В 2006 году я писал цикл статей под названием Введение в Network Access Protection. Как вы, возможно, слышали, защита сетевого доступа представляет собой функцию, которая будет встроена в Windows Server 2008 (ранее известный, как Longhorn Server). Когда я писал ту первую статью в 2006 году, Windows Server 2008 все еще находился в ранней тестовой бета версии. Я продолжил и написал статью, поскольку защита сетевого доступа казалась столь важной функцией безопасности, и я хотел помочь администраторам понять, что она собой представляет и как она работает с тем, чтобы с выпуском Windows Server 2008 все, кто читал мою статью, были готовы к применению защиты сетевого доступа NAP.
Теперь, когда Windows Server 2008 был наконец запущен в производство, я решил вернуться к своей серии статей о NAP. Хотя большинство концептов, описанных в статье верны, некоторые шаги по применению изменились коренным образом.
Причиной написания этого цикла статей стало обновление моей изначальной серии о NAP. В первой части этого цикла я познакомлю вас с защитой сетевого доступа и объясню, как она работает. А затем я предоставлю пошаговую инструкцию по процессу применения данной функции.
Защита сетевого доступа или NAP, как ее иногда называют, была создана с целью решения одной из основных проблем, с которой сетевые администраторы часто сталкиваются. Будучи сетевыми администратором, я уверен, что вы, вероятно, уделяли уйму времени и усилий на то, чтобы сделать свою сеть максимально безопасной. Проблема заключается в том, что некоторые машины в сети находятся за пределами вашего непосредственного контроля, и прежде их было очень сложно или вообще невозможно защищать.
Конечно я говорю об удаленных пользователях. Довольно просто защищать настольные рабочие станции, которые находятся рядом, и, возможно, вы даже справляетесь с защитой пользовательских лэптопов до тех пор, пока они являются собственностью компании. Однако во многих организациях пользователи любят входить со своих домашних компьютеров, используя VPN подключение, чтобы выполнить какую-нибудь работу в нерабочее время без необходимости ехать в офис. Поскольку эти компьютеры не принадлежат компании, штат администраторов не имеет непосредственного контроля над этими машинами.
До создания NAP, я всегда ратовал за то, чтобы не позволять машинам, которые не подконтрольны штату администраторов, подключаться к сети. Причиной тому стал тот факт, что за долгие годы я столкнулся с некоторыми действительно страшными домашними машинами. Нередко встречаются машины, которые переполнены всевозможными вирусами и шпионскими программами, или которые до сих пор используют не обновленные ОС. Время от времени, меня по-прежнему спрашивают о проблемах, которые возникают у людей с Windows 98.
NAP создана для устранения этих проблем. Когда пользователь подключается к вашей сети, его машина сравнивается на предмет соответствия политике здоровья, которую вы создали. Содержимое этой политики здоровья будет варьироваться от организации к организации: вы можете потребовать, чтобы пользовательская ОС была обновлена последними исправлениями безопасности, или чтобы на машине использовалось обновленное антивирусное ПО и т.д. Если машина отвечает требованиям, заданным в политике, то ей разрешается подключение к сети в обычном режиме. Если машина не отвечает требованиям политики, вы можете либо совсем запретить доступ пользователю к сети, либо потребовать немедленного исправления проблем, или разрешить пользователю подключение, но при этом зарегистрировать состояние его машины.
Прежде чем я смогу перейти к объяснению того, как NAP работает, вам нужно ознакомиться с терминологией, которую компания Microsoft использует относительно NAP.
Первый термин, с которым вы должны быть знакомы, это Клиент внедрения (Enforcement Client), иногда сокращенно EC. Клиент внедрения – это не что иное, как клиентская машина, которая пытается подключиться к вашей сети. Следует помнить, что не все рабочие станции совместимы с NAP. Чтобы считаться клиентом внедрения, рабочая станция должна поддерживать компонент агента здоровья системы (System Health Agent), о котором я расскажу чуть позже. Только Windows Vista и Windows XP SP3 поддерживают агента здоровья системы, и поэтому только данные ОС рабочих станций совместимы с NAP.
Следующий термин, который вам нужно знать, это Агент здоровья системы (System Health Agent), или сокращено SHA. Агент здоровья системы представляет собой агента, который запускается в качестве службы на рабочей станции и производит мониторинг центра безопасности Windows Security Center. Агент несет ответственность за предоставление информации о здоровье системы серверу внедрения (Enforcement Server) во время подключения.
Как вы, вероятно догадались, следующим термином, о котором я расскажу, будет Сервер внедрения (Enforcement Server). Сервер внедрения представляет собой сервер, который внедряет политики, определенные NAP.
Еще один термин, который вам нужно знать, это Контрольное устройство здоровья системы (System Health Validator), или SHV. SHV берет информацию, полученную от агента здоровья системы, и сравнивает ее с политикой здоровья, которая была задана.
И последний термин, с которым я хочу вас познакомить, это Сервер исправления (Remediation Server). Сервер исправления представляет собой сервер, доступный для клиентов внедрения, которые не соответствуют определенным политикам сетевого доступа. Обычно сервер исправления будет содержать все механизмы, необходимые для того, чтобы сделать клиента внедрения соответствующим политике. Например, сервер исправления может установить обновления безопасности на клиента внедрения.
Последнее, о чем я хочу вам рассказать в NAP, это то, что NAP предлагает вам улучшение безопасности вашей организации, но не замещает другие механизмы безопасности, которые уже используются. NAP выполняет отличную работу, позволяя вам быть уверенными в том, что удаленный клиент отвечает политике сетевой безопасности. На самом деле, эта функция, возможно, будет выполнять еще более хорошую работу по внедрению этой политики по прошествии времени, поскольку политика основана на открытых стандартах. Это означает, что сторонние производители ПО смогут писать собственные модули политики, что позволит создавать политики безопасности, которые будут применимы к ПО сторонних производителей, использующемуся на клиентах внедрения.
Однако NAP не сможет предотвратить вторжение нежелательных пользователей в вашу сеть. NAP лишь позволяет быть уверенным в том, что рабочие станции, используемые для удаленного доступа к вашей сети, отвечают определенным критериям. Таким образом, NAP сможет блокировать хакера только в том случае, если его машина не отвечает требованиям вашей политики. Если машина хакера отвечает этим требованиям, то отказ в доступе для данной машины должен будет стать задачей других механизмов безопасности в вашей сети.
В этой статье я объяснил, что NAP позволяет вам быть уверенными в том, что любая подключающаяся к вашей сети рабочая станция отвечает требованиям вашей политики сетевой безопасности. В следующей части этой серии статей я покажу вам, как применять функцию NAP.
www.windowsnetworking.com
Tags: vpn, Windows Vista, Windows XP