Domov › Sazby › Stavový šlofík. Network cop: zkoumání možností nové technologie ochrany síťového přístupu NAP. Použití zabezpečení přístupu k síti pro DHCP

Stavový šlofík. Network cop: zkoumání možností nové technologie ochrany síťového přístupu NAP. Použití zabezpečení přístupu k síti pro DHCP

V IT je problém zranitelnosti sítě kvůli připojení pochybných počítačů k ní již dlouho naléhavý. V tomto ohledu se aktivně studují řešení, která mohou fyzicky posílit bezpečnostní politiku společnosti. Network Access Control (NAC) byl vytvořen přesně pro tento účel. NAC poskytuje platformu pro vývoj služeb a funkcí, které mohou dotazovat počítač před připojením k zabezpečené interní síti a ověřit, zda splňuje stanovené požadavky na spolehlivost a zabezpečení.

Korporace Microsoft představil svou verzi řízení přístupu k síti pomocí ZDŘÍMNUTÍ, která poskytuje službu pro kontrolu zdravotních požadavků před přístupem k síti. Část ZDŘÍMNUTÍ zahrnuje služby, komponenty a aplikační programovací rozhraní (API), které pomáhají zajistit funkčnost serverů a sítí se systémem Windows Server 2012 a také klientů se systémem Windows 8 a Windpws 7.

Podívejme se blíže – co je NAP?

Ochrana přístupu k síti ( Ochrana přístupu k síti, NAP ) je platforma pro testování funkčnosti počítačových systémů před jejich vpuštěním do zabezpečených sítí. Zajistí, aby byl váš počítač „otestován“ před každým pokusem o navázání nového připojení k privátní síti.

Před NAP typické připojení externí počítač došlo vytvořením klientského připojení přes veřejnou síť, jako je Internet, pomocí připojení VPN.

Klientské připojení nejprve prošlo bránou firewall nebo bylo přesměrováno na proxy pomocí příslušných portů požadovaných zavedeným bezpečnostním protokolem. Dále ověřovací služba ověřila přihlašovací údaje klienta vzdáleného přístupu.

Pokud byly přihlašovací údaje úspěšně ověřeny, klient se připojil k části zabezpečené sítě, která byla připojena dříve.

V tomto scénáři je vážná chyba. Mohly by nastat problémy, pokud je klient pro vzdálený přístup tím, za koho se vydává, poskytuje všechna požadovaná pověření a provádí pouze autorizované úlohy v privátní síti?

Ano. Řekněme ale, že klient pro vzdálený přístup provádí nestandardní servisní požadavky, zjišťovací či vyšetřovací operace, nebo – v horším případě – instalaci škodlivého softwaru bez vědomí uživatelů počítače, na kterém je připojení pro vzdálený přístup připojeno. To byl jeden z hlavních důvodů implementace řešení ZDŘÍMNUTÍ .

NAP snižuje pravděpodobnost vstupu do zabezpečená síť viry mnou cestující zaměstnanci nebo hosté. Standardní tok informací z počítače připojujícího se k síti je upraven a prochází perimetrem, kde se o něj starají komponenty platformy ZDŘÍMNUTÍ. Samotná platforma nyní zahrnuje celý ekosystém NAP, a když je externí klient požádán o připojení, je nyní označována jako „klient NAP“.

Obvodová síť si zachovává stejné bezpečnostní služby a zařízení jako dříve. Požadavek na přístup klienta NAP je však vynechán, aby bylo možné určit stav pomocí komponent NAP. Obrázek níže ukazuje rozdíly mezi tradičním vytáčeným připojením a připojením využívajícím platformu NAP.

Obrázek ukazuje nejen komponenty NAP zahrnuté v toku informací, ale také to, že přístup klienta NAP lze omezit na externí síť, která se nazývá karanténní síť a kde další servery aktualizovat klienta, aby splňoval požadavky na výkon.

Kompletní řešení NAP se skládá ze tří samostatných funkcí:

zdravotní prohlídka
zajištění souladu se zdravotní politikou;
Omezení přístupu.

Kontrola zdravotního stavu.

Testování stavu je proces kontroly stavu počítače a stanovení jeho kompatibility. Pokud je platforma NAP nakonfigurována pro práci s karanténní sítí, je přístup nevyhovujícího počítače omezen pouze na podsíť karanténní sítě, dokud nebude uvedena do souladu.

Pokud je architektura NAP zpočátku implementována pouze s protokolováním neshody, zaprotokoluje se shoda počítače s požadavkem na stav a je povoleno pokračovat v připojování jako obvykle.

Dodržování zdravotních zásad.

Správci vytvářejí zásady stavu, aby mohli monitorovat a případně vynucovat požadavky na stav. Zdravotní politika je jádrem řešení NAP. Zásady stavu kromě mnoha dalších faktorů shody nastavují úroveň aktualizací softwaru. sestavení OS. antivirové kontroly a nastavení firewallu povoleno.

Omezení přístupu k síti.

Pokud počítačové systémy nesplňují zdravotní standardy požadované pro připojení k privátní síti, může správce připojení povolit, ale neshody zaznamenat, nebo přesměrovat připojení do karanténní sítě, aby nakonfiguroval a aktualizoval všechna nevyhovující nastavení počítače. Toto je funkce omezeného přístupu NAP.

Pokud vám článek pomohl nebo máte stále dotazy, napište do komentářů.

Jeden aspekt zabezpečení sítě Mnoho správců frustruje, že nemají žádnou kontrolu nad konfigurací vzdálených počítačů. Přestože podniková síť může mít velmi zabezpečenou konfiguraci, v současné době neexistuje nic, co by bránilo vzdálenému uživateli v připojení k podnikové síti pomocí počítače, který je napaden viry nebo který nemá potřebné aktualizace. Nazvaný nástroj operačního systému Longhorn Server Ochrana přístupu k síti(Network Access Protection, NAP) tuto situaci změní. V tomto článku vám povím o nástroji NAP a ukážu vám, jak funguje.

Když jsem pracoval jako správce sítě, jedna z věcí, která mě opravdu frustrovala, bylo, že jsem měl velmi malou kontrolu nad vzdálenými uživateli. Obchodní požadavky mé organizace vyžadovaly, aby se vzdálení uživatelé mohli připojit k podnikové síti odkudkoli mimo kancelář. Problém byl v tom, že ačkoli jsem podnikl extrémní opatření k zabezpečení podnikové sítě, neměl jsem absolutně žádnou kontrolu nad počítači, které mohli uživatelé používat pro vzdálené připojení k síti. Domácí počítač zaměstnance totiž není majetkem firmy.

Důvod, proč mě to tak frustrovalo, byl ten, že jsem nikdy nevěděl, v jakém stavu je počítač uživatele. Někdy se mohou vzdálení uživatelé připojit k síti pomocí počítače, který je infikován viry. Někdy může počítač vzdáleného uživatele používat zastaralou verzi operačního systému Windows. Přestože jsem podnikl kroky k ochraně podnikové sítě, vždy jsem se obával, že vzdálený uživatel s nedostatečným zabezpečením může infikovat soubory v síti virem nebo náhodně vystavit citlivé podnikové informace, protože jeho počítač může být napaden trojským koněm.

Před pár lety se však objevil paprsek naděje. Microsoft se připravil na vydání operačního systému Windows Server 2003 R2, jehož součástí byla i diskuse o novém nástroji nazvaném NAP. Abych příběh trochu zkrátil, řeknu vám, že pro nastavení zabezpečení sítě pomocí dřívějších verzí tohoto nástroje jste museli mít pokročilé vzdělání v oboru zabezpečení počítače. A tak byl z finální verze R2 odstraněn nástroj NAP.

Společnost Microsoft od té doby udělala mnoho práce na vylepšení nástroje NAP a NAP je nyní jedním ze základních bezpečnostních nástrojů operačního systému Longhorn Server. Přestože bude konfigurace nástroje NAP ve verzi Longhorn mnohem snazší než u dosud nevydané verze pro Windows Server 2003, je stále poměrně složitá. Účelem napsání tohoto článku proto bylo poskytnout vám popis nástroje NAP a také vám před vydáním ukázat, jak funguje. oficiální verze Operační systém Longhorn Server.

Začít

Než budu pokračovat, chci vysvětlit ještě jednu věc o nástroji NAP. Účelem nástroje NAP je zajistit, aby počítač vzdáleného uživatele splňoval bezpečnostní požadavky vaší organizace. NAP nedělá nic, aby zabránil neoprávněnému přístupu do vaší sítě. Pokud má útočník počítač, který splňuje bezpečnostní požadavky vaší společnosti, pak NAP neudělá nic, aby se pokusil útočníka zastavit. Ochrana před vetřelci, kteří se snaží získat přístup síťové zdroje– to je úkolem dalších bezpečnostních mechanismů. NAP je navržen tak, aby jednoduše zabránil autorizovaným uživatelům, kteří používají nezabezpečené počítače, vstoupit do vaší sítě.

Ještě jednu věc, kterou chci zmínit, než budu pokračovat, je to, že nástroj NAP se liší od nástroje Kontrola karantény síťového přístupu, který je součástí operačního systému Windows Server 2003 Nástroj Kontrola karantény síťového přístupu používá k ovládání vzdálených počítačů omezené zásady , ale podléhá NAP.

Základy zabezpečení přístupu k síti

Nástroj NAP je určen k rozšíření firemní VPN. Proces začíná, když klient naváže relaci VPN se serverem Longhorn se službou Směrování a vzdálený přístup. Poté, co uživatel naváže spojení, server síťová politika kontroluje stav vzdáleného systému. Toho je dosaženo porovnáním konfigurace vzdáleného počítače se zásadou přístup k síti, který je definován správcem. Co se stane dále, závisí na tom, co administrátor napsal v této politice.

Správce má nastavení pro konfiguraci buď zásady pouze monitorování, nebo zásady izolace. Pokud je povolena pouze politika monitorování, pak každý uživatel se správnými právy bude mít přístup k síťovým prostředkům bez ohledu na to, zda jeho počítač splňuje firemní bezpečnostní politiku či nikoli. Přestože zásady monitorování nezakazují žádnému počítači přístup k vaší síti, výsledek porovnávání konfigurace vzdáleného počítače s firemními požadavky je zaznamenán do speciálního protokolu.

Podle mého názoru je politika monitorování nejvhodnější pro přechod do prostředí NAP. Přemýšlejte o tom na chvíli, pokud máte vzdálené uživatele, kteří potřebují přístup k prostředkům ve vaší podnikové síti, aby mohli pracovat, pravděpodobně nebudete chtít zpočátku povolit NAP v režimu izolace. Pokud se tak rozhodnete, je velká šance, že žádný z vašich vzdálených uživatelů nebude mít přístup k vaší podnikové síti. Místo toho můžete nakonfigurovat architekturu NAP tak, aby používala zásady monitorování. To vám umožní vyhodnotit dopad vašich zásad přístupu k síti, aniž byste někomu náhodně zabránili v práci. Po tomto testování můžete povolit zásadu v režimu izolace.

