Sugerir tradução
 
Outras sugestões:

progress indicator
Sem sugestões.
TechNet Magazine > Home > Todas as edições > 2009 > TechNet Magazine Maio 2009 >  Controle de acesso de rede com a imposição de D...
Exibir Conteúdo: Lado a LadoExibir Conteúdo: Lado a Lado
Este é um conteúdo traduzido por máquina que os membros da comunidade podem editar. Incentivamos você a melhorar a tradução clicando no link Editar associado a qualquer sentença abaixo.
Geek of all Trades Control Network Access Using DHCP Enforcement
Greg Shields


Those darn users are getting smarter all the time. They've figured out how to turn off their firewalls—always on the nastiest of coffee-shop networks. They keep their laptops away from the office during your monthly patch cycle, because they believe your patches caused their last blue screen. They even disable antivirus and anti-spyware utilities at the slightest hint of a slowdown in performance. Your users take these steps because they think they're helping themselves, when in fact they're hurting the security of your business' network.
A correctly configured and patched computer is a healthy computer, but keeping those computers healthy is a hassle. If only there was a way you could enforce your security policies. Enforcement guarantees that your desktops and laptops have the right firewall configuration. Enforcement assures that computers that lack the right patches can't access your network. Enforcement means that not running antivirus or anti-malware means not connecting to your pristine LAN.
That kind of security policy enforcement is available today with Network Access Protection ( NAP ). NAP is a component that arrives with Windows Server 2008 Network Policy and Access Services. It uses services on both servers and clients to routinely check the status of a client's compliance to your security policies. If those clients aren't configured properly, NAP can automatically restrict their network access until they are remediated. Even better, NAP can automatically remediate the bad clients, forcing those with bad configurations back into line with established security policies.
NAP is a powerful tool that is considered a best-in-class solution by independent analysts like Forrester, who positions NAP in its upper-right "leaders" quadrant. It is a cost-effective solution, because implementing NAP in your network today requires no extra software purchase as it is already a part of your Windows and Active Directory investment. NAP's functionality is already available with every edition of Windows Server 2008. It is designed for massive scalability and is capable of supporting large enterprises with complex needs and scores of clients.
But if NAP is so great, why don't more small environments take advantage of it? Likely, many jack-of-all-trades administrators either aren't aware of what it can do, or are put off by its apparent complexity. That's understandable. If you read through the documentation on NAP , you could be overwhelmed by all the moving parts required for its different mechanisms for enforcing security configurations. IPSec, 802.1x, VPN, and TS Web Access are all NAP enforcement mechanisms that require extra components you might not have in your environment today. However, it is likely that you already have what you need to implement its DHCP-based enforcement.
It is that easy-to-install and easy-to-use DHCP enforcement mechanism I want to show you in this month's column. While each of the others are admittedly more powerful in how they assure client configurations, each also requires more-complex technologies, such as certificate services infrastructures, or deep knowledge of network devices to implement successfully.
Let's start small, and work our way up.

The Goals for a NAP
Before we get into the click-by-click, let's consider some of the goals you probably have for securing your network. You want to ensure that computers are updated with the right patches. You want your on-the-road laptops to get the right security settings when they return. And you certainly need to defend against rogue computers plugging into your network and infecting your servers and workstations.
If all of these goals are met, if your computers are correctly patched and have the right firewall and anti-malware settings, you can generally consider the machines to be healthy. Healthy computers tend to have the right protections in place to stay healthy, and they probably aren't spreading malware around your network.
NAP's job is to monitor and enforce the health of the machines on your network. When a computer plugs in, NAP asks the question, "Are you healthy?" If the computer responds in the affirmative, NAP grants that computer full access to your network. If the client can't answer or answers in the negative, it is instead relocated to a special "remediation" network. There, the only resources available to the computer are those necessary to make it healthy again: a Windows Server Update Services (WSUS) server for applying patches, an antivirus server for downloading the most-recent signature files, and so forth. NAP can also watch the computers on your network, recognize when their health degrades, and quickly fix them when it does.
NAP's enforcement mechanisms are related to the ways in which computers gain access to your network. Computers connect to your 802.1x-capable network switches or wireless access points for a physical connection. They then request an address from your DHCP server. Outside computers may connect through a VPN server or a TS Web Access Web site. Communicating with your domain may require IPSec authentication.
