Funzionalità IO: protezione e rete - dal livello Razionale al livello Dinamico
In questa pagina
.gif){kind=icon}
Introduzione
Requisito: gestione integrata delle minacce e attenuazione delle minacce nei client e server Edge
Requisito: monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server
Requisito: soluzione di quarantena per computer senza patch o infetti
Introduzione
Protezione e rete è la terza funzionalità relativa all'ottimizzazione dell'infrastruttura principale. Nella seguente tabella vengono descritte le sfide più impegnative, le soluzioni applicabili e i vantaggi del passaggio al livello Dinamico in Protezione e rete.
Sfide |
Soluzioni |
Vantaggi |
|---|---|---|
Sfide aziendali Assenza di criteri di protezione del firewall aziendale per desktop o server Assenza di criteri di protezione dell'extranet aziendale Sfide IT La gestione dell'evento server è reattiva; è assente una visione olistica dell'azienda Nessun monitoraggio in tempo reale degli eventi di protezione per desktop o server |
Progetti Implementazione di soluzioni integrate di gestione e attenuazione delle minacce nei client e nei server Edge Distribuzione del monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server Implementazione della soluzione di quarantena per computer senza patch o infetti |
Vantaggi per l'azienda Protezione proattiva con criteri e controlli specifici che vanno dal desktop e arrivano fino ai firewall e all'extranet Controllo accurato della conformità alle normative Maggiore produttività dell'utente con un ambiente stabile e sicuro Risposta rapida e proattiva ai problemi di protezione Rappresentazione dell'azienda tramite criteri di protezione Vantaggi IT Monitoraggio e report completo dell'infrastruttura server, con funzionalità simili per desktop Visibilità e controlli economici su qualsiasi PC consentono ai responsabili IT di risolvere in maniera proattiva i problemi prima che abbiano un impatto negativo sugli utenti |
Il livello Dinamico nel modello di ottimizzazione dell'infrastruttura soddisfa i requisiti chiave dei componenti di rete e protezione, tra cui:
Gestione integrata delle minacce e attenuazione delle minacce nei client e server Edge
Monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server
Soluzione di quarantena per computer senza patch o infetti
Requisito: gestione integrata delle minacce e attenuazione delle minacce nei client e server Edge
Target
È necessario leggere questa sezione se non si dispone di una soluzione di gestione integrata delle minacce e attenuazione delle minacce nei client e server Edge.
Panoramica
Le organizzazioni si trovano ad affrontare un'offensiva di attacchi sempre più mirati e sofisticati alle reti. La protezione delle risorse di rete e la fornitura dell'accesso continuo per attività legittime richiedono una soluzione gateway edge sofisticata e multifunzione. Soddisfare il requisito del modello di ottimizzazione dell'infrastruttura principale per l'accesso remoto sicuro, per la protezione degli ambienti IT dalle minacce basate su Internet diventa una necessità.
Fase 1: valutazione
La fase di valutazione deve stabilire i requisiti di protezione del server e del client Edge per l'organizzazione e identificare i processi attualmente disponibili. I requisiti di protezione possono variare drasticamente da società a società o da istituzione a istituzione in base, ad esempio, alle dimensioni, al settore o al campo oppure alle leggi regionali o alle normative. La composizione dell'elenco formale dei rischi e dei requisiti dell'organizzazione consentirà di valutare le tecnologie di protezione e la modalità con cui il loro utilizzo può influire più efficacemente sull'organizzazione.
Fase 2: identificazione
Durante la fase di identificazione, verranno esaminate le tecnologie e le procedure per l'accesso remoto e la protezione attualmente disponibili e stabiliti i requisiti di protezione adatti per l'organizzazione. Durante questa fase, verranno raccolti i criteri di protezione impliciti o applicati, oltre ai componenti tecnologici già in uso o a disposizione. Verranno anche raccolti requisiti esterni in base alle leggi o alle normative del proprio paese o del proprio settore. È opportuno che l'organizzazione prenda in considerazione simultaneamente i modelli di minacce del server e del client Edge e le tecnologie corrispondenti durante la pianificazione del livello Dinamico per una soluzione di quarantena per computer senza patch o infetti.