Jak jste již pravděpodobně uhodli, v režimu izolace jsou počítače, které nevyhovují firemním bezpečnostním zásadám, umístěny do segmentu sítě, který je izolován od zdrojů průmyslové sítě. Samozřejmě je to velmi obecné tvrzení. Je zcela na správci, aby rozhodl, co udělá s uživatelem, jehož počítač nevyhovuje firemním zásadám. Správce obvykle udělí uživatelům, jejichž počítače nevyhovují firemním zásadám, přístup do izolovaného segmentu sítě, který jsem zmínil výše. Správce má také možnost omezit přístup k jednomu prostředku nebo ke všem síťovým prostředkům.

Možná se divíte, jaké výhody může mít poskytnutí přístupu počítačům, které nesplňují firemní požadavky, do izolovaného segmentu sítě. Pokud se k síti připojí nevyhovující počítač a nástroj NAP běží v režimu izolace, bude tomuto počítači odepřen přístup k průmyslové síti. Tato karanténa obvykle trvá, dokud je uživatel připojen k síti. Pouhé umístění počítačů, které nevyhovují firemním zásadám, do karantény pomáhá předcházet virovým infekcím nebo zneužívání bezpečnostních děr ve vaší síti, ale neblokuje to mnoho uživatelského zážitku. Koneckonců, pokud uživatel nemá přístup k síťovým zdrojům, nemůže dělat svou práci.

Zde přichází na pomoc izolovaný segment sítě. Správce může do tohoto izolovaného segmentu umístit speciální sadu aktualizací a antivirů. Tyto prostředky vám umožňují uvést počítač vzdáleného uživatele do souladu s požadavky společnosti. Takové servery mohou například obsahovat aktualizace zabezpečení nebo antivirového softwaru.

Je velmi důležité poznamenat, že nástroj NAP neobsahuje žádné mechanismy, které by mohly kontrolovat stav vzdáleného počítače a instalaci aktualizací na něm. To již bude práce agentů stavu systému a validátorů stavu systému. Říká se, že tyto komponenty budou integrovány do další verze SMS serveru.

Závěr

V tomto článku jsem vám řekl o novém nástroji v operačním systému Longhorn Server s názvem NAP. Ve druhé části tohoto článku vás provedu procesem nastavení pomocí tohoto nástroje.

Situace, kdy jedna pracovní stanice nemá nainstalované nejnovější záplaty,
na jiném nefunguje firewall a na třetím není žádný antivirový nebo antispywarový software,
potkává po celou dobu. O bezpečnosti celé sítě ale rozhoduje nejvíce
slabé spojení. Co by měl správce dělat s klientskými počítači?
splňují bezpečnostní požadavky?

Nová technologie NAP

Technologie ochrany přístupu k síti NAP (ochrana přístupu k síti),
implementovaný ve Win2k8, je navržen tak, aby pomáhal správci udržovat
Zabezpečení sítě na nejvyšší možné úrovni. Princip práce NAP je
v dalším. Když se klient připojí k internetu, zkontroluje se přítomnost brány firewall,
nejnovější aktualizace zabezpečení, aktualizace antiviru atd. Li
počítač nesplňuje přijaté zásady, bude mít plný přístup
odmítnuty, dokud nebudou zjištěné problémy opraveny. V závislosti
z nastavení jsou počítače, které kontrolou neprojdou, buď blokovány úplně, popř
jsou v karanténě (například jim jsou přiděleny IP adresy z jiného rozsahu).
Případně můžete nakonfigurovat pouze protokolování takových událostí bez přijetí
jakákoli opatření. Korekční servery mohou být umístěny v karanténní podsíti
(Sanační server), poskytování zdrojů k řešení identifikovaných
nedostatky, například aktualizační server WSUS (Windows Server Update
služby) nebo antivirovou databázi. Po aktualizaci dodržování zásad
je znovu zaškrtnuto - pokud je vše v pořádku, systém získá přístup do sítě.
Mezi nastaveními můžete určit webovou stránku, která popisuje proč
uživatel se nemůže připojit a co pro to musí udělat.

Tak, ZDŘÍMNUTÍ plní nejen blokovací funkce, ale také je
prostředek, který pomůže odstranit zjištěné nedostatky. Jeho práce není omezena na
jednorázová kontrola při připojení (poté se uživatel může odpojit
antivirus, „aby nerušil“). Stav je pravidelně kontrolován na
po celou dobu připojení počítače k internetu.

U některých počítačů (nekompatibilní OS; notebook návštěvníka, který
nemáme právo spravovat) lze nakonfigurovat výjimku, která vám umožní přijímat
přístup v každém případě.

Je velmi důležité tomu rozumět NAP sám o sobě nechrání síť a zvláště
nenahrazuje antivirus a firewall. S mnoha se stýká
vynucovací mechanismy (DHCP, VPN, IPsec, IEEE 802.1xa TS-Gateway) pro
zvýšení úrovně bezpečnosti. Vlastně jeden z úkolů správce, když
Nasazení NAP je o výběru „vaší“ metody. Nejjednodušší a nejvíce
implementace a princip fungování je DHCP, stačí ho přestavět
směrovací tabulky a klient již nebude mít přístup k síti.
Upravená služba DHCP vyhovující NAP se nazývá DHCP NAP Enforcement
Klient (EC). Jiné metody jsou spolehlivější, i když budou vyžadovat další
nastavení.

Podívejme se na tuto možnost. Celý klientský systém je v pořádku, jen ne
Firewall je aktivován. Co je nejjednodušší v takové situaci udělat? Blok
přístup nebo vysvětlit uživateli, jaký je jeho problém? Ne. Jednodušší zapínání
Brána firewall systému Windows. Zde se dostáváme k další důležité funkci ZDŘÍMNUTÍ
– architektura klient-server.

K hodnocení stavu se používá agent ZDŘÍMNUTÍ nebo již zabudované
systému nebo instalované samostatně. Agent předloží zprávu o shodě
stanovené požadavky na server síťové politiky ( NPS, server síťových zásad)
zaslání speciálu Markery SHV (validátory stavu systému). server NPS
je engine pro zpracování politik zabudovaný do Win2k8. Přišel vystřídat
Internetová autentizační služba (IAS), která poskytla RADIUS
ověřování v Active Directory.

Kromě Win2k8 je agent již součástí Windows Vista a XP SP3. Sám agent
se skládá z několika úrovní. To vám umožní rozšířit jeho možnosti. Za
Agent stavu systému ( Systém
Health Agents, S.H.A.). Navíc může současně pracovat na počítači
několik takových agentů. Vlastní agent Microsoft SHA na základě
informace přijaté z Centra zabezpečení, zkontroluje, zda je povolena brána firewall,
zda je nainstalován antivirový a antispywarový software. Výrobci softwaru mohou
přidejte SHA na podporu svých produktů. Karanténní agent ( Karanténa
Agent, QA) generuje zprávy o zdravotním stavu SHA. A nakonec
nátlakový klient ( Klient pro vymáhání, EC) poskytuje přístup k internetu,
na základě stavu systému.

Dostupné API umožňuje třetím stranám vytvářet implementace EC pro jejich vlastní
řešení a použití síťového identifikačního protokolu IEEE 802.1X
zaručuje kompatibilitu s různé typy zařízení. V současné době
byl vyvinut protokol pro autorizaci pověření uzlů ( Pověření hostitele
Autorizační protokol, HCAP), poskytující integraci s podobnými
rozvoj Cisco NAC (Řízení přístupu do sítě). aktivovat
Podpěra, podpora HCAP možné během instalace serveru NPS. Jsou tam data
vývoj agenta Anyclick for NAP pro Mac a Linux v UNETsystem (www.unetsystem.co.kr).
Avenda Company (www.avendasys.com)
již představila hotové (i když ne bezplatné) řešení Avenda Linux NAP Agent
pro použití na Linuxu.

Instalace NPS

Role NPS, stejně jako většina ostatních rolí, není ve výchozím nastavení povolena
je nainstalován. Vyberte odkaz ve Správci serveru
„Přidat role“, poté v okně výběru role zaškrtněte „Služby zásad“
Síťová politika a přístupové služby. Po cestě nezapomeňte
nainstalovat další role, které mohou být vyžadovány (DHCP, služby
terminály, VPN). V další nastavení budeme používat DHCP, takže
Zaznamenáváme také roli „DHCP Server“.

Pojďme k Select Role Services. Kromě HCAP, o kterém
výše a samotný NPS, existuje řada dalších bodů, které aktivujeme
v závislosti na konfiguraci. Tedy „Centrum registrace zdraví“ (Health
Registrační autorita (HRA) je součástí NAP, která poskytuje
Zabezpečení IPSec. Role HRA a HCAP budou vyžadovat IIS a Windows Process
Aktivační služba. V příslušném kroku se objeví požadavek na jejich instalaci.
Role služby směrování a vzdáleného přístupu
Služba, RRAS) je vyžadována pro klienty připojující se vzdáleně (vytáčené připojení a VPN,
NAT). To je vlastně všechno. Po dokončení instalace přejděte na kartu „Role“.
Ve „Správci serveru“ se objeví nová položka. Také v nabídce "Administrativní".
Tools), bude k dispozici konzola Network Policy Server.

Nastavení NPS pomocí šablony

Konzola pro správu umožňuje konfigurovat server NPS několika způsoby.
Nejjednodušší - vyberte požadovanou konfiguraci z rozevíracího seznamu
„Standardní konfigurace“ na hlavní stránce.
Odtud můžete rychle nakonfigurovat server NAP i vzdálený server RADIUS
přístup (Dial-up & VPN) a připojení IEEE 802.1x. Vyberte například „Ochrana
Ochrana přístupu k síti. Poté se zobrazí ve spodní části stránky
odkaz na dokumentaci. Chcete-li zahájit nastavení, klikněte na „Konfigurace NAP“
NAP), – spustí se průvodce konfigurací. Nejdůležitějším krokem je definovat „Síť“ v seznamu
Způsob připojení" způsob připojení pro klienty kompatibilní s NAP. Tady je
všechny podporované možnosti NAP: DHCP, IPSec s HRA, IEEE 802.1x drátové a bezdrátové,
VPN a TS-Gateway. Poté v poli „Název zásady“ zadejte, pokud je to nutné
název pravidla a přejděte ke kroku výběru serveru vynucené ochrany
přístup. Hlavní věcí je nenechat se zmást v terminologii, protože vás požadují, abyste ukazovali na RADIUS
klienta. Obvykle se jedná o směrovač nebo bezdrátový bod kompatibilní s IEEE 802.1x
přístup.