As noted, NAP's DHCP enforcement mechanism is the easiest to configure and use; essentially, your DHCP server becomes NAP's gatekeeper. Computers that connect to your network must first request an address from DHCP. This is where the "Are you healthy?" question is asked by the NAP-enabled DHCP server. If the computer responds correctly, DHCP gives it an address with full network access. If the computer doesn't know how to answer or if it answers incorrectly, DHCP instead gives it a special address for remediation.
To further simplify our example, I'll instruct NAP to only monitor clients for WSUS patches. In this case, clients will be considered unhealthy only when they aren't talking to WSUS or don't have the right patches. As you'll discover later on, I can do this because Microsoft includes a built-in Security Health Validator that enables these checks to be run.
Determining a computer's health with that built-in Security Health Validator requires that two client components work together, the NAP client, which is natively available with Windows Vista, Windows Server 2008, and Windows XP Service Pack 3, and the Windows Security Center, which is available in the Control Panel (see Figure 1). Whereas the NAP client's job is to interface with the NAP server infrastructure, determine the client's state, and do the actual enforcement, it is the job of the Windows Security Center to identify and report when security configurations are out of whack. We'll configure both client pieces as well as the server components in the next section.
Figure 1 The Windows Security Center

Implementing DHCP NAP to Enforce WSUS Updates
Let's assume your network and domain are already in place, and your environment includes a Domain Controller named \\server1. You also have a Windows Vista laptop named \\client1 to use in testing your NAP implementation. You have just built a Windows Server 2008 computer named \\nps that will host your DHCP and NAP services. It will also host your WSUS database, as it will later operate as the remediation server for computers that are missing patches. In this example, I am collocating each of these services on the same computer, but it is possible to locate each on its own computer. For DHCP enforcement to work, you must run it on top of Windows Server 2008.
On the server \\nps, use Server Manager to install the DHCP Server, Network Policy and Access Services, and WSUS roles. Configure DHCP with a small scope for testing and configure WSUS with the necessary configuration that makes sense for your environment.
Next, create a Global Group in your domain called NAP Client Computers. In this group you will later add the names of the computers whose health you want NAP to monitor. For this example, that computer will be \\client1.
NAP's DHCP enforcement can hand out addresses in a completely different and isolated subnet to unhealthy computers, but for simplicity we will only change the computer's DNS domain name. Here, DHCP will tell healthy computers their DNS suffix is contoso.com, while unhealthy computers will instead get unhealthy.contoso.com. Be aware that this keeps the example simple, but doesn't necessarily isolate unhealthy computers. Once you understand the basic concepts, you can later go back and implement subnet isolation.
Configure your DHCP scopes with the above DNS suffixes. Do this in the DHCP console by right-clicking on Scope Options and choosing Configure Options. In the resulting window, click the Advanced tab where you'll see two user classes of interest. The Default User Class represents your set of healthy computers. These computers should get full access and the contoso.com DNS suffix under option 15. The Default Network Access Protection Class represents your unhealthy computers, and should get the DNS suffix unhealthy.contoso.com for option 15. You should probably also enter information for your DNS server under option 6 and default gateway information in option 3. When all that's done, the result should look similar to Figure 2. At this point you can NAP-enable the DHCP scope by right-clicking the scope itself and viewing Properties. Under the Network Access Protection tab, click Enable for this scope.
Figure 2 DHCP’sDefault NAP Class must be confi gured
This completes your configuration of DHCP services. The next step is to configure NAP itself using the Configure NAP wizard. Find the link of the same name in Server Manager's right-pane when you navigate to Network Policy and Access | NPS ( Local ). For this example, configure the wizard's multiple pages as follows:
Select Network Connection Method for Use with NAP. Select DHCP for your Network connection method. The wizard will then automatically populate the Policy name box with NAP DHCP.
Specify NAP Enforcement Servers Running DHCP Server. If your DHCP services were on different servers than your NAP server, you would enter those server names here. For our example, NAP and DHCP are collocated, so you can safely leave this box empty.
Specify DHCP Scopes. Enter the DHCP scopes you intend to enable for NAP. By leaving this box blank, all DHCP scopes are used.
Configure User Groups and Machine Groups. In this dialog box, add the NAP Client Computers Global Group you created earlier. This instructs the NAP policy to manage enforcement for only the computers in this group. Other computers are left alone.