Fase 3: stima e pianificazione
L'obiettivo dell'organizzazione durante la fase di stima e pianificazione è stabilire una strategia per la protezione edge e valutare le tecnologie disponibili per ridurre le minacce basate su Internet. Durante la valutazione delle tecnologie, è necessario prendere in considerazione l'ottimizzazione della protezione per l'accesso alle risorse dei file e alle filiali dell'organizzazione, nonché scoprire in che modo è possibile accedere alle applicazioni Web e LOB. L'organizzazione può utilizzare strumenti che forniscono una maggiore protezione per la rete privata virtuale (VPN) e firewall per le applicazioni Web e le risorse di rete, nonché un controllo più serrato degli accessi e un'autorizzazione migliorata per le risorse di rete e le applicazioni LOB.
Internet Security and Acceleration (ISA) Server 2006
Microsoft Internet Security and Acceleration (ISA) Server 2006 è un gateway di protezione che consente di proteggere le applicazioni e le risorse dalle minacce basate su Internet. ISA Server può aiutare l'organizzazione ad accedere in maniera sicura alle applicazioni e ai dati. Consente inoltre di salvaguardare l'infrastruttura dell'applicazione proteggendo le applicazioni LOB, i servizi e i dati a tutti i livelli della rete mediante l'ispezione di pacchetti con stato, il filtraggio a livello dell'applicazione e strumenti di pubblicazione. Utilizzando ISA Server, è possibile semplificare la rete tramite un'architettura unificata di firewall e rete privata virtuale (VPN). ISA Server consente di proteggere l'ambiente IT e di ridurre i rischi e i costi di protezione, continuando a lavorare per eliminare gli effetti che malware e pirati informatici hanno sull'organizzazione.
Intelligent Application Gateway (IAG) 2007
Microsoft Intelligent Application Gateway (IAG) 2007 con Application Optimizer fornisce una rete privata virtuale (VPN) con protocollo SSL, un firewall per applicazioni Web e strumenti di gestione della sicurezza endpoint che consentono il controllo degli accessi e delle autorizzazioni e l'ispezione dei contenuti per svariate applicazioni LOB. La combinazione di queste tecnologie offre al personale che lavora in remoto o fuori ufficio un accesso flessibile e protetto da una varietà di dispositivi e postazioni tra cui chioschi, PC e dispositivi mobili. IAG, inoltre, permette agli amministratori IT di applicare la conformità alle linee guida sull'uso delle informazioni e delle applicazioni per mezzo di un criterio di accesso remoto, personalizzato in base al dispositivo, all'utente, all'applicazione o ad altri criteri di business. I principali vantaggi includono:
Una combinazione unica di accesso basato su VPN SSL, protezione integrata delle applicazioni e gestione della protezione degli endpoint.
Un potente firewall per applicazioni Web in grado di tenere all'esterno il traffico dannoso e all'interno le informazioni riservate.
La semplificazione della gestione dell'accesso protetto e della protezione delle risorse di business grazie a una piattaforma completa e facile da utilizzare.
L'interoperabilità con l'infrastruttura di applicazioni Microsoft di base, i sistemi di livello aziendale di altri fornitori e gli strumenti personalizzati sviluppati internamente.
Fase 4: distribuzione
Nella fase di distribuzione vengono implementate le soluzioni per la protezione Edge valutate e approvate. È importante eseguire dei test sull'utilizzabilità e sull'esercitazione antincendio per tutti i meccanismi di controllo aggiuntivi introdotti nell'ambiente.
Ulteriori informazioni
Per ulteriori informazioni sui prodotti e le implementazioni ISA Server, andare alla pagina ISA Server TechCenter in Microsoft TechNet all'indirizzo https://www.microsoft.com/technet/isa/default.mspx.
Checkpoint dell'argomento
|
Requisiti |
|---|---|
Valutate le minacce alla protezione del server Edge e le soluzioni per attenuare tali minacce. |
|
|
Implementate le soluzioni tecnologiche per la protezione contro le minacce basate su Internet a livello del client e server Edge. |
.gif)
Requisito: monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server
Target
È necessario leggere questa sezione se non si dispone di un monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server.