Pokud počítač, na který instalujete NPS, běží
DHCP, pak můžete tento krok přeskočit. V síti může být několik oborů DHCP;
server NPS může monitorovat všechny nebo jen některé. Krok „Upřesněte
Rozsahy DHCP“ umožňuje definovat rozsahy, které budou
ovládané tímto serverem. Pokud zde nic neupřesníte, budou zásady platit
platí pro všechny oblasti NAP. Všechny přidané servery DHCP musí také
podpora NPS. Nyní označíme skupiny uživatelů a počítače, do kterých
budou platit pravidla. Na další stránce „Zadejte nápravu NAP
Skupina a URL“ specifikujeme skupinu aktualizačních serverů, které budou použity
klientů. Pokud taková skupina neexistuje, měli byste ji vytvořit kliknutím na tlačítko „Nová“.
skupina". Těsně níže do řádku „Adresa URL řešení problémů“ zadejte adresu stránky s
pokyny pro uživatele (v případě potřeby) a pokračujte v definici
Definujte politiku NAP Health. Zaškrtnuté políčko
„Povolit automatickou nápravu klientských počítačů“
klientské počítače) umožňuje klientským systémům přijímat aktualizace, nikoli
vyhovující politiky. Pokud tato možnost není vybrána, klienti nebudou
že podpora NAP se nebude automaticky aktualizovat a nebude moci přijímat plnou
přístup, dokud nebudou ručně aktualizovány. Přepínač ve spodní části umožňuje výběr
omezení přístupu k síti pro klienty, kteří nepodporují architekturu NAP. Výchozí
Je povolen pouze omezený přístup (Zakázat plný přístup k síti...). Pokud podle
Z nějakého důvodu pro takové systémy neexistují žádná omezení, pak přejdeme na
plný přístup (Povolit úplný přístup k síti...). Po kliknutí na tlačítko "Další".
Vytvoří se zásady a zobrazí se zpráva.

Představujeme konzoli NPS

Zásady se nastavují jemněji v samostatných nabídkách. Takže v „RADIUS Server and
Klienti“ konfiguruje klienty a vzdálené skupiny serverů RADIUS (Remote RADIUS
Skupiny serverů). Pokud je uzel NPS nakonfigurován jako proxy RADIUS, pak vzdálený
požadavky na připojení budou předány serveru.

Nabídka Zásady určuje zásady požadavků na připojení.
Zásady požadavků, CRP), Zásady sítě a
výkonnosti (Zdravotní politika). Zásady CRP definují handler
požadavek při připojování klienta. Může to být buď lokální uzel nebo
dálkové (v případě RADIUS). Protože jsme dříve vytvořili zásady pomocí
šablona, pak jsou v seznamu dvě položky: NAP DHCP a autentizace
Okna. Chcete-li přidat novou zásadu, vyberte položku v kontextové nabídce
"Nový dokument". Poté postupujte podle pokynů mistra. Ve sloupci "Stav".
ukazuje, zda je politika aktivní nebo ne, a číslo v sousedním sloupci označuje
pořadí jeho zpracování.

Chcete-li změnit zásady, poklepejte na název. V okně, které se objeví
vlastnosti - tři záložky. Na kartě Přehled můžete změnit název
politici; zrušením zaškrtnutí políčka „Zásady povoleny“ zaškrtnutí vypněte
tuto politiku serverem. Níže uvedený rozevírací seznam umožňuje změnit typ
Server NPS (je aktuálně nainstalován server DHCP). Bude platit aktivní politika
bez jakýchkoliv omezení. Na kartě „Podmínky“ různé
omezení pro vybranou politiku: podle času, IP adresy, skupiny HCAP, podle názvu
uživatel, protokol, služba a typ tunelu atd. Včetně, existují
a jako je vývojář zařízení RADIUS. To vše umožňuje nastavit
opravdu flexibilní pravidla, i když se musíte trochu snažit. A,
konečně ve třetí záložce „Nastavení“ nakonfigurujete parametry
síťové zásady, které budou použity po kontrole všech omezení.
Většinu základních nastavení NAP naleznete v "Zásadách sítě". Rozlišovat
dva typy politik: permisivní a prohibitivní. Po použití šablony v
seznam již bude obsahovat pět zásad, které určují, kdo a na čem
podmínky povolí nebo zamítnou přístup. Při výběru zásady v oknech níže
zobrazí se podmínky a parametry. V případě potřeby je lze upravit,
vyvolání průvodce dvojitým kliknutím. Nová politika se vytvoří stejným způsobem jako předchozí
(v kontextovém menu vyberte „Nový dokument“).

Pojďme k vlastnostem politiky. Okamžitě si uvědomte, že nyní nejsou žádné karty
čtyři: přidáno „Omezení“. A obsah ostatních záložek je mírně
změnila. Karta „Přehled“ určuje, zda povolit nebo zakázat přístup
sítě zákazníkům, kteří splňují požadavky této politiky. Instalováno uživatelem
Ve výchozím nastavení zaškrtávací políčko „Ignorovat“. Uživatelský účet vlastnosti dial-in“ umožňuje ignorovat
vlastnosti vzdáleného přístupu uživatelského účtu v případě požadavku na
připojení splňuje zásady. Konfigurace metod ověřování
přesunuta do sekce „Omezení“. Zde je také indikován časový limit nečinnosti a relace,
časová omezení, typ portu NAS a některé další. resp.
Obsah záložky „Možnosti“ se mírně změnil. Je nakonfigurován
IP filtry (umožňují vám určit, které pakety zpracovat na tomto rozhraní),
šifrování, další atributy RADIUS, vícekanálové zpracování
spojení. Zásady pro přidělování IP adresy klientovi jsou definovány v článku „IP
Nastavení". Výběrem " Nucené použití NAP" (NAP Enforcement), my
konfigurovat úroveň aplikace pravidel NAP. Může to být plný přístup k internetu,
plný přístup k omezený čas(zkušební doba) a omezený přístup.

Mít tolerantní zásady a nastavení může být trochu matoucí. Na jevišti
příprava, je třeba jasně definovat úkoly a představit si finále
výsledek tak, aby se neaktivovalo nic zbytečného. Takže nastavení zásad sítě
pro "správné" klienty by měli umožnit plný přístup, automatická aktualizace by měla
být vypnutý. Pro narušitele naopak máme omezený přístup a aktivaci
automatická aktualizace.

Skupina aktualizačních serverů je určena v okně, které se zobrazí po kliknutí na tlačítko
"Konfigurovat" Zodpovědný za automatickou aktualizaci klientských počítačů
Zaškrtávací políčko „Povolit automatickou nápravu klientských počítačů“.

Konfigurace požadované pro klienty s podporou NAP pro přístup k síti
jsou vytvořeny v „Zdravotní politice“. Po použití šablony jsou zde dvě
Zásady: kompatibilní s DHCP a nekompatibilní s DHCP. Druhý definuje klienty,
které neprošly jednou nebo více kontrolami SHV.

Parametry SHV a skupiny aktualizačních serverů se konfigurují přímo v
Nabídka "Ochrana přístupu k síti". Ve výchozím nastavení je v NPS pouze jeden SHV -
"Kontrola stavu zabezpečení Windows" (Windows
Validátor stavu zabezpečení). Poklepáním otevřete okno vlastností, ve kterém
představuje způsoby, jak vyřešit chybový kód v různých situacích (SHV nemůže
kontaktovat služby nebo nereaguje, SHA nereaguje klientovi atd.). Podle
Ve výchozím nastavení, když dojde k jakékoli chybě, je klient nastaven na
"Nekompatibilní". Kliknutím na tlačítko „Konfigurovat“ budeme moci specifikovat
požadavky na klientské počítače (samostatně Windows XP a Vista):

měl by Windows Firewall (nebo jiný kompatibilní
firewall);
měl by být povolen antivirový program a jak je aktuální?
verze;
zda Windows Defender nebo jiný antispywarový software funguje a jak dobře funguje
relevantní (pouze pro Vista);
je povolena automatická aktualizace?
Jsou nainstalovány aktualizace zabezpečení? danou úroveň, což naznačuje
čas poslední kontroly aktualizací.

Poslední menu – „Účetnictví“ – má na starosti nastavení
Protokolování událostí NPS. K ukládání protokolů můžete použít místní
soubor nebo databáze SQL serveru (včetně vzdáleného). Použitím
místní úložiště událostí se zobrazí v prohlížeči událostí.

Nastavení klienta NAP

Klient NAP se konfiguruje pomocí konzole MMC"Konfigurace
NAP Client" (Konfigurace klienta NAP), k dispozici v kompatibilních verzích OS.
Ve výchozím nastavení se nezobrazuje v seznamu, takže jej musíte přidat
na vlastní pěst. Spusťte mmc z příkazového řádku a přidejte nový modul snap-in
„Konzola“ – „Přidat nebo odebrat modul snap-in“. Ze seznamu vyberte „Konfigurace“.
Klient NAP“ a klikněte na tlačítko „Přidat“. V okně, které se objeví, označte
Počítač, na kterém bude modul snap-in spuštěn (obvykle místní systém).
Po kliknutí na „OK“ se zobrazí okno MMC nová konzole, v jehož kořeni
Nabízí se tři nastavení: klient systému omezení (Enforcement Client),
Nastavení a možnosti uživatelského rozhraní
zdravotní registrace (Zdravotní zásady). Seznam podporovaných
Mechanismy NAP jsou dostupné v „Enforcement Client“ (všechny jsou ve výchozím nastavení zakázány).
Chcete-li například aktivovat mechanismus DHCP, vyberte „Vynutit klienta
karanténa pro DHCP“ (klient pro vynucení karantény DHCP) a klikněte na „Povolit“.
Položka „Nastavení uživatelského rozhraní“ umožňuje nastavit vzhled ikony klienta NAP a
vysvětlující text.

Pokud je počítačů mnoho, ruční nastavení klientů zabere spoustu času. V
V tomto případě byste měli použít zásady skupiny, které jsou umístěny v uzlu
Konfigurace počítače/Nastavení systému Windows/Nastavení zabezpečení/Ochrana přístupu
do sítě (Konfigurace počítače/Nastavení systému Windows/Nastavení zabezpečení/Přístup k síti
Ochrana).

Závěr

Nová technologie Ochrana přístupu k síti umožňuje zvýšit
zabezpečení sítě blokováním nebo omezením přístupu k nechráněnému klientovi
počítače. To platí zejména pro vzdálené systémy, zpravidla
mimo kontrolu správce a sloužící jako hlavní zdroje potíží.

VAROVÁNÍ

NAP sám o sobě nechrání Síť a navíc nenahrazuje antivirus a
firewall.