Specify a NAP Remediation Server and URL. This page accomplishes two things. First, it identifies the remediation servers charged with fixing unhealthy clients. In this example, the remediation servers will be \\server1 for domain services and \\npsfor WSUS services. Click the New Group button and create a new group that includes these servers. Second, the page exposes a Troubleshooting URL. This URL is displayed in a balloon tip on unhealthy computers that are remanded to your isolated network for remediation. The Web site, which you must build yourself, can contain instructions on what is happening to the client or instructions for manual remediation. For this example, we'll leave the URL blank.
Define NAP Health Policy. This final screen displays a link to the Windows Security Health Validator, which will be customized next, and provides settings for auto-remediation and network access restrictions. Leave the default settings for each of these here.
The next step is the fun part. Here, you need to configure the components of the Windows Security Health Validator ( WSHV ) you want to use for enforcement. The default WSHV includes a number of Windows Security Center components that can be monitored.
Windows firewall. Is there a firewall on the system that has registered with the Windows Security Center? Is that firewall enabled for all network connections?
Virus and Spyware Protection. Are antivirus and anti-spyware applications installed on the computer, and have they been registered with the Windows Security Center? Are their applications turned on and currently using up-to-date signatures? The WSHA treats antivirus and anti-spyware applications separately, allowing you to enforce either or both on targeted systems.
Microsoft Updates. Has the computer been configured to check for automatic updates either through Windows Update or a local WSUS server? If so, how many hours ago did the computer check for updates? Are all available updates installed? What level of update criticality—important, critical, and so on—must be installed for a computer to be considered healthy?
In Server Manager, navigate to Network Policy and Access Services | NPS (Local) | Network Access Protection | System Health Validators and double-click the Windows Security Health Validator. In the resulting screen, click Configure to see a screen like the one in Figure 3.
Figure 3 The default Windows Security Health Validator
Select the areas you want NAP to manage. Note that any third-party firewalls, antivirus, or anti-spyware applications must register with the Windows Security Center or provide their own add-on components to be monitored by NAP. For this example, we'll check only the boxes indicated in Figure 3. This instructs NAP to ensure that Automatic Updating is turned on for all client systems and that all Critical updates are installed. If a client cannot meet both conditions, it will be automatically moved to the remediation network where the WSUS server can automatically resolve the problem and bring the computer back to health.
Finally, there are three settings to be configured that are applied through Group Policy. Create a new Group Policy Object (GPO), link it to the domain, and open it for editing.
  • Enable the Network Access Protection Agent and set it to Automatic. Do this under Computer Configuration | Policies | Windows Settings | Security Settings | System Services.
  • Enable NAP's DHCP Quarantine Enforcement Agent, which you'll find under Computer Configuration | Policies | Windows Settings | Security Settings | Network Access Protection | NAP Client Configuration | Enforcement Clients. Double-click the agent and in the resulting screen choose to Enable this enforcement client. To apply this setting, right-click on the NAP Client Configuration node and choose Apply.
  • Enable the Windows Security Center found in Computer Configuration | Policies | Administrative Templates | Windows Components | Security Center.
One final step: Close the Group Policy Management Editor and in the policy's Security Filtering, replace Authenticated Users with the NAP Client Computers group created earlier. You can now begin adding domain computers to the NAP Client Computers group to start their participation in NAP enforcement. Once Group Policy applies to the computers, their interactions with DHCP will involve the NAP health checks we discussed here.
You can verify NAP client status using napstat.exe. Running this tool from a command line results in a system tray icon as well as a balloon tip that provides information about the client's enforcement status. Clicking that balloon displays a status window like the one in Figure 4, which indicates that the client is not compliant because it has not installed the proper security updates. At this point, because NAP has identified the client as unhealthy, DHCP will have renegotiated its lease and changed the DNS suffix to unhealthy.contoso.com.
Figure 4 An unhealthy NAP client without the proper security updates installed
There are obviously many more ways in which you can tailor your NAP implementation to provide additional security. Creating a completely isolated remediation network for unhealthy clients is one option. Configuring additional enforcement parameters in the WSHV or adding new third-party SHVs are others. If you dig around in the Network Policy and Access Services node in Server Manager, you'll find a host of additional options for customizing NAP to meet your needs.

Greg Shields, MVP, is a partner at Concentrated Technology. Get more of Greg's Jack-of-all-Trades tips and tricks at www.ConcentratedTech.com .

Geek de todos os Trades Controle de acesso de rede com a imposição de DHCP
Greg Shields


Esses usuários darn estão obtendo mais inteligentes o tempo todo. Eles já percebeu como desativar seus firewalls — sempre em nastiest de redes de loja de café. Eles manter seus laptops fora do escritório durante o ciclo de patch mensal, porque acreditam que seus patches causou sua última tela azul. Eles até mesmo desativar utilitários antivírus e anti-spyware na dica slightest de uma diminuição no desempenho. Os usuários execute essas etapas porque eles acham que eles estão ajudando, quando na verdade eles estiver hurting a segurança da rede sua empresa.
Um computador corretamente configurado e corrigido é um computador íntegro, mas manter os computadores íntegro é uma dor de cabeça. Se apenas houvesse uma forma você pode aplicar as diretivas de segurança. Aplicação garante que os desktops e laptops tenham a configuração firewall à direita. Aplicação garante que os computadores que não possuem os patches direita não é possível acessar sua rede. Imposição significa que não executando antivírus ou anti-malware significa que não se conectando à sua LAN pristine.
Esse tipo de imposição de diretiva de segurança está disponível atualmente com NAP (proteção de acesso da rede). NAP é um componente que chega com diretiva de rede do Windows Server 2008 e o Access Services. Ele usa os serviços em servidores e clientes para verificar com freqüência o status de conformidade com um cliente suas diretivas de segurança. Se esses clientes não configurados corretamente, NAP automaticamente pode restringir o acesso de rede até que eles são remediados. Melhor ainda, NAP automaticamente pode remediar os clientes incorretos, forçando aqueles com configurações incorretas volta para a linha com diretivas de segurança estabelecidas.
NAP é uma ferramenta poderosa que é considerada uma solução melhor na classe por analistas independentes como Forrester, que posiciona NAP no seu quadrante superior direito "líderes". É uma solução de baixo custo, porque a implementação de NAP na rede hoje não requer a compra Nenhum software extra porque já é uma parte do seu investimento em Windows e Active Directory. Funcionalidade do NAP já está disponível com todas as edições do Windows Server 2008. Ele é projetado para escalabilidade grande e é capaz de oferecer suporte a grandes empresas com necessidades complexas e pontuações de clientes.
Mas se NAP é tão grande, por que não mais ambientes pequenos tirar proveito dele? Provavelmente, muitos jack-of-all-trades administradores que um não reconhece o que ele pode fazer, ou são colocados off pelo sua complexidade aparente. Isso é compreensível. Se você leia a documentação sobre NAP , você pode ser sobrecarregado por todas as partes móveis necessárias para seus mecanismos diferentes para aplicar configurações de segurança. IPSec, 802, 1 x, VPN e TS Web Access são todos os mecanismos de imposição NAP que exigem componentes extras, você não pode ter em seu ambiente de hoje. No entanto, é provável que você já tem o que você precisa implementar sua aplicação com base em DHCP.
É esse mecanismo de imposição de DHCP fáceis de instalar e fáceis de usar que quero mostrar você na coluna deste mês. Embora todas as outras são reconhecidamente mais poderoso no como eles garantir as configurações do cliente, cada também requer tecnologias de mais complexa, como a infra-estruturas de serviços de certificado, ou conhecimento profundo de dispositivos de rede para implementar com êxito.
Vamos começar pequeno e trabalhar nossa maneira de backup.

As metas para uma NAP
Antes de obtemos para o clique, clique em, vamos considerar algumas das metas que provavelmente você tem para proteger sua rede. Você deseja garantir que os computadores são atualizados com os patches à direita. Você quer seus laptops para obter as configurações de segurança à direita quando retornarem em trânsito. E, certamente, você precisa para se defender contra invasores computadores conectando em sua rede e infectem os servidores e estações de trabalho.
Se todas essas metas são atendidas, se os computadores são corrigidos corretamente e ter o direito de firewall e configurações de anti-malware, geralmente, você pode considerar as máquinas a ser Íntegro. Computadores íntegros tendem a ter as proteções de direita para permanecer íntegro e provavelmente não difusão malware em torno de sua rede.
Trabalho da NAP é monitorar e impor a integridade das máquinas em sua rede. Quando um computador se conecta em, NAP faz a pergunta, "Are you Íntegro?" Se o computador responde in the affirmative, NAP concederá que acesso completo de computador à rede. Se o cliente não pode atender ou respostas no negativo, é, em vez disso, realocada para uma rede especial "Correção". Lá, os recursos somente disponíveis no computador são aquelas necessárias para torná-la Íntegro novamente: um servidor Windows Server Update Services (WSUS) para aplicar patches, um servidor de antivírus para baixar os arquivos de assinatura mais recentes, e assim por diante. NAP pode também Observe os computadores na rede, reconhecer quando sua integridade degrada e corrigi-los rapidamente quando ele faz.
Mecanismos de imposição do NAP estão relacionados às maneiras em que computadores tenham acesso a sua rede. Computadores conecte-se à sua 802, 1 x-compatível com rede opções ou pontos de acesso sem fio para uma conexão física. Eles, em seguida, solicitar um endereço do servidor DHCP. Fora computadores podem se conectar por meio de um servidor VPN ou um site do TS Web Access. Se comunicar com seu domínio pode exigir autenticação de IPSec.
Como observado, o mecanismo de imposição de DHCP do NAP é o mais fácil de configurar e usar; essencialmente, o servidor DHCP se torna gatekeeper do NAP. Computadores que se conectam à rede devem primeiro solicitar um endereço do DHCP. Isso é onde a pergunta "Are you Íntegro?" é solicitada pelo servidor DHCP NAP habilitado. Se o computador responder corretamente, DHCP confere a ela um endereço com total acesso à rede. Se o computador não souber como responder ou se ele responde incorretamente, DHCP, em vez disso, confere a ela um endereço especial para correção.
Para simplificar ainda mais nosso exemplo, vai instruir NAP para monitorar somente clientes para patches do WSUS. Nesse caso, os clientes serão considerados não-íntegros somente quando eles não estão falando com o WSUS ou não tem os patches à direita. Como você vai descobrir mais tarde, pode fazer isso porque o Microsoft inclui um validador de integridade internas de segurança que permite que essas verificações ser executado.
Determinar a integridade de um computador com esse validador de integridade internas de segurança requer que dois componentes de cliente funcionam juntos, o cliente NAP, que está originalmente disponível com o Windows Vista, Windows Server 2008, Windows XP Service Pack 3 e a Central de segurança do Windows, que está disponível no painel de controle (veja a Figura 1 ). Enquanto o trabalho do cliente NAP é para interface com a infra-estrutura de servidor NAP, determinar o estado do cliente e fazer a aplicação real, é o trabalho da Central de segurança do Windows para identificar e relatar quando as configurações de segurança estão fora de whack. Será configuramos as partes do cliente bem como os componentes de servidor na próxima seção.
Figura 1 A Central de segurança do Windows

Implementar NAP DHCP para aplicar atualizações do WSUS
Vamos supor que sua rede e o domínio já estão no lugar e seu ambiente inclui um controlador de domínio chamado \\server1. Você também tem um laptop Windows Vista chamado \\client1 para usar em teste sua implementação do NAP. Apenas você ter criado um computador Windows Server 2008 chamado \\nps que irá hospedar seus serviços DHCP e NAP. Ele também será hospedar seu banco de dados do WSUS, como ele posteriormente irá operar como o servidor de correção para computadores que não possuem patches. Neste exemplo, eu estou collocating cada um desses serviços no mesmo computador, mas é possível localizar cada em seu próprio computador. Para imposição de DHCP trabalhar, você deve executá-lo na parte superior do Windows Server 2008.
Em \\nps servidor, use Server Manager para instalar o servidor DHCP, diretiva de rede e serviços de acesso e funções do WSUS. Configurar o DHCP com um escopo pequeno para testar e configurar o WSUS com a configuração necessária que faça sentido para o seu ambiente.
Em seguida, crie um grupo global no domínio chamado computadores de cliente NAP. Nesse grupo posteriormente você irá adicionar os nomes dos computadores cuja integridade desejado NAP para monitorar. Neste exemplo, esse computador será \\client1.
Imposição de DHCP do NAP pode distribuir endereços em uma sub-rede completamente diferente e isolada para computadores não-íntegros, mas para simplificar, será somente alterar o nome de domínio DNS do computador. Aqui, DHCP será informe computadores íntegros que sufixo DNS é contoso.com, enquanto os computadores não-íntegros em vez disso, obterá unhealthy.contoso.com. Deve estar ciente de que isso mantém o exemplo simples, mas não necessariamente isolar computadores não-íntegros. Depois que você compreender os conceitos básicos, mais tarde você pode voltar e implementar o isolamento de sub-rede.
Configure escopos DHCP com os sufixos DNS acima. Para fazer isso no console do DHCP, clicando com o botão direito do mouse em Scope Options e escolhendo configurar opções. Na janela resultante, clique na guia Avançado onde você verá duas classes de usuário de seu interesse. A classe de usuário padrão representa o conjunto de computadores íntegros. Esses computadores devem obter acesso completo e o sufixo DNS de contoso.com na opção 15. A classe proteção de acesso padrão da rede representa os computadores não-íntegros e deve obter a unhealthy.contoso.com de sufixo DNS para a opção 15. Você deve provavelmente também inserir informações para o servidor DNS em opção 6 e informações do gateway padrão na opção 3. Quando tudo o que é feito, o resultado deve ser semelhante ao Figura 2 . Neste ponto você pode ativar o escopo DHCP NAP clicando com o botão direito do mouse o escopo propriamente dito e exibindo propriedades. Na guia Proteção de Acesso À Rede, clique em Ativar para este escopo.
A Figura 2 DHCP’sDefault NAP classe deve ser confi gured
Isso completa a configuração de serviços DHCP. A próxima etapa é configurar NAP si mesma usando o assistente configurar NAP. Localizar o link de mesmo nome no painel do Gerenciador de servidores direita quando você navegar para diretiva de rede e acesso | NPS (local). Neste exemplo, configure várias páginas o assistente como segue:
Selecionar método de conexão de rede para uso com a NAP. Selecione o DHCP para seu método de conexão de rede. O assistente, em seguida, preencherá automaticamente a caixa de nome de diretiva com o DHCP NAP.
Especificar servidores de imposição NAP que executam o servidor DHCP. Se os serviços DHCP estavam em diferentes servidores que o servidor NAP, você deve inserir os nomes de servidor aqui. Em nosso exemplo, NAP e DHCP são collocated, portanto, podem com segurança deixar esta caixa vazia.
Especifique os escopos do DHCP. Insira os escopos DHCP que pretende habilitar para NAP. Por sair dessa caixa em branco, todos os escopos DHCP são usados.
Configurar grupos de usuários e grupos de computador. Na caixa de diálogo, adicione o NAP cliente computadores global grupo criado anteriormente. Isso instrui a diretiva de NAP para gerenciar a aplicação de apenas os computadores nesse grupo. Outros computadores são deixados sozinhos.
Especifique um servidor de remediação NAP e URL. Esta página faz duas coisas. Primeiro, ele identifica os servidores de remediação encarregados de corrigir os clientes não-íntegros. Neste exemplo, os servidores de remediação ficarão \\server1 para serviços de domínio e serviços do WSUS \\npsfor. Clique no botão novo grupo e criar um novo grupo que inclui esses servidores. Em segundo lugar, a página expõe uma URL de solução de problemas. Essa URL é exibido em uma dica de balão nos computadores não-íntegros que são remanded à sua rede isolada para correção. O site, você deve criar você mesmo, pode conter instruções sobre o que está acontecendo do cliente ou instruções para a correção manual. Neste exemplo, Deixaremos o URL em branco.
Definir diretiva de integridade NAP. Esta tela final exibe um link para o validador de integridade de segurança do Windows, que irá ser personalizados em seguida, e fornece configurações para restrições de acesso a correção automática e a rede. Mantenha as configurações padrão para cada um desses aqui.
A próxima etapa é a diversão parte. Aqui, você precisa configurar os componentes do Windows segurança integridade validador (WSHV) você deseja usar para aplicação. O padrão WSHV inclui um número de componentes de Central de segurança do Windows que pode ser monitorado.
firewall do Windows. Há um firewall no sistema que foi registrado com a Central de segurança do Windows? Esse firewall está ativado para todas as conexões de rede?
vírus e proteção contra spyware. São aplicativos antivírus e anti-spyware instalados no computador e eles foram registrados com a Central de segurança do Windows? São seus aplicativos ativados e usando assinaturas atualizadas no momento? O WSHA trata aplicativos antivírus e anti-spyware separadamente, permitindo que você aplicar uma ou ambas as em destino sistemas.
Atualizações do Microsoft. O computador foi configurado para verificar atualizações automáticas por meio do Windows Update ou um servidor WSUS local? Em caso afirmativo, quantas horas há foi o computador procurar atualizações? Todas as atualizações disponíveis estão instaladas? O nível de atualização criticalidade — importantes, críticas e assim por diante — deve ser instalado para um computador ser considerado Íntegro?
No Gerenciador do servidor, vá para serviços de acesso e diretiva de rede | NPS (local) | proteção de acesso À rede | validadores de integridade do sistema e clique duas vezes o validador de integridade de segurança do Windows. Na tela resultante, clique em Configurar para ver uma tela como da Figura 3 .
A Figura 3 O padrão Validador de Integridade de Segurança do Windows
Selecione as áreas que deseja NAP para gerenciar. Observe que os firewalls de terceiros, antivírus ou anti-spyware aplicativos devem registrar com a Central de segurança do Windows ou fornecer seus próprios componentes de complemento a ser monitorado por NAP. Neste exemplo, será verificamos somente as caixas indicadas na Figura 3 . Isso instrui o NAP para garantir que atualizações automáticas está ativado para todos os sistemas clientes e que todas as atualizações críticas são instaladas. Se um cliente não puder atender as duas condições, ela será automaticamente movida para a rede de correção em que o servidor WSUS automaticamente pode resolver o problema e trazer o computador volta para integridade.
Finalmente, há três configurações seja configurado que são aplicadas por meio da diretiva de grupo. Criar um novo grupo Diretiva de objetos (GPO), vinculá-lo ao domínio e abri-lo para edição.
  • Habilitar o agente de Proteção de Acesso À Rede e defina-o como automático. Isso em Configuração do computador | diretivas | configurações do Windows | Configurações de segurança | serviços do sistema.
  • Habilitar DHCP quarentena imposição agente do NAP, que você encontrará em Configuração do computador | diretivas | configurações do Windows | Configurações de segurança | proteção de acesso À rede | configuração de cliente NAP | clientes de imposição. Clique duas vezes o agente e na tela resultante escolha ativar este cliente de imposição. Para aplicar essa configuração, clique com o botão direito do mouse no nó a configuração de cliente NAP e escolha aplicar.
  • Ativar a Central de segurança do Windows encontrado na configuração do computador | diretivas | Modelos administrativos | Componentes do Windows | Central de segurança.
Uma etapa final: fechar o Editor de gerenciamento de diretiva de grupo e em Filtro de segurança da diretiva, substituir os usuários autenticados com o grupo de computadores de cliente NAP criado anteriormente. Agora você pode começar adicionando computadores do domínio ao grupo computadores de cliente NAP para iniciar sua participação na imposição de NAP. Depois que a diretiva de grupo se aplica a computadores, suas interações com o DHCP envolverá as verificações de integridade NAP abordamos aqui.
Você pode verificar o status do cliente NAP usando napstat.exe. Executando esta ferramenta a partir um resulta de linha de comando em um ícone de bandeja do sistema bem como uma dica de balão que fornece informações sobre status de imposição do cliente. Clicando em balão que exibe uma janela de status como o mostrado na Figura 4 , que indica que o cliente não é compatível com porque ele não tenha instalado as atualizações de segurança adequado. Neste ponto, porque o NAP identificou o cliente como não-íntegro, DHCP terá renegociada sua concessão e alterado o sufixo DNS para unhealthy.contoso.com.
A Figura 4 um cliente NAP não-íntegro sem o securityupdates adequado instalado
Há, obviamente, várias maneiras de mais no qual você pode adaptar sua implementação de NAP para fornecer segurança adicional. A criação de uma rede de correção completamente isolados para clientes não-íntegros é uma opção. Configurar parâmetros de imposição adicionais in the WSHV ou adicionando novos SHVs de terceiros é outras pessoas. Se você examine no nó do serviços de acesso e diretiva de rede Gerenciador de servidor, você encontrará um host de opções adicionais para personalizar o NAP para atender às suas necessidades.

Greg Shields , MVP, é um parceiro no concentrou Technology. Aproveite mais o do Greg Jack-of-all-Trades dicas e truques em www.ConcentratedTech.com .

Page view tracker