Panoramica
Nella Guida alle risorse del responsabile dell'implementazione dell'infrastruttura principale: dal livello Standard al livello Razionale vengono introdotte le procedure consigliate per la gestione del livello di servizio per diversi requisiti al livello Razionale. I processi introdotti per la gestione del livello di servizio descrivono il modo in cui i servizi vengono definiti e misurati con contratti di servizio (SLA). Il monitoraggio del livello di servizio tramite modelli utilizza tali concetti al livello Dinamico richiedendo un mezzo per esprimere i modelli di servizio al livello di sistema e registrare gli attuali livelli di servizio, su più componenti, rispetto agli SLA definiti. I recenti progressi negli standard di tecnologia e di settore, come il nuovo Service Modeling Language (SML), consentono alle organizzazioni di implementare la gestione e il monitoraggio effettivo del servizio tramite modelli.
Fase 1: valutazione
Come parte del requisito del livello Razionale per la gestione del processo tramite ITIL/COBIT, l'organizzazione ha implementato i processi di gestione del livello di servizio e, così facendo, ha definito un catalogo di servizi. Il catalogo di servizi elenca tutti i servizi attualmente forniti, fornisce un riepilogo delle caratteristiche del servizio, descrive gli utenti del servizio e fornisce dettagli sui responsabili della gestione continua. La fase di valutazione garantisce che il catalogo di servizi sia completo e aggiornato.
Fase 2: identificazione
Nella fase di identificazione vengono indicati quali dei servizi presenti nel relativo catalogo sono stati creati sulla base del modello e vengono assegnate le priorità a ciascun servizio. L'elenco dei servizi indicati verrà utilizzato nella fase di stima e pianificazione quando si considerano le opzioni della tecnologia e si pianifica l'implementazione. Questo requisito tratta principalmente di un sottogruppo di servizi IT che comprendono servizi desktop o client, servizi applicativi e infrastruttura.
Fase 3: stima e pianificazione
L'obiettivo della fase di stima e pianificazione consiste nell'identificare le tecnologie necessarie per abilitare il monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server. Ciò implica che la tecnologia selezionata consente di definire sistematicamente i servizi del catalogo servizi dell'organizzazione, nonché monitora la disponibilità e gli eventi dei servizi definiti.
System Center Operations Manager 2007
Operations Manager 2007 offre un approccio di monitoraggio orientato ai servizi che consente di monitorare i servizi tecnologici delle informazioni end-to-end, di aumentare il monitoraggio in ambienti e organizzazioni di grandi dimensioni e di utilizzare la conoscenza dell'applicazione e del sistema operativo Microsoft per risolvere i problemi operativi. Operations Manager 2007 rappresenta la soluzione ideale per questo tipo di requisito nel modello di ottimizzazione dell'infrastruttura principale e fornisce funzionalità per creare e monitorare i modelli di servizi end-to-end.
Monitoraggio del servizio desktop
Il monitoraggio del servizio desktop in Operations Manager 2007 utilizza due meccanismi per monitorare l'esperienza desktop: Raccolta dati su Monitoraggio eccezioni senza agente e Analisi utilizzo software.
Monitoraggio eccezioni senza agente (AEM, Agentless Exception Monitoring)
AEM consente di monitorare eventuali arresti anomali dei sistemi operativi ed eventuali errori delle applicazioni. I client di registrazione errori vengono configurati con Criteri di gruppo per reindirizzare i report di errori a un server di gestione Operations Manager 2007, invece di segnalarli direttamente a Microsoft. Con la gestione temporanea dei report di errori su un server di gestione, Operations Manager 2007 è in grado di fornire viste e report dettagliati che aggregano i dati sugli errori all'interno dell'azienda. Le visualizzazioni e i report forniscono informazioni sugli errori e offrono delle soluzioni, se disponibili, che consentono di risolvere i problemi.
È possibile stabilire la frequenza con cui un sistema operativo o un'applicazione rileva un errore, nonché il numero dei computer e degli utenti interessati. In questo modo è possibile indirizzare gli sforzi laddove è possibile ottenere i maggiori vantaggi per l'organizzazione.