NAP není určen k ochraně před zasvěcenými osobami a jinými podobnými typy
vnitřní hrozby, kdy má uživatel zvláštní práva na internetu,
umožňující úmyslně i náhodně provádět škodlivé akce.

Jedním z aspektů zabezpečení sítě, který frustruje mnoho správců, je to, že nemají žádnou kontrolu nad konfigurací vzdálených počítačů. Přestože podniková síť může mít velmi zabezpečenou konfiguraci, v současné době neexistuje nic, co by bránilo vzdálenému uživateli v připojení k podnikové síti pomocí počítače, který je napaden viry nebo který nemá potřebné aktualizace. Nástroj operačního systému Windows 2008 Server s názvem Network Access Protection (NAP) může pomoci tuto situaci změnit. V tomto článku vám povím o nástroji NAP a ukážu vám, jak funguje.

Důvod, proč mě to tak frustrovalo, byl ten, že jsem nikdy nevěděl, v jakém stavu je počítač uživatele. Někdy se mohou vzdálení uživatelé připojit k síti pomocí počítače, který je infikován viry. Někdy může počítač vzdáleného uživatele používat zastaralou verzi operačního systému Windows. Přestože jsem podnikl kroky k ochraně podnikové sítě, vždy jsem se obával, že vzdálený uživatel s nedostatečným zabezpečením může infikovat soubory v síti virem nebo náhodně vystavit citlivé podnikové informace, protože jeho počítač může být napaden trojským koněm.

Před pár lety se však objevil paprsek naděje. Microsoft se připravil na vydání operačního systému Windows Server 2003 R2, jehož součástí byla i diskuse o novém nástroji nazvaném NAP. Abychom příběh trochu zkrátili, k nastavení zabezpečení sítě pomocí dřívějších verzí tohoto nástroje jste museli mít vysokoškolské vzdělání v oblasti počítačové bezpečnosti. A tak byl z finální verze R2 odstraněn nástroj NAP.

Společnost Microsoft od té doby udělala mnoho práce na vylepšení nástroje NAP a nyní je nástroj NAP jedním z hlavních bezpečnostních nástrojů v operačním systému Windows 2008 Server. Přestože bude konfigurace nástroje NAP pro Windows 2008 mnohem jednodušší než dosud nevydaná verze Windows Server 2003, je stále poměrně složitá. Účelem psaní tohoto článku proto bylo poskytnout vám popis nástroje NAP a také vám ukázat, jak funguje před oficiálním vydáním operačního systému Windows 2008 Server.

Začít

Než budu pokračovat, chci vysvětlit ještě jednu věc o nástroji NAP. Účelem nástroje NAP je zajistit, aby počítač vzdáleného uživatele splňoval bezpečnostní požadavky vaší organizace. NAP nedělá nic, aby zabránil neoprávněnému přístupu do vaší sítě. Pokud má útočník počítač, který splňuje bezpečnostní požadavky vaší společnosti, pak NAP neudělá nic, aby se pokusil útočníka zastavit. Ochrana proti vetřelcům, kteří se snaží získat přístup k síťovým zdrojům, je úkolem jiných bezpečnostních mechanismů. NAP je navržen tak, aby jednoduše zabránil autorizovaným uživatelům, kteří používají nezabezpečené počítače, vstoupit do vaší sítě.

Základy zabezpečení přístupu k síti

Nástroj NAP je určen k rozšíření podnikové VPN. Proces začíná, když klient naváže relaci VPN se serverem Windows 2008 se službou Směrování a vzdálený přístup. Poté, co uživatel naváže připojení, server síťových zásad zkontroluje stav vzdáleného systému. Toho je dosaženo porovnáním konfigurace vzdáleného počítače se zásadami přístupu k síti, které definuje správce. Co se stane dále, závisí na tom, co administrátor napsal v této politice.

Implementace Network Access Protection vyžaduje použití více serverů, z nichž každý plní specifickou roli. Jak by taková jednoduchá implementace mohla vypadat, můžete vidět na obrázku 1.

Obrázek 1: Implementace ochrany přístupu k síti vyžaduje použití více serverů

Jak můžete vidět z diagramu, klient Windows Vista se připojuje k serveru Windows 2008 se službou Remote Access Service (RRAS). Tento server funguje jako server VPN server pro síť. Klient Windows Vista naváže připojení k tomuto serveru VPN obvyklým způsobem.

Když se vzdálený uživatel připojí k serveru VPN, řadič domény zkontroluje uživatelská práva. Je odpovědností serveru síťových zásad určit, které zásady je třeba povolit a co se stane, pokud vzdálený klient nemá oprávnění. V testovacím prostředí musíte použít jeden fyzický server ke spuštění rolí služby Směrování a vzdálený přístup a role Serveru síťových zásad. Ve skutečné situaci jsou servery VPN umístěny podél obvodu sítě a umístění serveru zásad sítě podél obvodu sítě je velmi špatný nápad.

Řadič domény

Pokud se podíváte na diagram na obrázku A, uvidíte, že jeden z požadovaných serverů je řadič domény. Nemyslete si, že se jedná pouze o jeden server – jedná se o celou infrastrukturu Active Directory. Jak jistě víte, bez Active Directory nemůže fungovat DNS server server. To je důvod, proč, pokud by tento diagram byl doslovným popisem skutečné sítě, pak by doménový řadič k provozu používal služby DNS. V reálné situaci samozřejmě organizace obvykle používají více řadičů domény a vyhrazené DNS.

Dalším faktorem, který je třeba vzít v úvahu, který nemusí být z diagramu tak zřejmý, je, že jsou vyžadovány také podnikové certifikáty. V případě tohoto diagramu lze certifikační služby snadno hostovat na řadiči domény. V reálné situaci se často používá speciální server pro certifikáty, protože Povaha digitálních certifikátů je velmi citlivá.

V případě, že vás zajímá, důvod, proč je potřeba podnikový certifikát, je ten, že server VPN používá k ověřování PEAP-MSCHAPv2. A protokol PEAP používá k provozu certifikáty. Server VPN bude používat certifikáty ze serverového počítače, zatímco vzdálení klienti budou používat uživatelské certifikáty.

Instalace podnikového certifikátu

Postup instalace podnikového certifikátu se může lišit v závislosti na tom, zda instalujete služby na server Windows 2003 nebo na server Windows 2008. Protože jedním z účelů psaní tohoto článku bylo představit vám operační systém Windows 2008 Server, bude následující postup popisovat instalaci certifikačních služeb pro operační systém Windows 2008 Server.

Než vám ukážu, jak nainstalovat certifikační služby, musíte si zapamatovat dvě věci. Za prvé, operační systém Windows 2008 Server je stále ve fázi beta testování. Proto vždy existuje šance, že to, co vám nyní říkám, se do vydání konečné verze změní, ačkoli velmi velké změny v této fázi jsou velmi nežádoucí.

Další věc, kterou je také třeba mít na paměti, je, že musíte přijmout nouzová opatření k zajištění bezpečnosti vašeho podnikového certifikátu. Navíc, pokud někdo převezme váš firemní certifikát, převezme vaši síť. Protože Protože je tento článek zaměřen na ochranu přístupu k síti, ukážu vám, co musíte udělat, abyste své certifikační služby zprovoznili. V praxi musíte lépe přemýšlet o konfiguraci serveru.

Začněme instalační proces otevřením správce serveru operačního systému Windows 2008 Server Manager a výběrem nastavení Spravovat role ze stromu konzoly. Dále klikněte na odkaz Přidat role, který najdete v konzole v sekci Přehled rolí. V důsledku těchto akcí systém Windows spustí Průvodce přidáním rolí. Klepnutím na tlačítko Další přeskočíte uvítací okno průvodce. Nyní uvidíte seznam všech dostupných rolí. Ze seznamu vyberte možnost Active Directory Certificate Server. Role nemusí být umístěny v abecední pořadí, takže v případě potřeby přejděte na konec seznamu a vyhledejte službu, kterou potřebujete. Chcete-li pokračovat, klikněte na tlačítko Další.

Poté se zobrazí obrazovka s Certifikační službou a některými varováními. Klepnutím na tlačítko Další tuto obrazovku přeskočte a přejděte do jiného okna, kde budete vyzváni k výběru součástí k instalaci. Vyberte Certifikační autoritu a také Webový zápis certifikační autority a poté klikněte na tlačítko Další.

Poté se zobrazí obrazovka s dotazem, zda chcete vytvořit podnikový certifikát nebo samostatný certifikát. Vyberte možnost Enterprise Certificate Authority a klikněte na tlačítko Další. Dále budete dotázáni, zda tento server bude fungovat jako kořenová certifikační autorita nebo jako další podřízená certifikační autorita. Protože je prvním (a jediným) certifikátem ve vaší laboratoři, pak musíte vybrat možnost Kořenová CA. Chcete-li pokračovat, klikněte na tlačítko Další.

Dále se vás průvodce zeptá, zda chcete vytvořit nový soukromý klíč nebo použít existující soukromý klíč. Protože je to jen zkušební instalace, vyberte tedy možnost vytvořit nový soukromý klíč a pokračujte kliknutím na tlačítko Další.

V dalším okně budete muset vybrat poskytovatele šifrování, délku klíče a algoritmus hash. V praxi byste měli být opatrní při výběru těchto možností. Protože Tento certifikát vytváříme pouze pro demonstrační účely, ponechte tedy vše jako výchozí a klikněte na tlačítko Další.

Na další obrazovka Budete moci definovat běžný název a také rozlišovací příponu certifikátu. Opět nechte vše jako výchozí a klikněte na tlačítko Další.

Dále se zobrazí okno, ve kterém musíte nastavit dobu platnosti certifikátu. Ve výchozím nastavení je tato doba 5 let, což je pro naše účely skvělé, takže stačí kliknout na tlačítko Další. Dále se otevře okno, ve kterém musíte určit, kde budou umístěny databáze certifikátů a jejich odpovídající transakční protokoly. V průmyslovém prostředí musí být tato volba provedena s extrémní opatrností, pokud jde o bezpečnost a odolnost proti chybám. Protože je to jen zkušební laboratoř, poté stačí kliknout na tlačítko Další.

Základní konfigurační úlohy

Než vám ukážu, jak nakonfigurovat tento server, aby fungoval jako server VPN, musíte dokončit některé základní konfigurační úkoly. V podstatě to znamená, že musíte nainstalovat operační systém Windows 2008 Server a nakonfigurovat jej tak, aby používal statickou IP adresu. Tato adresa IP musí spadat do stejného intervalu, ve kterém pracuje řadič domény, který jsme nakonfigurovali dříve. Řadič domény, který jste nainstalovali dříve v tomto článku, musí být v konfiguraci TCP/IP určen jako preferovaný server DNS, protože funguje také jako DNS server. Po dokončení počáteční konfigurace serveru VPN byste měli pomocí příkazu PING ověřit, zda server VPN může komunikovat s řadičem domény.

