Технологія MS-NAP, на відміну від інших платформ Microsoft, не схожа на Exchange, SQL або IIS, а, скоріше, являє собою набір компонентів, стратегій і сервісів. Принципова відмінність цієї програми в тому, що вона не може працювати як єдине сервісне рішення. Виконання завдань розподілено серед цілого ряду систем. А, наприклад, невелика за розміром програма Exchange може об'єднати всі компоненти на одному комп'ютері.
В цілому, для виконання всіх компонентів, передбачених розробниками, технології MS-NAP потрібно як мінімум два сервера. У програмі є кілька основних елементів, які забезпечують коректне виконання. Далі, існує чотири механізму або методу застосування захисту доступу до мережі, з якими працює MS-NAP. Це DHCP, VPN, IPSec і 802.1X. Ці компоненти дозволяють узгодити умови обмеження і структуру мережі, необхідні користувачу. У даній статті ми розглянемо, що необхідно для належної роботи MS-NAP.
Кращі приклади з налаштування серверних програм MS-NAP
Вид серверної СУБД MS-NAP залежить від ключових компонентів в існуючій структурі мережі, включаючи службу каталогів Active Directory (AD). Невірна настройка цих компонентів не призведе ні до чого хорошого. Див. Нижче кращі практичні приклади з налаштування MS-NAP:
Політики програмного забезпечення та мережі: Перш за все, слід вирішувати не технічні питання, а визначити які функціональні можливості ви б хотіли отримати від MS-NAP. Лише після цього можна перейти до технічних питань: визначаємося з вибором пакетів оновлень, антивірусних програм, необхідністю використання протоколів IPSec, а також іншими сторонніми постачальниками, яким буде дозволено доступ в мережу. Потім визначаємося з компонентами працездатності системи: серверами виправлення, заборонами доступу та іншими параметрами.
Доступ до віртуальних приватних мереж (VPN): При використанні механізму захисту доступу до віртуальних приватних мереж VPN Enforcement, важливий вибір VPN для коректної роботи MS-NAP. Технологія забезпечує надійний захист внутрішньої мережі на базі інфраструктури зовнішньої мережі (Інтернет).
Мережеве обладнання: Переконайтеся, що ваше обладнання підтримує протокол 802.1X, особливо при наявності клієнтів бездротової мережі або компонентів обмеження 802.1X EC.
Протокол мережі DHCP: Мережа DHCP важлива для роботи MS-NAP, оскільки тут є параметри «scope options», які в разі несумісності з вимогами політики працездатності MS-NAP визначають тип необхідних виправлень.
• Необмежений доступ до сервера, який визначається політикою працездатності
• Обмежений доступ прямих несумісних систем, виявлених сервером виправлення
• Відмова в доступі для систем, які абсолютно несумісні
В даному прикладі мова не йде про певні областях застосування і вимогах, необхідних для доступу в мережу. Однак в реальних ситуаціях без попереднього планування бажаного набору функцій в роботі MS-NAP не обійтися. Ці настройки, підкреслюю, забезпечать автоматичне оновлення комп'ютерів, які не відповідають вимогам політики працездатності, необхідних для доступу до мережі. Нижче наводиться приклад налаштування мережі за допомогою серії TechRepublic додатки MS-NAP:
По-перше, під час налаштування MS-NAP необхідно задати вимоги до працездатності системи на сервері Network Policy and Access Services (NPS) операційної системи WS2K8. Ці компоненти є відправною точкою при запуску системи MS-NAP. За допомогою підказки Add Server Role (додати компонент сервера), виберіть компонент NPS, як показано на малюнку A і натисніть кнопку Continue (продовжити).
Мал. A Виберіть компонент Network Policy And Access Services. (Натисніть, щоб збільшити)
Виберіть сервер політики мережі Network Policy, компонент працездатності Health Registration Authority і елемент Host Credential Authorization Protocol. Можливо, доведеться додати інформаційний сервер Інтернет IIS, якщо це буде необхідно для запуску вище означених компонентів. У нашому прикладі всі компоненти сервера працюють в автономному режимі, оскільки встановлена сертифікована версія WS2K8.