Se i report di errore vengono sincronizzati in modo anomalo con Microsoft, sulla base dell'informativa sulla privacy per il servizio di segnalazione errori Microsoft, vengono fornite soluzioni appropriate agli errori. È anche possibile utilizzare AEM per fornire soluzioni ai problemi riscontrati con le applicazioni sviluppate internamente.
Analisi utilizzo software (CEIP, Customer Experience Improvement Program)
Se si sceglie di partecipare al programma CEIP, i client vengono configurati con Criteri di gruppo per reindirizzare i report CEIP a un server di gestione di Operations Manager 2007, invece di segnalarli direttamente a Microsoft. I server di gestione vengono configurati per inviare questi report a Microsoft.
I report CEIP inviati dall'organizzazione a Microsoft sono combinati con i report CEIP di altre organizzazioni e di singoli clienti per aiutare Microsoft a risolvere i problemi e migliorare i prodotti e le funzionalità Microsoft maggiormente utilizzati dai clienti. Per ulteriori informazioni su CEIP, vedere https://go.microsoft.com/fwlink/?linkid=75040.
Management Pack per sistemi operativi e applicazioni delle workstation basate su Windows
Di seguito vengono riportati i Management Pack per i sistemi operativi e le applicazioni delle workstation basate su Windows fornite con Operations Manager 2007:
Windows Vista®
Windows XP
2000
Microsoft Information Worker
Monitoraggio del servizio dell'applicazione distribuita
Il servizio di un'applicazione distribuita in Operations Manager 2007 controlla l'integrità di una determinata applicazione distribuita. Crea i monitor, le regole, le visualizzazioni e i report necessari per controllare l'applicazione distribuita e i singoli componenti in essa contenuti. Durante la creazione di un'applicazione distribuita in Operations Manager 2007, è necessario creare prima il servizio che definisce l'oggetto di monitoraggio dell'applicazione distribuita ad alto livello. Successivamente, definire i singoli componenti da controllare che fanno parte dell'applicazione distribuita.
Monitoraggio dell'infrastruttura
Operations Manager 2007 continua a offrire il monitoraggio completo dello stato dell'infrastruttura e aggiunge nuove funzionalità a Operations Manager 2005 per controllare dispositivi tramite SNMP quali router, server di stampa e computer che non eseguono Windows, anche se il dispositivo o il sistema operativo non dispone di un Management Pack. Per controllare questi dispositivi o altri sistemi operativi, è possibile creare monitor e regole che utilizzano SNMP. Le regole e i monitor basati su SNMP possono raccogliere i dati da eventi o trap SNMP come pure generare avvisi o modificare lo stato di integrità dell'oggetto monitorato.
Fase 4: distribuzione
La fase di distribuzione implementa i piani derivanti dagli sforzi compiuti nelle tre fasi precedenti. Se l'organizzazione ha scelto System Center Operations Manager 2007 come tecnologia per definire e controllare i servizi IT, è possibile individuare indicazioni dettagliate nella raccolta documenti online per System Center Operations Manager 2007 in Microsoft TechNet (in inglese).
Ulteriori informazioni
Per ulteriori informazioni, andare alla pagina Microsoft TechNet ed effettuare una ricerca sul monitoraggio del servizio e su Operations Manager.
Checkpoint dell'argomento
|
Requisiti |
|---|---|
|
|
|
|
|
Implementata una soluzione automatizzata per definire e monitorare i livelli di servizio. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo del monitoraggio del livello di servizio tramite modelli per desktop, applicazioni e infrastruttura server.
Passare alla domanda di autovalutazione successiva.
Requisito: soluzione di quarantena per computer senza patch o infetti
Target
È necessario leggere questa sezione se non si dispone di una soluzione di quarantena per computer senza patch o infetti.