Připojování k doméně

Nyní, když jste nakonfigurovali konfiguraci TCP/IP vašeho počítače a ověřili, že se k němu lze připojit, je čas zahájit skutečné konfigurační úlohy. První věc, kterou byste měli udělat, je připojit server k doméně, kterou jste vytvořili dříve v tomto článku. Proces připojení k doméně v operačním systému Windows 2008 Server je velmi podobný stejnému procesu v operačním systému Windows Server 2003 Click klikněte pravým tlačítkem myši na příkaz Počítač, který se nachází v nabídce Start serveru. Jako výsledek Akce Windows 2008 spustí aplet Systém z ovládacího panelu. Nyní klikněte na tlačítko Změnit nastavení, které se nachází v části Název počítače, Doména a Nastavení pracovní skupiny tohoto okna. Tím se zobrazí okno Vlastnosti systému. Okno Vlastnosti systému je velmi podobné oknu v systému Windows Server 2003. Klepnutím na tlačítko Změnit zobrazíte dialogové okno Změny názvu počítače. Nyní vyberte tlačítko Doména, které se nachází v sekci Člen. Do pole Doména zadejte název vaší domény a klikněte na tlačítko OK.

Nyní se zobrazí okno pro zadání vašich práv. Zadejte uživatelské jméno a heslo pro účet správce domény a klikněte na tlačítko Odeslat. Po krátké pauze by se mělo zobrazit dialogové okno, které vás uvítá v doméně. Klikněte na tlačítko OK a zobrazí se další dialogové okno, které vám řekne, že byste měli restartovat počítač. Klikněte znovu na tlačítko OK a poté klikněte na tlačítko Zavřít. Po restartování počítače se stanete členem vámi zadané domény.

Nastavení směrování a vzdáleného přístupu

Nyní je čas nainstalovat službu Směrování a vzdálený přístup. Poté tuto službu nakonfigurujeme tak, aby náš server fungoval jako server VPN. Začněme proces spuštěním správce serveru. Zástupce pro Správce serveru najdete v nabídce Správa. Po spuštění správce serveru přejděte do části Souhrn rolí, kterou najdete v okně podrobností. Nyní kliknutím na odkaz Přidat role spusťte Průvodce přidáním rolí.

Po spuštění průvodce kliknutím na tlačítko Další přeskočte uvítací okno. Nyní uvidíte okno s dotazem, jaké role chcete nainstalovat na server. Vyberte odkaz odpovídající službě Network Access Services. Klikněte na tlačítko Další a zobrazí se obrazovka, která představuje úvod do Služeb síťového přístupu. Klikněte znovu na tlačítko Další a zobrazí se obrazovka, kde můžete vybrat součásti Network Access Services, které chcete nainstalovat. Zaškrtněte políčka odpovídající Serveru síťových zásad a Směrování a vzdálenému přístupu.

Pokud zaškrtnete políčko pro Směrování a vzdálený přístup, automaticky se vyberou Služba vzdáleného přístupu, Směrovací služba a Sada pro správu Connection Manager. Pole Služba vzdáleného přístupu byste měli nechat vybrané, protože spolu s ním budou nainstalovány komponenty potřebné k tomu, aby náš server fungoval jako VPN server. Další dvě pole jsou volitelná. Pokud chcete, aby server fungoval jako směrovač NAT nebo používal směrovací protokoly, jako je IGMP proxy nebo RIP, musíte také ponechat vybrané pole Směrování. V opačném případě si jej nevyberete.

Klikněte na tlačítko Další a zobrazí se obrazovka, která zobrazí obecné informace o službách, které se chystáte nainstalovat. Za předpokladu, že je vše v pořádku, klikněte na tlačítko Instalovat pro zahájení procesu instalace. Nikdo neví, jak dlouho bude proces instalace trvat. finální verze Operační systém Windows 2008 Server. Na mém testovacím serveru, na kterém běží beta verze operačního systému Windows 2008, však proces instalace trval několik minut. Ve skutečnosti existuje iluze, že server je během procesu instalace zablokován. Po dokončení procesu instalace klikněte na tlačítko Zavřít.

Po instalaci služeb síťového přístupu je třeba nakonfigurovat Směrování a vzdálený přístup, aby fungovaly s připojeními VPN. Začněte zadáním příkazu MMC na příkazovém řádku serveru. V důsledku této akce se otevře prázdná konzola Vedení společnosti Microsoft Konzole pro správu. Vyberte příkaz Přidat nebo odebrat modul snap-in z nabídky Soubor. Windows zobrazí seznam dostupných doplňků. Vyberte ze seznamu modul Směrování a vzdálený přístup a klikněte na tlačítko Přidat a poté na tlačítko OK. Do konzole se načte doplněk Směrování a vzdálený přístup.

Klepněte pravým tlačítkem myši na kontejner Stav serveru (stav serveru v konzole) a vyberte příkaz Přidat server z kontextová nabídka. Poté vyberte nastavení Tento počítač a klepněte na tlačítko OK. Konzole by nyní měla zobrazit seznam vašeho serveru. Klepněte pravým tlačítkem na seznam serveru a z kontextové nabídky vyberte Konfigurovat a povolit směrování a vzdálený přístup. V důsledku toho systém Windows spustí Průvodce nastavením serveru pro směrování a vzdálený přístup.

Klepnutím na tlačítko Další přeskočíte úvodní obrazovku průvodce. Nyní se zobrazí obrazovka s dotazem, kterou konfiguraci chcete použít. Vyberte Vzdálený přístup (telefonické připojení nebo VPN) a klikněte na Další. V dalším okně si můžete vybrat mezi nastavením dial-up nebo VPN přístupu. Vyberte pole VPN a klikněte na tlačítko Další.

Nyní asistent otevře okno před vámi pomocí Nastavení VPN spojení. Vyberte síťové rozhraní, které budou klienti používat pro připojení k serveru VPN, a zrušte zaškrtnutí políčka Povolit zabezpečení na vybraném rozhraní nastavením statických paketových filtrů. Klikněte na tlačítko Další a poté vyberte nastavení Ze zadané adresy a znovu klikněte na tlačítko Další.

Poté se zobrazí okno, ve kterém musíte zadat rozsah IP adres, které lze přiřadit VPN klientům. Klikněte na tlačítko Nový a zadejte počáteční a koncovou adresu pro rozsah IP adres. Klikněte na tlačítko OK a poté na tlačítko Další. To způsobí, že systém Windows otevře okno Správa serveru vícenásobného vzdáleného přístupu.

V dalším kroku musíte vybrat Ano, abyste nakonfigurovali server pro práci se serverem Radius. Nyní budete muset zadat IP adresu serveru Radius. Protože NPS poběží na stejném počítači, na kterém běží služby směrování a vzdáleného přístupu, jednoduše zadejte IP adresu vašeho serveru jako primární a sekundární adresu serveru Radius. Budete také muset zadat sdílené tajemství. Pro demonstrační účely jednoduše zadejte rras jako sdílené tajemství. Klepněte na tlačítko Další a poté na tlačítko Dokončit. Nyní uvidíte několik varovných zpráv. Klepnutím na tlačítko OK zavřete každou zprávu.

Posledním krokem v procesu konfigurace RRAS je konfigurace schématu ověřování. Chcete-li to provést, klepněte pravým tlačítkem myši na seznam vašeho serveru az kontextové nabídky vyberte příkaz Vlastnosti. Když uvidíte okno vlastností serveru, přejděte na kartu Zabezpečení. Nyní přidejte EAP-MSCHAPv2 a PEAP v části Authentication Methods a klikněte na tlačítko OK.

Validátor stavu systému

Zásady stavu systému diktují, co počítač potřebuje, aby byl jeho stav považován za normální a aby se mohl připojit k síti.

V reálném světě zásady stavu systému vyžadují, aby pracovní stanice používala operační systém, který má nainstalované všechny nejnovější aktualizace zabezpečení. Bez ohledu na to, jaká kritéria zvolíte pro určení, zda je pracovní stanice v pořádku, budete muset udělat nějakou práci. Kritéria normální stav se značně liší společnost od společnosti, a proto Microsoft ponechal mechanismus kontroly normality stavu systému prázdný (alespoň v aktuální beta verzi). A pokud ano, pak budete muset upravit tato kritéria pro normalitu stavu systému.

Pro demonstrační účely vytvořím velmi jednoduchý nástroj pro kontrolu stavu systému, který jednoduše zkontroluje, zda je povolena brána firewall systému Windows. Pokud je firewall připojen, budeme předpokládat, že stav systému je normální.

Jak jsem již zmínil dříve v tomto článku, v reálném světě byste neměli hostovat svůj NPS na stejném počítači jako váš server VPN. Server VPN je otevřený vnějšímu světu a hostování serveru zásad sítě na něm může vést k velkým problémům. V operačním systému Windows není nic, co by vám bránilo používat stejný server jak pro komponenty VPN, tak pro komponenty Network Policy Server, takže pro demonstrační účely (a kvůli hardwarovým omezením) použiji jeden a druhý stejný počítač pro oba komponenty.

Proces instalace zahájíme zadáním příkazu MMC na příkazovém řádku Spustit, čímž se otevře prázdná konzola Microsoft Management Console. Jakmile je konzola otevřena, vyberte Přidat/Odebrat modul snap-in z nabídky Soubor. V důsledku této akce se na obrazovce objeví dialogové okno Přidat nebo odebrat moduly snap-in. Ze seznamu dostupných položek vyberte možnost Server síťových zásad a klikněte na tlačítko Přidat. Nyní uvidíte okno, ve kterém budete požádáni, abyste vybrali, který počítač chcete spravovat - místní nebo jiný. Ujistěte se, že je vybrána možnost Místní počítač ( místní počítač) a klepněte na tlačítko OK. Klikněte znovu na OK a otevře se komponenta Network Policy Server.

Poté byste měli ve stromu konzoly přejít na NPS (místní) | Ochrana přístupu k síti | Validátory stavu systému, které jsou znázorněny na obrázku 1. Nyní klepněte pravým tlačítkem na Objekt Windows Validátory stavu systému, které najdete ve střední části konzoly, a z kontextové nabídky vyberte příkaz Vlastnosti. V důsledku této akce, Okno Windows Vlastnosti Validátoru stavu zabezpečení, který je znázorněn na obrázku 2.