Після цього вам необхідно визначити, чи можливий сертифікований мережевий доступ тільки для клієнтів, внесений в доменний список. Це не чисто технічне питання, а важливий момент з точки зору політики працездатності. У нашому прикладі доступ надається тільки учасникам активного каталогу доменних імен. Процес додавання базових компонентів досить зрозумілий, після виконання встановлюється консоль Network Policy Server (NPS.MSC). Приклад незаповненою консолі видно на ріс.B.
Мал. B Починайте з незаповненою консолі.
Елементи конфігурації MS-NAP визначаються компонентом працездатності System Health Validator. У нашому прикладі, ми налаштуємо пристрій оцінки працездатності, вимагає запуску антивірусної програми та оновлення системи з метою відповідності політиці працездатності. Приклад на рис. C.
Мал. C Виберіть необхідні елементи політики працездатності.
Конфігурація компонента System Health Validator визначить характер політики працездатності MS-NAP. Перевірка невідповідних систем буде здійснюватися за допомогою запуску антивірусних програм на сервері WS2K3-DEV. Це сервер виправлення Remediation server. На консолі NPS ми виберемо сервер WS2K3-DEV як сервер для групи "RG-NonCompliant-NoAV", як показано на ріс.D.
Мал. D Створіть ім'я групи. (Натисніть, щоб збільшити)
Сервер виправлення важливий для ефективної роботи всіх компонентів MS-NAP. Він дозволяє несумісним політиці працездатності систем заходити на зазначені хости (в нашому прикладі WS2K3-DEV). Доступ до всіх інших комп'ютерних систем, позначених в активному каталозі, буде заборонений. Однак, якщо даний сегмент дозволяє доступ до систем, відмінним від системи Windows, клієнт, несумісний з політикою працездатності MS-NAP, може мати доступ до даних систем через систему протоколів TCP / IP, відповідно до налаштованими параметрами. Під час пробного запуску рекомендується ретельне тестування на предмет виявлення подібних проблем.
Потім необхідно зазначити в Windows настройки з управління сумісними і несумісними системними компонентами на серверах працездатності системи System Health Servers. Потрібно налаштувати конфігурації Windows для використання параметрів політики Security Health Validator, які ми раніше визначили для систем, що відповідають або не відповідають певним критеріям (PASS і FAIL), встановивши в системі антивірусну програму, як показано на ріс.E.
Мал. E Налаштуйте параметри політики Windows з управління системами, відповідними або не відповідають політиці працездатності (PASS і FAIL). (Натисніть, щоб збільшити)
Задавши параметри політики з управління сумісними і несумісними системами, ми можемо перейти до розподілу клієнтів мережі по двох параметрах політики (PASS і FAIL), які ми вже створили раніше. Політика PASS має на увазі право повного доступу, а політика FAIL означає, що системи будуть доступні компонентів працездатності для установки антивірусних програм. У MS-NAP є хороші підказки по налаштуванню параметрів політики працездатності. На рис. F показаний приклад установки параметрів повного доступу, як частина політики PASS мережі.
Мал. F На малюнку показаний приклад установки параметрів Windows для розв'язання повного доступу до мережі для робочої станції, яка пройшла тестування.
Після того як ми встановили параметри політики працездатності для ключових компонентів NPS, необхідно задати конфігурацію сервера DHCP, щоб MS-NAP працював на всіх активних комп'ютерах. Налаштування сервера DHCP показана на ріс.G.
Мал. H Можна налаштувати конфігурацію інших сервісів мережі на базі MS-NAP. (Натисніть, щоб збільшити)
1. Запустіть Security Center в системі Windows Vista
2. Запуск компонент DHCP enforcement
3. Запустіть сервіс Network Access Protection Agent
4. Вимкніть IPv6 в Network and Sharing Center. якщо він не використовується у вашій мережі
Додаткові ресурси MS-NAP