Geek di specializzati tutti Controllare l'accesso rete mediante l'imposizione DHCP
Greg Shields
Contenuto
Obiettivi per una protezione accesso alla rete
Implementazione alla DHCP per applicare gli aggiornamenti di Windows Server Update Services
Tali utenti darn vengono visualizzati più intelligente tutti i tempi. Sono state intuito come disattivare il firewall, sempre in nastiest delle reti reparto caffè. Accettare i computer portatili assenza dall'ufficio durante il ciclo di patch mensile, poiché si ritiene che la patch ha causato gli ultima schermata blu. Disattivare anche utilità antivirus e antispyware nell'hint slightest di un rallentamento delle prestazioni. Gli utenti eseguire la procedura perché ritiene che sta aiuto, quando in realtà si sta hurting la protezione di rete l'azienda.
Un computer configurato correttamente e patched è un computer integro, ma mantenere tali computer integro un disputa. Se solo si è verificato un modo è possibile applicare i criteri di protezione. Imposizione garantisce che il desktop e portatili dispongono la configurazione del firewall a destra. Imposizione assicura che i computer che non dispongono di patch a destra non possono accedere alla rete. Imposizione significa che non è in esecuzione antivirus o applicazioni antimalware significa non connessione LAN pristine.
Questo tipo di imposizione di criteri di protezione è disponibile attualmente con protezione accesso alla rete (). Protezione accesso alla rete è un componente che arriva con criteri di rete di Windows Server 2008 e servizi di accesso. Utilizza servizi su server e client per controllare periodicamente lo stato di conformità un client dei criteri di protezione. Se i client non configurati correttamente, protezione accesso alla rete possibile automaticamente limitare l'accesso di rete fino a quando sono remediated. Ancora meglio, protezione accesso alla rete può remediate automaticamente i client non validi, forzare gli utenti con configurazioni non valide in linea con i criteri di protezione stabiliti.
Protezione accesso alla rete è uno strumento potente che viene considerato una soluzione migliore nella classe dagli analisti indipendenti come Forrester, che posiziona protezione accesso alla rete nel relativo quadrante superiore destro leader". È una soluzione economica perché l'implementazione della protezione accesso alla rete in rete oggi non richiede alcun fornitore di software aggiuntivo come fa già parte dell'investimento Windows e Active Directory. Funzionalità di protezione accesso alla rete è già disponibile con ogni edizione di Windows Server 2008. È progettato per scalabilità rilevanti e si è in grado di supportare organizzazioni di grandi dimensioni con esigenze complesse e punteggi di client.
Ma se è così grande protezione accesso alla rete, perché non più ambienti di piccoli richiedere sfruttare è? Probabilmente molti jack-of-all-trades amministratori che uno non di operazioni è possibile o vengono messi disattivato dal relativa complessità apparente. È comprensibile. Se leggere il la documentazione sulla protezione accesso alla rete, potrebbe essere sovraccaricati dalle tutte le parti spostamento richiesto per i meccanismi diversi per applicare le configurazioni di protezione. IPSec, 802.1X x, VPN e accesso Web di servizi TERMINAL sono tutti i meccanismi di imposizione Protezione accesso alla rete che richiedono i componenti aggiuntivi non si dispone nell'ambiente di oggi. Tuttavia, è probabile che già le informazioni necessarie per implementare l'imposizione basata su DHCP.
Si tratta che facile da installare e facile da utilizzare DHCP imposizione meccanismo che si desidera mostrare è nell'articolo di mese questo. Mentre ogni gli altri sono in verità più efficaci in modalità assicurare che le configurazioni client, ogni richiede anche le tecnologie più complesso, ad esempio infrastrutture di Servizi certificati e conoscenza approfondita dei dispositivi di rete per implementare correttamente.
Possibile avviare piccola e il funzionamento dei.
Obiettivi per una protezione accesso alla rete
Prima è ottenere nel clic per fare clic su, consideriamo una parte gli obiettivi che avere probabilmente per proteggere la rete. Si desidera assicurarsi che i computer vengono aggiornati con le patch a destra. Si desidera che i computer portatili su strada per ottenere le impostazioni di protezione destra quando restituiscono. E sicuramente dovrai difendere su computer server non autorizzati collegare in rete e infettare i server e workstation.
Se tutti questi obiettivi sono soddisfatte, se i computer correttamente sono corretti e hanno le impostazioni di applicazioni antimalware e firewall a destra, è possibile in genere i computer da integro. Computer integro tendono ad avere protezioni destra posto rimanere corretta e probabilmente non diffondere malware intorno a rete.