Obrázek 1: Ve stromu konzoly přejděte na NPS (místní) | Ochrana přístupu k síti | Validátory stavu systému

Obrázek 2: Okno Vlastnosti systému Windows Vlastnosti Validátoru stavu zabezpečení se používají ke konfiguraci řízení stavu systému

V dialogovém okně klikněte na tlačítko Konfigurovat, čímž se otevře dialogové okno Validátor stavu zabezpečení Windows, které je znázorněno na obrázku 3. Jak můžete vidět z obrázku, toto dialogové okno vám umožňuje nastavit parametry pro kontrolu stavu vašeho systému politika. Ve výchozím nastavení je toto dialogové okno nakonfigurováno tak, aby vyžadovalo připojení brány firewall systému Windows a připojení aktualizace aktualizace systému Windows, dále je nutné, aby byl na pracovní stanici nainstalován antivirový a antispywarový software a aby byl aktuální. Protože Zajímá nás pouze to, aby byla připojena pouze brána firewall systému Windows, poté zaškrtněte políčko vedle možnosti Brána firewall je povolena pro všechna síťová připojení (brána firewall je povolena pro všechna síťová připojení) a zrušte zaškrtnutí všech ostatních políček. Pokračujte dvojitým kliknutím na tlačítko OK.

Obrázek 3: Zaškrtněte políčko u položky Brána firewall je povolena pro všechna síťová připojení a zrušte zaškrtnutí všech ostatních políček

Nyní, když jste nakonfigurovali monitorování stavu systému, musíte nastavit šablonu pro monitorování stavu systému. Šablony pro sledování stavu systému popisují výsledky sledování stavu systému. Obvykle to znamená, co se stane v důsledku ověření klienta, aby splnil podmínky ověření.

Chcete-li nakonfigurovat šablony pro monitorování stavu serveru síťových zásad, klepněte pravým tlačítkem myši na kontejner Šablona Validátoru stavu systému a z rozevírací místní nabídky vyberte možnost Nový. Poté se objeví dialogové okno s názvem Create New SHV Template, které je znázorněno na obrázku 4.

Obrázek 4: Pro sledování stavu systému musíte vytvořit novou šablonu

Jak je vidět z obrázku, v dialogovém okně musíte zadat název nové šablony. Do pole Název zadejte slovo Vyhovující. Nyní se ujistěte, že v rozevíracím seznamu Typ šablony je vybrána možnost Klient projde všemi kontrolami SHV. Zaškrtněte políčko vedle něj Systém Windows Health Validator a klikněte na tlačítko OK.

Nyní jsme vytvořili šablonu, která popisuje to, co se nazývá kompatibilní. Nyní musíme vytvořit druhou šablonu, která popisuje stav, kdy nesplňujeme podmínky. Chcete-li to provést, klepněte pravým tlačítkem myši na kontejner Šablony validátoru stavu systému a z kontextové nabídky vyberte Nový. Nyní byste měli vidět stejnou obrazovku, na které jste před chvílí pracovali.

Tentokrát bude název šablony Nevyhovující. Nastavte Typ šablony na Klient selže jednu nebo více kontrol SHV (klient nevyhoví jedné nebo více kontrolám). Nyní zaškrtněte políčko vedle položky Windows Security Health Validator a klikněte na tlačítko OK. Pokud se vrátíte do hlavní konzoly NPS a vyberete kontejner Validator Templates stavu systému, uvidíte, že v okně centrální konzoly jsou zobrazeny vyhovující i nevyhovující šablony, jak je znázorněno na obrázku 5.

Obrázek 5

Pokud se vrátíte do hlavního okna konzoly Network Policy Server a vyberete kontejner Validator Templates stavu systému, uvidíte, že v okně centrální konzoly jsou zobrazeny vyhovující i nevyhovující šablony.

Zásady autorizace zdraví

Zásady státní autorizace jsou takové zásady, které řídí, co se stane, pokud klient vyhoví zásadám stavu sítě, nebo co se stane, pokud systém, který požaduje přístup k síti, selže. Právě tyto zásady určují, jakou úroveň přístupu bude mít klient poté, co mu bude povolen vstup do sítě.

Začněme proces otevřením konzoly Network Policy Server, pokud ještě není otevřená, a poté výběrem kontejneru nazvaného Autorizační zásady. Poté se v okně Podrobnosti podívejte, zda již nebyly vytvořeny zásady autorizace. Můj testovací systém již měl čtyři dříve vytvořené zásady autorizace, ale kdo ví, zda tyto zásady budou existovat ve finální verzi operačního systému Windows 2008 Server. Máte-li nějaké zásady, odstraňte je tak, že na ně kliknete pravým tlačítkem a v rozevírací kontextové nabídce vyberete příkaz Odstranit.

Nyní, když jste odstranili dříve existující zásady, můžete začít vytvářet nové zásady autorizace. Chcete-li to provést, klepněte pravým tlačítkem myši na kontejner Zásady autorizace a vyberte Nový | Vlastní příkazy z rozevírací kontextové nabídky. Tím se zobrazí tabulka vlastností pro novou zásadu autorizace, Vlastnosti nové zásady autorizace.

První věc, kterou byste měli udělat, je dát zásadě název. Říkejme tomu zásada Compliant-Full-Access. Název zásady můžete zadat do pole Název zásady, které se nachází na kartě Přehled. Nyní nastavte možnost Udělit přístup, jak je znázorněno na obrázku A. Nastavení typu zásady na Udělit přístup neudělí uživatelům plný přístup k síti. To vše znamená, že požadavky spadající do oblasti působnosti těchto zásad budou předány k dalšímu zpracování.

Obrázek A Nastavení typu zásady pro udělení přístupu (povolit přístup)

Nyní vyberte kartu Podmínky. Jak název napovídá, karta Podmínky vám umožňuje zadat podmínky, které musí klientský počítač splňovat, aby se politika uplatnila. Překruťte seznam možné podmínky na Network Access Protection a poté vyberte možnost SHV Templates umístěnou pod ní. Poté se v okně podrobností objeví rozevírací seznam Existující šablony. Z rozevíracího seznamu vyberte možnost Vyhovující a klikněte na tlačítko Přidat. Podmínky použité v tomto okně zásad nyní ukážou, že stav počítače je „Vyhovující“, jak je znázorněno na obrázku B. To znamená, že aby se na ně tato zásada vztahovala, musí klientské počítače splňovat kritéria popsaná v zásadách. Vyhovující, který jste vytvořili v předchozí části tohoto článku. Konkrétně to znamená, že na klientském počítači musí být povolena brána Windows Firewall.

Obrázek B Aby klientské počítače byly způsobilé, musí splňovat požadavky popsané v Zásadách shody, které jsme vytvořili v předchozí části tohoto článku.

Nyní vyberte kartu Nastavení na stránce vlastností. Karta Nastavení obsahuje různá nastavení, který musí být aplikován na počítače, aby splnily výše popsané podmínky. Protože Tato zásada bude aplikována na počítače, které vyhovují zásadám zabezpečení sítě, pak musíme z nastavení odstranit všechna omezení, aby počítače měly přístup k síti.

Chcete-li to provést, přejděte na Ochrana přístupu k síti | Prosazování NAP. Nyní vyberte tlačítko Do Not Enforce, jak je znázorněno na obrázku C. Tím zabráníte kompatibilním počítačům v přístupu k síťovým zdrojům.

Obrázek C NAP by se neměl vztahovat na počítače, které splňují požadavky

Jakmile vyberete možnost Nevynucovat, přejděte ve stromu konzoly na Constraints | Metoda autentizace. V okně podrobností se okamžitě objeví sada polí, z nichž každé odpovídá jiné metodě ověřování. Pokračujte a zrušte zaškrtnutí všech políček, ale ponechte políčko EAP zaškrtnuté. Zaškrtněte políčko Metody EAP a klepněte na tlačítko Přidat. Vyberte možnost Zabezpečené heslo (EAP-MSCHAP v2) a kliknutím na tlačítko OK dvakrát zavřete různé možnosti dialogová okna, který se během procesu otevře. Opětovným kliknutím na tlačítko OK vytvořenou šablonu uložíte.

Vytvořili jsme tedy šablonu pro počítače, které splňují podmínky, nyní potřebujeme vytvořit podobnou šablonu pro počítače, které podmínky nesplňují. Chcete-li to provést, klepněte pravým tlačítkem myši na kontejner Zásady autorizace ve stromu konzoly a vyberte Nový | Vlastní z rozevírací kontextové nabídky. V důsledku toho se otevře již známé okno Vlastnosti nové zásady autorizace.

Stejně jako v předchozím případě musíme nejprve zadat název zásady, kterou vytváříte. Říkejme této zásadě nevyhovující-omezené. I když vytváříme omezující zásady, musíte stále vybrat typ zásady Udělit přístup. Upozorňujeme, že to nezaručuje přístup k síti, ale umožňuje pokračovat ve zpracování zásad.

Nyní vyberte kartu Podmínky. Když jsme vytvořili zásady autorizace pro počítače, které splňují podmínky, vytvořili jsme podmínku, která vyžadovala, aby počítač splňoval požadavky vyhovující šablony, kterou jsme vytvořili v předchozím článku. Protože Tato zásada platí pro počítače, které nesplňují podmínky, pak musíte zajistit, aby konfigurace klientského počítače splňovala podmínky popsané v šabloně Nevyhovující. Konkrétně to znamená, že brána Windows Firewall je na klientském počítači vypnutá.

Vyberte ze seznamu dostupné podmínky Network Access Protection a poté vyberte kontejner SHV Templates. Ze seznamu existujících šablon vyberte možnost Nevyhovující a poté klikněte na tlačítko Přidat.

Dále vyberte kartu Nastavení a přejděte na Omezení | Metoda autentizace. V okně podrobností můžete vidět sadu polí, z nichž každé odpovídá konkrétní metodě ověřování. Zrušte zaškrtnutí všech políček, ale ponechte zaškrtnuté políčko EAP. Zaškrtněte políčko Metody EAP a poté klepněte na tlačítko Přidat. Vyberte možnost Zabezpečené heslo (EAP-MSCHAP v2) a dvojitým kliknutím na OK zavřete všechna nepotřebná dialogová okna.

Takže vše, co jsme udělali pro zásady pro počítače, které nesplňují podmínky, bylo přesně totožné se zásadami, které jsme vytvořili pro počítače, které podmínky splňují, s výjimkou zadání jiné šablony SHV . Pokud tuto politiku ponecháme tak, jak je nyní, bude povolen přístup do sítě i počítačům, které podmínky nesplňují. Protože nechceme, aby se to stalo, pak musíme použít zpevnění NAP k odepření přístupu k síti.

Chcete-li to provést, vyberte kontejner NAP Enforcement, který najdete v seznamu Available Settings. V okně Podrobnosti pak uvidíte různá nastavení. Vyberte nastavení Vynutit a poté zaškrtněte políčko Aktualizovat nevyhovující počítače automaticky, jak je znázorněno na obrázku D. Klepnutím na OK uložte vytvořenou zásadu.

