутренней сети организации. К примерам характеристик, которые проверяются при оценке состояния работоспособности состояния конфигурации клиентского компьютера, по сравнению с состоянием, необходимым в соответствии с политикой работоспособности можно отнести статус установки обновлений операционной системы и обновлений сигнатур антивирусного программного обеспечения, установку обновлений антишпионского программного обеспечения, работоспособность брандмауэра на клиентском компьютере и прочее. В том случае, если конфигурация клиентского компьютера не будет соответствовать необходимому состоянию, таким компьютерам или будет полностью запрещен доступ к сети организации, или им будет предоставлен доступ только к специальной сети карантина, где клиенту будут предоставлены обновления программного, антивирусного и антишпионского обеспечения.

Когда клиентские компьютеры пытаются получить доступ к сети организации через такие серверы доступа к сети как VPN-серверы, к ним применяется принудительная защита доступа к сети. Способ применения такой принудительной защиты напрямую зависит от выбранного метода применения. Политики работоспособности защиты доступа к сети могут быть применены к следующим сетевым технологиям:

Протоколу DHCP . При использовании этого типа принудительной защиты используется серверная роль DHCP, установленная на компьютере под Windows Server 2008, обеспечивающая автоматическое предоставление IP-адресов клиентским компьютерам. Если для этого типа включена защита NAP, то IP-адреса, предоставляющие сетевой доступ могут получить лишь компьютеры, которые полностью соответствуют требованиям безопасности, а все остальные компьютеры будут получать адреса в подсети 255.255.255.255 без основного шлюза. Несмотря на то, что клиенты не могут получить доступ к сети организации, они будут обеспечены маршрутами узла, направляющих трафик на сетевые ресурсы в группе восстановления работоспособности, где они смогут установить все необходимые обновления безопасности;
Безопасным подключениям IPSec . Этот метод включения принудительной защиты развертывается для того, чтобы клиенты проверяли актуальность защиты системы перед получением сертификата работоспособности. В свою очередь, сервер сертификации выдает клиентам NAP сертификат X.509 для проверки подлинности, который необходим для обеспечения безопасности IPSec перед подключением клиентов к сети, когда они обмениваются данными по протоколу IPsec с другими клиентами организации. При использовании текущего метода вместе с поддержкой защиты доступа к сети вам предстоит еще развернуть сервер сертификации;
Проводным и беспроводным сетям IEEE 802.1X . Метод принудительной защиты на основании проводных или беспроводных сетей IEEE 802.1X реализуется совместно с точками беспроводного доступа или коммутаторами Ethernet с поддержкой проверки подлинности 802.1X. При этой реализации сервер NAP дает коммутатору проверки подлинности 802.1X или точке беспроводного доступа 802.1X команду перемещать несоответствующих требованиям клиентов в зону карантина или вообще не подключать к сети организации. Текущий метод защиты обеспечивает гарантии соответствия требованиям системы безопасности для компьютеров, которые могут находиться в сети продолжительное время;
VPN-серверам и подключениям . Применение данного метода принудительной защиты предназначается для работы с виртуальными частными сетями и предусматривает развертывание VPN-сервера Windows Server 2008 и компонента «Маршрутизация и удаленный доступ» . Соответственно, при использовании NAP, клиенты, подключающиеся к виртуальной частной сети должны проходить проверку работоспособности, и неограниченный сетевой доступ будут получать лишь те клиентские компьютеры, которые соответствуют требованиям системы безопасности;
Шлюзу удаленных рабочих столов . Несмотря на то, что в большинстве случаев к серверам удаленных рабочих столов могут подключаться лишь определенные авторизированные пользователи, отслеживание состояния работоспособности клиентских компьютеров позволяет подключаться к серверам или удаленным рабочим столам только соответствующим требованиям безопасности компьютерам.

Заключение

В целом, как вы уже поняли, технология «Защита доступа к сети» обеспечивает дополнительную степень безопасности, предоставляющую допуск к ресурсам внутренней сети только тем компьютерам, которые соответствуют отведенным требованиям безопасности. Но не стоит забывать и о том, что, несмотря на обеспечение гарантии технологии защиты доступа к сети, ваши пользователи не смогут подключиться к внутренней сети без соответствия требований безопасности, работа NAP может не значительно препятствовать опытному хакеру, все равно подключиться к сети вашей организации. На этом первая статья из цикла статей по технологии защиты доступа к сети NAP подходит к концу. В следующих статьях данного цикла вы узнаете о развертывании технологии NAP, об устранении неполадок, связанных с это технологией, обо всех методах принудительной защиты, а также о многих других нюансах.