Panoramica
Negli ambienti odierni in cui si presta particolare attenzione alla protezione risulta complicato avere un approccio approfondito alla protezione della rete e dei dati sensibili. Non è più sufficiente applicare misure difensive ai margini della rete e utilizzare soluzioni antivirus per proteggere le risorse di rete e le informazioni riservate. Le organizzazioni e i professionisti impegnati nella sicurezza hanno capito che i rischi a cui è sottoposta una rete interna, sia intenzionali che accidentali, possono avere il potenziale di essere molto più pericolosi delle minacce che giungono dall'esterno. Per passare al livello Dinamico, è necessario disporre di un meccanismo per l'isolamento dei computer non gestiti dalla rete totale dell'azienda.
La diffusa disponibilità di Internet ha dato origine a cambiamenti significativi nel modo in cui molte organizzazioni lavorano. Per mantenere il vantaggio competitivo, le organizzazioni richiedono che gli utenti si colleghino alle reti aziendali principalmente da postazioni remote quali casa, filiali, hotel, Internet café o sedi dei clienti.
Fase 1: valutazione
La fase di valutazione inizia con il progetto di una soluzione di quarantena utilizzando un altro inventario di configurazioni per la protezione client monitorato nei processi di gestione della configurazione. Al livello Dinamico, è possibile presupporre che siano disponibili i requisiti del livello Standard per le procedure consigliate per la gestione delle patch e i controlli antivirus, come pure la gestione delle configurazioni come parte dei requisiti del livello Razionale. Nella fase di valutazione vengono esaminati gli elementi della configurazione client per verificare se sono aggiornati.
Fase 2: identificazione
Nella fase di identificazione si stabilisce quali sono le configurazioni da controllare e aggiungere ai requisiti minimi per l'accesso nel caso in cui un computer client rappresenti una minaccia durante la connessione alle risorse di rete. In genere, i requisiti minimi dovrebbero prevedere che tutti gli aggiornamenti software e i programmi antivirus necessari siano installati e che le firme siano aggiornate. Durante la fase di identificazione, occorre prendere in considerazione anche la gestione delle patch, l'analisi della configurazione e le procedure per l'aggiornamento dell'antivirus, nonché la modalità con cui questi vengono inseriti più facilmente nei requisiti della soluzione di quarantena da implementare.
Fase 3: stima e pianificazione
Nella fase di stima e pianificazione, vengono stabilite le tecnologie disponibili che consentono di attivare la funzionalità desiderata e di eseguire le routine di rilevamento e blocco di non conformità della configurazione definite nella fase di identificazione. Al livello Dinamico, si richiede che almeno le connessioni remote alle risorse di rete siano controllate tramite una soluzione di quarantena. Tali connessioni remote vengono implementate generalmente con le tecnologie della rete virtuale privata (VPN). In questa sezione si fa riferimento principalmente alla Guida alla pianificazione dell'implementazione di servizi di quarantena con la rete privata virtuale in Microsoft TechNet. Viene introdotta anche la funzionalità Protezione accesso alla rete inclusa in Windows Vista e in Windows Server 2008 per i servizi di quarantena in sede.
Reti private virtuali (VPN)
Le connessioni VPN consentono ai dipendenti di connettersi in maniera sicura alla rete LAN aziendale attraverso una rete pubblica. L'accesso remoto che utilizza le tecnologie VPN consente lo sviluppo di nuove opportunità commerciali, come l'amministrazione remota e applicazioni a protezione elevata.
Sebbene una rete VPN fornisca l'accesso protetto crittografando i dati tramite il tunnel VPN, non impedisce intrusioni da parte di malware, come virus o worm avviati da computer ad accesso remoto. Gli attacchi di virus o worm possono arrivare da computer infetti che si collegano alla LAN. La quarantena VPN con le funzionalità di Network Access Quarantine Control in Windows Server 2003 fornisce un meccanismo in grado di risolvere tali problematiche. La quarantena VPN assicura che i computer che si connettono alla rete utilizzando i protocolli VPN sono sottoposti a controlli di preconnessione e postconnessione e che sono isolati fino a quando il computer non soddisfa i criteri di protezione richiesti.
La soluzione di quarantena VPN posiziona tutti i computer connessi che soddisfano i criteri di accesso remoto specificati in una rete in quarantena e verifica che tali computer siano conformi ai criteri di protezione dell'organizzazione. Il server VPN di accesso remoto revoca le restrizioni imposte dalla quarantena e consente l'accesso alla rete aziendale solo quando il computer che accede in remoto supera tutti i controlli di connessione.
La quarantena VPN ritarda la connettività completa a una rete privata mentre effettua l'esame e la convalida della configurazione del computer che accede in remoto in relazione agli standard aziendali. Se il computer che effettua la connessione non è conforme ai criteri dell'organizzazione, il processo di quarantena può installare i Service Pack, gli aggiornamenti per la protezione e le definizioni di virus prima di consentire al computer di collegarsi alle risorse di rete.
Requisiti della quarantena VPN
L'implementazione della quarantena VPN richiede i seguenti componenti:
Client di accesso remoto compatibile con la funzionalità di quarantena
Server di accesso remoto compatibile con la funzionalità di quarantena
Remote Authentication Dial-In User Service (RADIUS) compatibile con la funzionalità di quarantena (facoltativo)
Risorse di quarantena
Database account
Criterio di accesso remoto in quarantena
Processo di accesso alla quarantena della rete virtuale privata
Nella figura riportata di seguito viene evidenziato un approccio alla quarantena VPN che utilizza i server delle risorse che si trovano in una subnet in quarantena.
.gif)
Figura 9. Percorso del processo di quarantena VPN
La quarantena VPN implementa un processo modificato nel momento in cui l'utente tenta di accedere alla rete remota. Il processo include i passaggi seguenti:
Il computer esegue un controllo di convalida dei criteri di integrità della preconnessione per assicurare che il computer soddisfi determinati requisiti di integrità, tra cui aggiornamenti rapidi, aggiornamenti della protezione e firme virus. Lo script di preconnessione memorizza i risultati di tale controllo in locale. Un'organizzazione ha la possibilità, tuttavia, di eseguire i controlli di protezione postconnessione in un secondo momento.
Se i controlli portano a risultati positivi, il computer si connette al server di accesso remoto utilizzando la rete VPN.
Tale server esegue l'autenticazione delle credenziali dell'utente con il server RADIUS rispetto al nome utente e alla password memorizzati nel servizio directory di Active Directory®. RADIUS è un componente facoltativo di questo processo.
Se Active Directory autentica l'utente, il server di accesso remoto posiziona il client in quarantena, utilizzando i criteri di accesso remoto in quarantena di VPN. L'accesso del computer client di accesso remoto è limitato alle risorse in quarantena specificate dai criteri di accesso remoto. È possibile applicare la quarantena in due modi possibili sul computer client di accesso remoto: utilizzando un periodo di timeout specifico in modo che il computer client non rimanga in quarantena per un periodo indefinito o utilizzando un filtro IP che limita il traffico IP solo a risorse di rete specifiche.
Lo script di postconnessione notifica al server di accesso remoto che il client è conforme ai requisiti specificati. Se la connessione non soddisfa i requisiti nel periodo di tempo prestabilito, lo script informa l'utente e fa cadere la connessione.
Il server di accesso remoto rimuove il computer client dalla modalità di quarantena rimuovendo il filtro IP e concede l'accesso appropriato alle risorse di rete specificate dai criteri di protezione remoti.
Protezione accesso alla rete
Protezione accesso alla rete (NAP) è una piattaforma per l'applicazione dei criteri creata nei sistemi operativi Windows Vista e Windows Server 2008 che consente di proteggere al meglio le risorse di rete implementando la conformità con i requisiti di integrità del sistema.
Requisiti di integrità del computer
La sfida principale consiste nel garantire che i computer che accedono e che comunicano sulla rete siano conformi ai requisiti di integrità del sistema. Ad esempio, sui computer conformi è installato il software per la protezione corretto (come la protezione antivirus), sono presenti gli aggiornamenti attuali del sistema operativo e la configurazione corretta (come i firewall basati su host). Questa sfida è resa più complessa dalla natura portatile dei computer laptop che possono passare da diversi punti Internet e altre reti private e utilizzare connessioni di accesso remoto dai computer a casa. Nel caso in cui un computer connesso non sia conforme, può rendere la rete sensibile ad attacchi da parte di malware come virus e worm a livello di rete. Per fornire protezione contro i computer non conformi, è necessario effettuare quanto segue:
Configurare centralmente un insieme di criteri che specificano i requisiti di integrità del sistema.
Verificare l'integrità del sistema prima di consentire l'accesso illimitato alla rete privata o alle risorse di rete private.
Limitare l'accesso da parte di computer non conformi a una rete limitata che contiene risorse che consentono di riportare il computer non conforme a uno stato di conformità.
NAP fornisce alcuni componenti e un'infrastruttura che consentono di convalidare e applicare la conformità ai criteri di integrità del sistema per la comunicazione e l'accesso alla rete.
Convalida dei criteri di integrità
Quando un utente tenta di accedere alla rete, Protezione accesso alla rete (NAP) convalida lo stato di integrità del computer rispetto ai criteri di integrità definiti. Se il computer non è conforme, è possibile scegliere come comportarsi. In un ambiente di monitoraggio, a tutti i computer autorizzati è concesso l'accesso alla rete anche se alcuni non sono conformi ai criteri di integrità, ma viene registrato lo stato di conformità di ciascun computer. In un ambiente con accesso limitato, ai computer conformi ai criteri di integrità è consentito l'accesso illimitato alla rete, mentre i computer non conformi ai criteri di integrità o a Protezione accesso alla rete (NAP) hanno una restrizione dell'accesso alla rete. In entrambi gli ambienti, i computer compatibili con Protezione accesso alla rete (NAP) possono diventare automaticamente conformi e, in tal caso, è possibile definire delle eccezioni al processo di convalida. Protezione accesso alla rete (NAP) include anche strumenti di migrazione che semplificano il processo di definizione delle eccezioni che più si adatta alle esigenze della rete.
Conformità del criterio di integrità
È possibile garantire la conformità ai criteri di integrità scegliendo di aggiornare automaticamente i computer non conformi con i requisiti mancanti tramite un software di gestione, come Microsoft Systems Management Server. In un ambiente di monitoraggio, i computer potranno accedere alla rete anche prima che siano stati aggiornati con il software richiesto o con le modifiche della configurazione. In un ambiente con accesso limitato, i computer non conformi ai criteri di integrità hanno l'accesso limitato fino a quando non vengono eseguiti gli aggiornamenti del software e della configurazione. In entrambi gli ambienti, i computer compatibili con Protezione accesso alla rete (NAP) possono diventare automaticamente conformi e, in tal caso, è possibile definire delle eccezioni al criterio.
Accesso alla rete limitato
È possibile proteggere le risorse di rete limitando l'accesso dei computer non conformi ai requisiti del criterio di integrità. È anche possibile definire il livello di accesso dei computer non conformi. I limiti all'accesso alla rete possono essere stabiliti sulla base di un periodo di tempo specifico o se l'accesso è limitato a una rete limitata, a una sola risorsa o a nessuna risorsa interna. Se non vengono configurate risorse di aggiornamento dell'integrità, la restrizione dell'accesso avrà validità per tutta la durata della connessione. Se invece vengono configurate tali risorse, la restrizione dell'accesso durerà fino a quando il computer non risulta conforme. Nelle reti è possibile utilizzare le conformità del monitoraggio e del criterio di integrità, nonché configurare delle eccezioni.
Fase 4: distribuzione
Al livello Dinamico è richiesto che venga implementata solo una soluzione di quarantena VPN per gli utenti in accesso remoto. Se l'organizzazione utilizza l'infrastruttura Windows Server 2008, si consigliano le soluzioni Protezione accesso alla rete (NAP). La guida Network Access Quarantine Control in Windows Server 2003 fornisce ulteriori istruzioni di pianificazione e distribuzione per le soluzioni di quarantena.
Per distribuire Network Access Quarantine Control, procedere nel modo seguente:
Creare delle risorse in quarantena.
Creare uno script o un programma che convalida la configurazione client.
Installare il componente RQS.exe sui server di accesso remoto.
Creare un nuovo profilo di quarantena per la rete con restrizioni con Windows Server 2003 Connection Manager Administration Kit (CMAK).