Obrázek D Musíte posílit Ochrana NAP pro počítače, které podmínky nesplňují

výchozí zásady ověřování

V předchozím článku této série jsem vám ukázal, jak vytvořit zásady autorizace jak pro počítač, který splňuje bezpečnostní politiku, tak pro počítač, který bezpečnostní politiku nesplňuje. V tomto článku dokončíme postup konfigurace serveru. Chcete-li to provést, musíte v první fázi vytvořit výchozí politiku ověřování, kterou lze použít na jakémkoli počítači, který se ověřuje na serveru RRAS.

Začněme proces otevřením konzoly Network Policy Server a přechodem na NPS (místní) | Zpracování autentizace | Zásady ověřování. Poté se v okně zobrazí všechny dříve existující zásady ověřování. Vyberte již existující zásady, klikněte na ně pravým tlačítkem a z kontextové nabídky vyberte příkaz Odstranit.

Nyní je čas vytvořit výchozí zásady ověřování. Chcete-li to provést, klikněte na odkaz Nový, který se nachází v okně Akce, a vyberte možnost Vlastní. Windows zobrazí okno vlastností New Authentication Policy, které můžete vidět na obrázku A.

Obrázek A: Zadejte RRAS jako název zásady a pak důvěřujte, že je zásada připojena

Jako název zásady zadejte RRAS a ujistěte se, že je zaškrtnuto políčko Zásada povolena. Dále se ujistěte, že je vybráno tlačítko Dostupné zdroje, a poté z rozevíracího seznamu Dostupné zdroje vyberte nastavení Server vzdáleného přístupu (VPN-Dialup).

Nyní přejděte na kartu Nastavení a ve stromu konzoly vyberte kontejner Authentication. Nyní zaškrtněte políčko Přepsat nastavení ověřování ze zásad autorizace. Poté se v okně objeví různé metody ověřování, jak je znázorněno na obrázku B. Vyberte pole EAP a klikněte na tlačítko Metody EAP.

Obrázek B: Vyberte pole EAP a klikněte na tlačítko Metody EAP

Systém Windows nyní zobrazí dialogové okno Vybrat poskytovatele EAP. Klepnutím na tlačítko Přidat otevřete seznam metod ověřování EAP. Vyberte ze seznamu EAP-MSCHAPv2 a Protected EAP (PEAP) a klikněte na tlačítko OK. Vybrané metody ověřování EAP by se měly objevit v dialogovém okně Select EAP Providers, jak je znázorněno na obrázku C. Pokračujte kliknutím na OK.

Obrázek C: Musíte povolit ověřování MSCHAPv2 a PEAP

Nyní přejděte na kartu Podmínky. Musíte vybrat alespoň jednu podmínku, která musí být splněna, aby zásada platila. Můžete si nastavit libovolnou podmínku, ale doporučuji přejít ve stromu konzoly do Vlastnosti připojení | Tunnel Type a zaškrtněte pole Point to Point Tunneling Protocol a Layer Two Tunneling Protocol a poté klikněte na tlačítko Přidat. Tím se použije nová zásada ověřování VPN připojení m. Klepnutím na tlačítko OK uložíte novou zásadu ověřování, kterou jste právě vytvořili.

Zásady konfigurace klienta RADIUS

Při tomto typu instalace funguje server síťových zásad jako server RADIUS. Na rozdíl od klientů, kteří provádějí přímou autentizaci RADIUS proti serveru síťových zásad, bude server RRAS spuštěný jako server VPN fungovat jako klient RADIUS.

Posledním krokem v procesu konfigurace serveru je poskytnout serveru Network Policy Server seznam autorizovaných klientů RADIUS. Protože jediným klientem RADIUS bude server VPN, pak jednoduše zadáte IP adresu serveru VPN. Protože Služby RRAS běží na stejném fyzický server, jako Network Policy Services, pak jednoduše použijete IP adresu serveru.

Chcete-li vytvořit zásadu konfigurace klienta RADIUS, přejděte ve stromu konzoly Network Policy Server na NPS (místní) | Klienti RADIUS. Poté klikněte na odkaz Nový klient RADIUS, který najdete v okně Akce. Windows spustí Průvodce novým klientem RADIUS.

V prvním okně průvodce budete muset zadat jméno a IP adresu nového klienta RADIUS. Při instalaci v reálných podmínkách je nutné zadat RRAS jako název a také zadat IP adresu RRAS serveru do pole IP adresa. Jak si možná pamatujete, používáme testovací prostředí a RRAS běží na stejném serveru jako Network Policy Services. Zadejte proto do příslušného pole IP adresu serveru a klikněte na tlačítko Další.

Poté se zobrazí okno Další informace. V tomto okně budete muset zadat dodavatele klienta a sdílený tajný klíč. Jako dodavatele klienta vyberte RADIUS Standard. Pro účely tohoto článku můžete udržovat RRASS jako sdílené tajemství. Zaškrtněte políčko Klient is NAP Capable, jak je znázorněno na obrázku D, a klikněte na tlačítko Dokončit. Konečně jste nakonfigurovali server síťových zásad!

Obrázek D: Zadejte sdílený tajný klíč a zaškrtněte políčko Klient is NAP Capable

Nastavení klienta

Nyní, když jsme dokončili konfiguraci serveru síťových zásad, je čas přejít ke konfiguraci klienta pro připojení k serveru. Pamatujte, že tato technika, kterou se vám chystám říci, funguje pouze na klientech s operačním systémem Windows Vista.

Pro účely tohoto článku budu předpokládat, že klientský počítač používá Windows Vista a že má statickou IP adresu. Jak víte, Windows Vista je navržen tak, aby ve výchozím nastavení fungoval s protokolem IPv6. Nástroj Network Access Protection by měl v konečném důsledku podporovat IPv6, ale... Operační systém Windows Windows 2008 Server je stále v testování, IPv6 není v současné době podporován, pokud jde o ochranu přístupu k síti. Proto byste měli vypnout IPv6 v nastavení sítě vašeho počítače. Po vydání operačního systému Windows 2008 Server mám v úmyslu napsat aktualizaci této série článků zaměřené na používání IPv6 a vše, co se od té doby změnilo. testovací verze.

Klientský počítač musí být také členem domény, která obsahuje server síťových zásad. Doména musí navíc obsahovat uživatelský účet, který můžete použít k přihlášení k serveru pro směrování a vzdálený přístup, který jste vytvořili.

Nyní vytvoříme připojení k virtuální privátní síti, které můžete případně použít k testování serveru ochrany přístupu Síť Server ochrany přístupu. Chcete-li to provést, otevřete Ovládací panely a klikněte na odkaz Síť a Internet a poté na odkaz Centrum sítí. Po spuštění Network Center klikněte na odkaz Nastavit připojení nebo síť. Zobrazí se okno, ve kterém musíte zadat typ připojení, které chcete vytvořit. Vyberte nastavení Připojit k pracovišti a klikněte na tlačítko Další.

Vyberte možnost připojení pomocí VPN a budete vyzváni k zadání internetové adresy a názvu cíle. Do pole Internetová adresa musíte zadat IP adresu serveru RRAS. Do pole Destination Name můžete zadat libovolný název. Zaškrtněte políčko Povolit ostatním používat toto připojení a klikněte na tlačítko Další. Nyní musíte zadat uživatelské jméno a heslo pro uživatele, který má oprávnění k přihlášení k serveru RRAS, a také název domény, do které se hodláte přihlásit.

Klepněte na tlačítko Připojit a Vista se pokusí připojit k vašemu serveru RRAS. Ke spojení s největší pravděpodobností nedojde. Pokud obdržíte zprávu, že se průvodce nemůže připojit k vaší pracovní stanici, klikněte na ikonu Nastavit připojení. Tím se uloží vaše nastavení, abychom je mohli dokončit později v dalším článku této série.

Připojení VPN ke klientovi se systémem Windows Vista

Začněme proces nastavení spuštěním Ovládacích panelů a kliknutím na odkaz Síť a Internet a poté na odkaz Centrum sítí a sdílení. Když se otevře okno Centrum sítí a sdílení, klikněte na odkaz Spravovat síťová připojení. Měli byste vidět okno zobrazující všechna vaše síťová připojení a také připojení VPN, které jste vytvořili v poslední části tohoto článku.

Klepněte pravým tlačítkem myši na připojení VPN a v místní nabídce vyberte příkaz Vlastnosti. Poté se zobrazí okno vlastností připojení. Přejděte na kartu Zabezpečení a vyberte přepínač Upřesnit (vlastní nastavení), jak je znázorněno na obrázku A.

Obrázek A: Musíte nakonfigurovat připojení, abyste mohli používat pokročilé nastavení zabezpečení (Vlastní nastavení)

Nyní klikněte na tlačítko Nastavení pro zobrazení dialogového okna Upřesnit nastavení zabezpečení. Protože Připojení VPN jsme již nakonfigurovali pro použití otevřeného protokolu pro autentizaci (Extensible Authentication Protocol), poté musíte vybrat přepínač Use Extensible Authentication Protocol (EAP). Poté se aktivuje rozevírací seznam umístěný pod tímto přepínačem. Vyberte Protected EAP (PEAP) (Encryption Enabled), jak je znázorněno na obrázku B.

Obrázek B: Musíte nakonfigurovat zabezpečení svého připojení VPN a použít Protection EAP (PEAP) (Encryption Enabled)

Nyní kliknutím na tlačítko Vlastnosti otevřete dialogové okno Vlastnosti chráněného protokolu EAP. Zaškrtněte políčko Ověřit certifikát serveru a zrušte zaškrtnutí políčka Připojit k těmto serverům. Musíte také vybrat Zabezpečené heslo (EAP-MSCHAP V2) z rozevíracího seznamu Select Authentication Method. Nakonec zrušte zaškrtnutí políčka Povolit rychlé opětovné připojení a zaškrtněte políčko Povolit kontroly karantény, jak je znázorněno na obrázku C.

Obrázek C: Stránka Protected EAP Properties umožňuje konfigurovat nastavení pro Extensible Authentication Protocol.

Poté kliknutím na tlačítko OK v každém otevřeném dialogovém okně je zavřete. Nyní jste nakonfigurovali své připojení VPN tak, aby vyhovovalo nezbytné požadavky. Ale ještě není vše hotovo. Aby ochrana síťového přístupu začala fungovat, musíte se ujistit, že se služba Network Access Protection spouští automaticky. Ve výchozím nastavení jsou v systému Windows Vista všechny služby nakonfigurovány tak, aby se spouštěly ručně, takže musíte změnit způsob spouštění této služby.