Processo di protezione accesso alla rete consiste nel monitorare e attivare lo stato del computer sulla rete. Quando un computer collegato in, protezione accesso alla rete richiede la domanda "si è integro?" Se il computer risponde nel affirmative, protezione accesso alla rete gli tale computer possono accedere alla rete. Se il client non risponde o le risposte al valore negativo, è invece spostato a una rete speciale "Monitoraggio e aggiornamento". Le risorse sola disponibile per il computer sono quelle necessarie per renderla nuovamente integro: corregge un server di Windows Server Update Services (WSUS) per l'applicazione, un server antivirus per il download di file firma più recente, e così via. Protezione accesso alla rete può inoltre controllare il computer della rete, riconoscere quando diminuisce le condizioni e rapidamente correggerli quando esegue.
Meccanismi di imposizione della protezione accesso alla rete sono correlati i modi in cui i computer accedere alla rete. Computer di connettersi al switch di rete in grado di x di 802.1X o punti di accesso wireless per una connessione fisica. Sono quindi richiedere un indirizzo server DHCP. Di fuori computer possono connettersi tramite un server VPN o un sito Web di accesso Web di servizi TERMINAL. Comunicazione con il dominio può richiedere l'autenticazione IPSec.
Come osservato, meccanismo di imposizione DHCP di protezione accesso alla rete è più semplice da configurare e utilizzare, in pratica, il server DHCP diventa gatekeeper della protezione accesso alla rete. Computer che connessione alla rete deve prima richiedere un indirizzo DHCP. Si tratta in cui la domanda "si è integro?" è richiesto dal server DHCP abilitato NAP. Se il computer risponde correttamente, questa DHCP fornisce un indirizzo con accesso alla rete completa. Se il computer non saper rispondere o le risposte in modo non corretto, DHCP invece fornisce è un indirizzo speciale per monitoraggio e aggiornamento.
Per semplificare ulteriormente il nostro esempio, È necessario indicare protezione accesso alla rete per monitorare solo i client per le patch di Windows Server Update Services. In questo caso, i client verranno considerati non valido solo quando non parlare con Windows Server Update Services o non dispone di patch a destra. Come si sarà rileva in un secondo momento, È possibile eseguire questa perché Microsoft include un'incorporati Convalida integrità protezione che consente a questi controlli per l'esecuzione di.
Determinazione dello stato di un computer con tale convalida integrità protezione di incorporati è necessario che due componenti client interagiscono, il client Protezione accesso alla rete, che è disponibile in modo nativo con Windows Vista, Windows Server 2008, Windows XP Service Pack 3 e Windows Security Center, disponibile nel Pannello di controllo (vedere la Figura 1 ). Mentre processo del client Protezione accesso alla rete per interagire con l'infrastruttura server Protezione accesso alla rete, determinare lo stato del client ed eseguire l'applicazione effettiva, è il processo di Windows Security Center per identificare e segnalare quando sono out of whack configurazioni di protezione. Si verrà configurare sia componenti client nonché dei componenti del server nella sezione successiva.
Figura 1 il Centro sicurezza PC Windows
Implementazione alla DHCP per applicare gli aggiornamenti di Windows Server Update Services
Si supponga alla rete e il dominio sono già in posizione e ambiente include un controller di dominio denominato \\server1. È inoltre disporre di un computer portatile Windows Vista denominato \\client1 da utilizzare nel test l'implementazione di protezione accesso alla rete. Creata solo un computer Windows Server 2008 denominato \\nps verrà host i servizi DHCP e protezione accesso alla rete. Verrà inoltre host database il Windows Server Update Services, come in seguito funzionerà come server di monitoraggio e aggiornamento per i computer che non sono disponibili patch. In questo esempio, è collocating ciascuno di questi servizi sullo stesso computer ma è possibile individuare ogni il proprio computer. Per l'imposizione DHCP per l'utilizzo, è necessario eseguirlo nella parte superiore di Windows Server 2008.
In \\nps server, utilizzare Gestione server per installare il server DHCP, criteri di rete servizi di accesso e i ruoli di Windows Server Update Services. Configurare DHCP con un ambito piccolo per il testing e configurare Windows Server Update Services con la configurazione necessaria significativo per il proprio ambiente.
Successivamente, creare un gruppo globale nel dominio denominato computer client Protezione accesso alla rete. In questo gruppo verranno aggiunti in seguito i nomi dei computer cui desiderato protezione accesso alla rete per il monitoraggio dello stato. Per questo esempio, che sarà \\client1.
Imposizione DHCP di protezione accesso alla rete può mano uscita indirizzi in una subnet completamente diverso e isolato a computer non integri, ma per semplicità è verrà solo modificato del computer DNS dominio. Qui, DHCP comunicherà computer integro che il suffisso DNS è contoso.com, mentre il computer non integri verrà invece visualizzato unhealthy.contoso.com. Tenere presente che questo mantiene l'esempio semplice, ma non necessariamente isolare il computer non integri. Una volta è comprendere i concetti di base, è possibile successivamente tornare indietro e implementare isolamento subnet.
Configurare gli ambiti DHCP con i suffissi DNS precedenti. A tale scopo nella console DHCP, facendo clic su Opzioni di ambito di esso con il pulsante destro del mouse e scegliere Configura opzioni. Nella finestra risultante, scegliere la scheda avanzata in cui verrà visualizzato due classi di utenti di interesse. La classe di utenti predefinito rappresenta l'insieme di computer integro. Questi computer devono ottenere accesso completo e il suffisso di DNS contoso.com opzione 15. La classe di predefinito Network Access Protection rappresenta il computer non integri e deve ottenere il unhealthy.contoso.com suffisso DNS per l'opzione 15. È consigliabile probabilmente anche inserire le informazioni per il server DNS opzione 6 e le informazioni del gateway predefinite nell'opzione 3. Al che di fatto, il risultato dovrebbe risultare simile al figura 2 . A questo punto è possibile NAP, attivare l'ambito DHCP clic con il pulsante destro del mouse nell'ambito stesso e la visualizzazione di proprietà. Nella scheda Protezione accesso alla rete, fare clic su Attiva per questo ambito.
Nella figura 2 DHCP’sDefault alla classe deve essere gured confi
È stata completata la configurazione di servizi DHCP. Il passaggio successivo consiste nel configurare protezione accesso alla rete stessa utilizzando la procedura guidata configurazione Protezione accesso alla rete. Trovare il collegamento lo stesso nome nel riquadro di destra Server Manager quando si passa a criteri di rete e Access | NPS (locale). Per questo esempio, configurare più pagine la procedura guidata come segue:
Selezione metodo di connessione di rete per l'utilizzo con protezione accesso alla rete. Selezionare DHCP per il metodo di connessione di rete. Verrà che verrà quindi popolare automaticamente la casella di nome criteri con protezione accesso alla rete DHCP.
Specificare i server di imposizione Protezione accesso alla rete in esecuzione il server DHCP. Se i servizi DHCP su server diversi da quello del server Protezione accesso alla rete, occorre immettere i nomi di server di seguito. Questo esempio, protezione accesso alla rete e DHCP sono collocated, pertanto è possibile in modo sicuro lasciare la casella vuota.
Specificare gli ambiti DHCP. Immettere gli ambiti DHCP che si desidera attivare per Protezione accesso alla rete. Per lasciare vuota questa casella, verranno utilizzati tutti gli ambiti DHCP.
configurare gruppi di utenti e gruppi di lavoro. In questa finestra di dialogo, aggiungere la protezione accesso alla rete client computer gruppo globale creato in precedenza. Questo indica i criteri di protezione accesso alla rete per gestire imposizione per solo i computer in questo gruppo. Altri computer rimangono solo.
specificare un server di monitoraggio e aggiornamento di protezione accesso alla rete e un URL. Questa pagina esegue due operazioni. In primo luogo, identifica i server di monitoraggio e aggiornamento di correggere i client non integri. In questo esempio, il server di monitoraggio e aggiornamento saranno \\server1 per Servizi di dominio e i servizi di Windows Server Update Services \\npsfor. Fare clic sul pulsante nuovo gruppo e creare un nuovo gruppo che include questi server. In secondo luogo, la pagina espone un URL di risoluzione dei problemi. Questo URL viene visualizzato in un suggerimento in computer non integri remanded alla rete isolata per la risoluzione del problema. Il sito Web, che è necessario creare manualmente, può contenere istruzioni su che cosa accade al client o istruzioni per il monitoraggio e aggiornamento manuale. Per questo esempio, è necessario lasciare l'URL.
definire criteri di integrità di Protezione accesso alla rete. Questa schermata finale visualizzato un collegamento per Convalida integrità protezione Windows, che sarà possibile personalizzare successivamente, e fornisce le impostazioni delle restrizioni di accesso rete e monitoraggio e aggiornamento automatico. Lasciare le impostazioni predefinite per ogni questi qui.
Il passaggio successivo è il divertimento parte. Questo caso, è necessario configurare i componenti del Windows protezione dello stato convalida (WSHV) si desidera utilizzare per l'applicazione. Il valore predefinito WSHV definire una serie di componenti di Centro sicurezza PC Windows che possono essere monitorati aggiuntive.
Windows firewall. È presente un firewall sul sistema che ha registrato con Centro sicurezza PC Windows? Tale firewall è abilitato per tutte le connessioni di rete?
virus e spyware protezione. Le applicazioni antivirus e antispyware sono installate nel computer e sono registrati con Centro sicurezza PC Windows? Sono le applicazioni attivate e attualmente in uso firme aggiornate? Il WSHA considera applicazioni antivirus e antispyware separatamente, consente di applicare i sistemi di destinazione in uno o entrambi.
Microsoft Update. È stato configurato il computer per cercare aggiornamenti automatici tramite Windows Update o da un server Windows Server Update Services locale? In questo caso, il numero di ore fa ha il computer cercare aggiornamenti? Tutti gli aggiornamenti disponibili sono installati? Il livello di criticità di aggiornamento, importante, critici e così via, devono essere installati per essere considerati integro un computer?
Nel Gestore di server passare a criteri di rete e servizi di accesso | NPS (locale) | protezione accesso alla rete | convalide integrità sistema e fare doppio clic sulla convalida integrità protezione di Windows. Nella schermata risultante fare clic su Configura per visualizzare una schermata come quello nella Figura 3 .
Nella figura 3 la convalida integrità protezione di Windows predefinito
Selezionare le aree desiderate protezione accesso alla rete per la gestione. Si noti che qualsiasi firewall di terze parti, antivirus o antispyware applicazioni devono registrare con Centro sicurezza PC Windows o fornire i propri componenti aggiuntivi per essere monitorati da Protezione accesso alla rete. Per questo esempio, si verranno solo le caselle di controllo indicate nella Figura 3 . Ciò indica a Protezione accesso alla rete per garantire che l'aggiornamento automatico sia attivato per tutti i sistemi client e che siano installati tutti gli aggiornamenti critici. Se un client non soddisfa entrambe le condizioni, esso verrà automaticamente spostato alla rete di monitoraggio e aggiornamento computer in cui il server di Windows Server Update Services è automaticamente risolvere il problema e riportare il computer in stato.
Infine, sono disponibili tre impostazioni da configurare che vengono applicate mediante i Criteri di gruppo. Creare un nuovo oggetto (criteri di gruppo), collegarlo con il nome al dominio e aprirlo per la modifica.
- Abilitare l'agente protezione accesso alla rete e impostarlo su automatico. Farlo in Configurazione computer | criteri | Impostazioni Windows | Impostazioni di protezione | servizi di sistema.
- Abilitare DHCP quarantena imposizione agente della protezione accesso alla rete, cui si trovano in Configurazione computer | criteri | Impostazioni Windows | Impostazioni di protezione | protezione accesso alla rete | Configurazione client Protezione accesso alla rete | i client di imposizione. Fare doppio clic sull'agente e nella schermata risultante scegliere di attivare il client di imposizione. Per applicare questa impostazione, fare clic con il pulsante destro del mouse sul nodo Configurazione client Protezione accesso alla rete e scegliere Applica.
- Attivare il il Centro protezione di Windows trovato nella configurazione computer | criteri | modelli amministrativi | componenti di Windows | Centro sicurezza PC.
Un passaggio finale: chiudere l'editor di Gestione Criteri di gruppo e nella filtri relativa al criterio di protezione, sostituire gli utenti autenticati con il gruppo computer del client Protezione accesso alla rete creato in precedenza. È ora possibile iniziare aggiungere computer del dominio al gruppo di computer client Protezione accesso alla rete per avviare la loro partecipazione di imposizione Protezione accesso alla rete. Una volta dei criteri di gruppo viene applicato a computer, le interazioni con DHCP verranno riguardano i controlli di integrità protezione accesso alla rete è descritto.
È possibile verificare lo stato client Protezione accesso alla rete utilizzando napstat.exe. Esecuzione questo strumento dai risultati di una riga di comando in un'icona di barra di sistema, nonché un suggerimento che fornisce informazioni su stato imposizione del client. Fare clic sul fumetto che visualizza una finestra dello stato come quella nella Figura 4 , che indica che il client non è compatibile con perché non è installato gli aggiornamenti della protezione appropriata. A questo punto, poiché la protezione accesso alla rete è identificato al client come non valido, DHCP verrà sono renegotiated il lease e modificare il suffisso DNS per unhealthy.contoso.com.
Nella figura 4 un client Protezione accesso alla rete non integri senza la corretta securityupdates installato
Esistono naturalmente molti più modi in cui è possibile personalizzare l'implementazione di protezione accesso alla rete per fornire ulteriore protezione. La creazione di una rete isolata completamente monitoraggio e aggiornamento per i client non integri è un'opzione. Configurazione parametri di imposizione aggiuntivi nel WSHV o aggiungendo nuovo SHV di terze parti è altri utenti. Analisi intorno a nel nodo Criteri di rete e servizi di accesso del gestore di server è disponibile un host di ulteriori opzioni per personalizzare protezione accesso alla rete in base alle proprie esigenze.
Shields Greg , MVP, è un partner in Concentrated relativo alle tecnologie. Ottenere più di Jack-of-all-Trades suggerimenti e indicazioni del Greg www.ConcentratedTech.com.