Distribuire il profilo CM per l'installazione sui computer client remoti.
Configurare i criteri di accesso remoto in quarantena.
Creazione delle risorse in quarantena
Per consentire ai client di accesso remoto di accedere alle risorse del server dei nomi, del server Web o del file server mentre sono in modalità di quarantena, è necessario designare i server e le relative risorse disponibili per i client di accesso remoto.
Creazione di uno script o di un programma che convalida la configurazione client
Lo script o il programma di quarantena creato può essere un file eseguibile (*.exe) o un file di comandi (*.cmd o *.bat). Nello script, eseguire una serie di test per verificare che il client di accesso remoto sia conforme ai criteri di rete.
Installazione del componente RQS.exe sui server di accesso remoto
I componenti del servizio Agente quarantena accesso remoto (Rqs.exe) sono in ascolto di messaggi da parte di client di accesso remoto compatibili con la quarantena, i quali indicano che gli script sono stati eseguiti correttamente.
Creazione di un nuovo profilo di quarantena per la rete con restrizioni con Windows Server 2003 CMAK
Un profilo di quarantena per la rete con restrizioni è un profilo CM di accesso remoto normale per l'accesso tramite connessione remota o VPN con le seguenti aggiunte:
È necessario aggiungere un'azione da eseguire dopo la connessione per eseguire lo script o il programma che è stato creato per verificare la conformità ai criteri di rete e includere lo script o il programma all'interno del profilo. Questa operazione viene eseguita nella pagina delle azioni personalizzate della configurazione guidata CMAK.
È necessario aggiungere il componente di notifica al profilo. Questa operazione viene eseguita nella pagina dei file aggiuntivi della configurazione guidata CMAK.
Per ulteriori informazioni sull'utilizzo di azioni personalizzate in CMAK, vedere la sezione relativa all'inserimento delle azioni personalizzate nella Guida in linea e supporto tecnico di Windows Server 2003.
Distribuzione del profilo CM per l'installazione sui computer client di accesso remoto
Dopo aver creato il profilo CM di quarantena, è necessario distribuirlo e installarlo su tutti i computer client di accesso remoto. Il profilo è un file eseguibile che deve essere eseguito su un client di accesso remoto per installare il profilo e configurare la connessione di rete in quarantena.
Configurazione dei criteri di accesso remoto in quarantena
Se il servizio Routing e Accesso remoto viene configurato con il provider di autenticazione Windows, configurare il criterio di accesso remoto in quarantena sul server di accesso remoto mediante lo snap-in Routing e Accesso remoto. Se il servizio Routing e Accesso remoto viene configurato con il provider di autenticazione RADIUS, configurare il criterio di accesso remoto in quarantena sul server IAS mediante lo snap-in Servizio di Autenticazione Internet.
Riepilogo
La quarantena VPN che utilizza Network Access Quarantine Control fornisce un metodo gestito per impedire l'accesso alla Intranet fino a quando non viene verificata la conformità della configurazione del computer client di accesso remoto ai criteri di rete. Network Access Quarantine Control utilizza un profilo CM contenente uno script di quarantena incorporato e un componente di notifica, un componente listener in esecuzione su un server di accesso remoto Windows Server 2003 e un criterio di accesso in quarantena. Per distribuire Network Access Quarantine Control, è necessario designare e configurare le risorse in quarantena, creare uno script di quarantena, installare il componente listener sui server di accesso remoto, creare e distribuire il profilo CM di quarantena e configurare un criterio di accesso remoto in quarantena.
Ulteriori informazioni
Per ulteriori informazioni, andare alla pagina Microsoft TechNet ed effettuare una ricerca sulla quarantena VPN e su NAP.
Checkpoint dell'argomento
|
Requisiti |
|---|---|
|
Valutate le tecnologie per abilitare la quarantena di rete per utenti remoti e in loco. |
|
Implementata una soluzione di quarantena VPN per utenti remoti. |
Dopo aver completato le operazioni elencate in precedenza, l'organizzazione soddisfa il requisito minimo della soluzione integrata di quarantena per i computer senza patch o infetti.
Passare alla domanda di autovalutazione successiva.