Chcete-li to provést, otevřete Ovládací panely a klikněte na odkaz Systém a údržba a poté na odkaz Nástroje pro správu. Nyní uvidíte seznam různých nástrojů pro správu. Poklepáním na ikonu Služby otevřete Správce řízení služeb.

V seznamu služeb vyhledejte službu Network Access Protection Agent. Dvakrát klikněte na tuto službu a poté změňte typ spouštění na Automaticky a klikněte na tlačítko OK. Mějte na paměti, že změna typu spouštění služby na Automaticky službu nespustí. Tím pouze zajistíte, že tato služba bude automaticky spuštěna po restartování počítače. Služby však můžete spustit bez restartu, když na službu kliknete pravým tlačítkem a z kontextové nabídky vyberete možnost Spustit. Pokud máte problémy se spuštěním služby, zkontrolujte, zda je spuštěna služba Remote Procedure Call (RPC) a služba DCOM Server Process Launcher. Služba Network Access Protection Agent nemůže fungovat bez těchto podpůrných služeb.

Kontrola ochrany přístupu k síti

Věřte nebo ne, konečně jsme dokončili nastavení ochrany přístupu k síti. Nyní je čas provést několik jednoduchých testů, abyste se ujistili, že vše funguje tak, jak chceme.

Jak si pamatujete, změnili jsme konfiguraci našeho serveru síťových zásad tak, aby počítače, které zásady nesplňují, byly automaticky opraveny. Nakonfigurovali jsme také náš server síťových zásad tak, aby jediným kritériem bylo povolení brány firewall systému Windows. Proto byste měli firewall vypnout klientský stroj a poté se připojte k serveru zásad sítě, který používá připojení VPN, které jste vytvořili. Poté by měla být brána firewall na klientském počítači automaticky povolena.

Začněme deaktivací brány firewall na klientském počítači. Chcete-li to provést, otevřete Ovládací panely a klepněte na Bezpečnostní odkaz(bezpečnost). Nyní vyberte odkaz Windows Firewall a otevřete dialogové okno Windows Firewall. Za předpokladu, že brána Windows Firewall již běží, klikněte na odkaz Zapnout nebo vypnout bránu Windows Firewall. Nyní uvidíte dialogové okno, které vám umožní povolit nebo zakázat bránu firewall. Vyberte přepínač Vypnuto (nedoporučeno) podle obrázku D a klepněte na tlačítko OK. Brána firewall systému Windows by nyní měla být deaktivována.

Obrázek D: Vyberte přepínač Vypnuto (nedoporučeno) a kliknutím na tlačítko OK deaktivujte bránu firewall systému Windows

Nyní, když jste deaktivovali bránu Windows Firewall, musíte vytvořit připojení VPN se serverem RRAS / NAP. Chcete-li to provést, otevřete Ovládací panely a klikněte na odkaz Síť a Internet a poté na odkaz Centrum sítí a sdílení. Když se otevře okno Centrum sítí a sdílení, klikněte na odkaz Spravovat síťová připojení. Nyní byste měli vidět seznam místní spojení vaši pracovní stanici a stávající připojení VPN.

Dvakrát klikněte na připojení VPN, které jste vytvořili, a poté klikněte na tlačítko Připojit. Budete muset zadat své uživatelské jméno, heslo a název domény. Po zadání těchto informací klikněte na tlačítko OK a naváže se připojení k vašemu serveru VPN/NAP.

Po krátké době po navázání připojení byste měli na obrazovce vidět následující zprávu:

Tento počítač nesplňuje požadavky podnikové sítě. Přístup k síti je omezený (Tento počítač nesplňuje požadavky na podnikovou síť. Přístup k síti je omezený).

Tuto zprávu můžete vidět na obrázku E.

Obrázek E: Pokud je firewall vypnutý, měli byste po navázání připojení VPN vidět tuto zprávu

Ihned poté uvidíte, že se ikona brány Windows Firewall změní, což znamená, že je brána firewall povolena. Jakmile k tomu dojde, zobrazí se další zpráva:

Tento počítač splňuje požadavky podnikové sítě. Máte úplný přístup k síti (Tento počítač splňuje požadavky na podnikovou síť. Máte plný přístup k síti).

Tuto zprávu můžete vidět na obrázku F.

Obrázek F: Když se NAP Server připojí k Windows Firewall, zobrazí se tato zpráva

Zpráva zobrazená na obrázku F se také zobrazí, když se váš počítač plně kompatibilní s podnikovým prostředím připojí k serveru NAP pomocí připojení VPN.

Brian Posey

Technologie ochrany sítě Microsoft Access Network Access Protection (NAP) je integrována do klientských operačních systémů Windows Longhorn Server a Windows Vista a rozšiřuje funkcionalitu služby Network Access Quarantine Control v systému Windows Server 2003. Tato technologie umožňuje správcům kontrolovat stav všech klientů (nejen trvalých vzdálené) připojené k počítačům v síti v souladu s přijatými požadavky bezpečnostní politiky.

Vozidla, která nesplňují určité požadavky, budou odeslána na síť ad hoc s omezeným přístupem, kde mohou dodávat svým systémům to, co potřebují požadovanou úroveň odpovídající zdroje.

Níže je 10 klíčových faktů, které potřebujete vědět před implementací NAP ve vaší síti.

NAP - doplňková funkce

NAP nezaplňuje mezeru mezi mechanismy síťového zabezpečení, jako jsou firewally, antimalwarové aplikace a systémy detekce narušení. Tato technologie není v žádném případě schopna zabránit neautorizovaný přístup do sítě. Namísto toho pomáhá chránit počítače připojené k síti, jejichž zabezpečení a konfigurace nevyžadují mnoho požadavků, před útoky a malwarem.

NAP může pracovat v režimu monitorování nebo v režimu izolace

V monitorovacím režimu mají oprávnění uživatelé přístup k síti, i když jejich systémy nesplňují bezpečnostní požadavky. Těmto strojům je přiřazen příslušný stav a správci jej mohou přidělit uživatelům potřebné pokyny. V režimu izolace jsou počítače, které nesplňují bezpečnostní požadavky, přesunuty do speciální karanténní sítě, kde mohou nainstalovat všechny zdroje chybějící ke schválení.

Můžete vybrat odpovídající kritéria

Kritéria způsobilosti zahrnují povolení aktualizací, záplat a nejnovějších bezpečnostních záplat, antivirových a antispywarových programů, bran firewall a automatických aktualizací systému Windows. Tato kritéria můžete nakonfigurovat pomocí serverového nástroje pro hodnocení stavu systému System Health Validator (SHV).

Server NAP musí být zabudován do Windows Longhorn Server

Server NAP je server síťových zásad (NPS). NPS nahradí službu Longhorn's Internet Authentication Service (IAS), což je součástí Windows Server 2003 a je zodpovědný za ověřování a autorizaci. NAP zahrnuje NAP Administration Server a NAP Enforcement Server. Na serveru běží komponenta System Health Validator (SHV).

NAP vyžaduje, aby klientské počítače měly klientskou aplikaci NAP

Klienti NAP pro Windows Vista a Windows XP by měli být k dispozici s vydáním Windows Longhorn Server. Agent stavu systému (SHA) běží na klientských systémech. Pokud počítače ve vaší síti používají operační systémy, které nepodporují architekturu NAP, můžete je přidat do seznamu výjimek a umožnit jim tak pokračovat v práci v síti. Pokud tak neučiníte, počítače, které nepodporují architekturu NAP, budou mít přístup pouze ke speciální karanténní síti.

SHA představuje prohlášení o zdraví (SoH) založené na stavu klientského systému

Aplikace NAP přidává SoH k SHV. SHV se připojí k serveru zásad a určí, zda zdravotní stav klientského systému popsaný v prohlášení o zdraví odpovídá požadavkům přijaté zásady. Pokud ano, pak počítač získá plný přístup k síťovým zdrojům. Pokud ne (v režimu izolace), pak počítač získá přístup pouze do karanténní sítě, kde speciální opravné servery (Remediační servery) obsahují všechny potřebné aktualizace a programy, které jsou nutné pro příjem plný přístup.

Použití zdravotních certifikátů k zjednodušení procesu ověřování

Aby server Longhorn fungoval jako CA a vydával zdravotní certifikáty, musí být nainstalována Internetová informační služba (IIS) a Certifikační služba. Tento počítač se bude nazývat server Health Registration Authority (HRA). Klient NAP odešle prohlášení SoH na server HRA, který jej odešle na server NPS. Server NPS bude kontaktovat server zásad, aby ověřil SoH. Pokud je ověření úspěšné, server HRA vydá klientovi zdravotní certifikát, který lze později použít k identifikaci protokol IPSec.

Čtyři mechanismy omezení přístupu NAP

Vynucení IPSec používá server HRA a certifikáty X.509. Vynucení 802.1x používá komponentu EAPHost NAP EC k ověření klientů připojujících se přes přístupový bod 802.1x (může to být bezdrátový přístupový bod nebo ethernetový přepínač). Omezené profily se mohou skládat ze sady IP filtrů nebo VLAN ID navržených tak, aby nasměrovaly počítač do karanténní sítě. Pro omezení VPN ID (vynucení VPN) se při pokusu o připojení přes virtuální privátní síť používají servery VPN. Vynucení DHCP používá servery DHCP, když se počítač pokouší pronajmout nebo obnovit adresu IP v síti. Můžete použít jednu nebo všechny metody omezení přístupu.

Přístup je omezen pouze na ty počítače, které jsou připojeny k síti jednou z výše popsaných metod

Vynucení DHCP je nejjednodušší a nejdražší metoda omezení přístupu, protože všechny klientské počítače DHCP si budou muset pronajmout adresy IP (s výjimkou počítačů, kterým jsou přiřazeny statické adresy). Ale nejspolehlivější metodou je omezení IPSec. I při omezeném přístupu se počítač může připojit k serverům DNS a DHCP a také k opravným serverům. Můžete také hostovat další servery DNS nebo je zahrnout do karanténní sítě s omezeným přístupem namísto hlavních.

NAP se liší od karanténního řízení síťového přístupu v systému Windows Server 2003

NAP lze aplikovat úplně na všechno, nejen na připojené vzdálené systémy v síti. To znamená, že pomocí NAP můžete kontrolovat a spravovat stav obou notebooků dočasně připojených k síti i místního stolní systémy. NAP se snadno implementuje, protože na rozdíl od NAQC nevyžaduje k nasazení vlastní kódování ani ruční konfiguraci pomocí nástrojů příkazového řádku. Navíc výrobců třetích stran Software může použít rozhraní NAP k vytvoření komponent kontroly stavu systému kompatibilního s NAP a omezení přístupu k síti. NAP a NAQC lze používat současně, ale ve většině případů NAP úspěšně nahradí NAQC.

Oblíbené v kategorii: