Geek de todos os Trades Controle de acesso de rede com a imposição de DHCP
Greg Shields
Conteúdo
As metas para uma NAP
Implementar NAP DHCP para aplicar atualizações do WSUS
Esses usuários darn estão obtendo mais inteligentes o tempo todo. Eles já percebeu como desativar seus firewalls — sempre em nastiest de redes de loja de café. Eles manter seus laptops fora do escritório durante o ciclo de patch mensal, porque acreditam que seus patches causou sua última tela azul. Eles até mesmo desativar utilitários antivírus e anti-spyware na dica slightest de uma diminuição no desempenho. Os usuários execute essas etapas porque eles acham que eles estão ajudando, quando na verdade eles estiver hurting a segurança da rede sua empresa.
Um computador corretamente configurado e corrigido é um computador íntegro, mas manter os computadores íntegro é uma dor de cabeça. Se apenas houvesse uma forma você pode aplicar as diretivas de segurança. Aplicação garante que os desktops e laptops tenham a configuração firewall à direita. Aplicação garante que os computadores que não possuem os patches direita não é possível acessar sua rede. Imposição significa que não executando antivírus ou anti-malware significa que não se conectando à sua LAN pristine.
Esse tipo de imposição de diretiva de segurança está disponível atualmente com NAP (proteção de acesso da rede). NAP é um componente que chega com diretiva de rede do Windows Server 2008 e o Access Services. Ele usa os serviços em servidores e clientes para verificar com freqüência o status de conformidade com um cliente suas diretivas de segurança. Se esses clientes não configurados corretamente, NAP automaticamente pode restringir o acesso de rede até que eles são remediados. Melhor ainda, NAP automaticamente pode remediar os clientes incorretos, forçando aqueles com configurações incorretas volta para a linha com diretivas de segurança estabelecidas.
NAP é uma ferramenta poderosa que é considerada uma solução melhor na classe por analistas independentes como Forrester, que posiciona NAP no seu quadrante superior direito "líderes". É uma solução de baixo custo, porque a implementação de NAP na rede hoje não requer a compra Nenhum software extra porque já é uma parte do seu investimento em Windows e Active Directory. Funcionalidade do NAP já está disponível com todas as edições do Windows Server 2008. Ele é projetado para escalabilidade grande e é capaz de oferecer suporte a grandes empresas com necessidades complexas e pontuações de clientes.
Mas se NAP é tão grande, por que não mais ambientes pequenos tirar proveito dele? Provavelmente, muitos jack-of-all-trades administradores que um não reconhece o que ele pode fazer, ou são colocados off pelo sua complexidade aparente. Isso é compreensível. Se você leia a documentação sobre NAP, você pode ser sobrecarregado por todas as partes móveis necessárias para seus mecanismos diferentes para aplicar configurações de segurança. IPSec, 802, 1 x, VPN e TS Web Access são todos os mecanismos de imposição NAP que exigem componentes extras, você não pode ter em seu ambiente de hoje. No entanto, é provável que você já tem o que você precisa implementar sua aplicação com base em DHCP.
É esse mecanismo de imposição de DHCP fáceis de instalar e fáceis de usar que quero mostrar você na coluna deste mês. Embora todas as outras são reconhecidamente mais poderoso no como eles garantir as configurações do cliente, cada também requer tecnologias de mais complexa, como a infra-estruturas de serviços de certificado, ou conhecimento profundo de dispositivos de rede para implementar com êxito.
Vamos começar pequeno e trabalhar nossa maneira de backup.
As metas para uma NAP
Antes de obtemos para o clique, clique em, vamos considerar algumas das metas que provavelmente você tem para proteger sua rede. Você deseja garantir que os computadores são atualizados com os patches à direita. Você quer seus laptops para obter as configurações de segurança à direita quando retornarem em trânsito. E, certamente, você precisa para se defender contra invasores computadores conectando em sua rede e infectem os servidores e estações de trabalho.
Se todas essas metas são atendidas, se os computadores são corrigidos corretamente e ter o direito de firewall e configurações de anti-malware, geralmente, você pode considerar as máquinas a ser Íntegro. Computadores íntegros tendem a ter as proteções de direita para permanecer íntegro e provavelmente não difusão malware em torno de sua rede.
Trabalho da NAP é monitorar e impor a integridade das máquinas em sua rede. Quando um computador se conecta em, NAP faz a pergunta, "Are you Íntegro?" Se o computador responde in the affirmative, NAP concederá que acesso completo de computador à rede. Se o cliente não pode atender ou respostas no negativo, é, em vez disso, realocada para uma rede especial "Correção". Lá, os recursos somente disponíveis no computador são aquelas necessárias para torná-la Íntegro novamente: um servidor Windows Server Update Services (WSUS) para aplicar patches, um servidor de antivírus para baixar os arquivos de assinatura mais recentes, e assim por diante. NAP pode também Observe os computadores na rede, reconhecer quando sua integridade degrada e corrigi-los rapidamente quando ele faz.
Mecanismos de imposição do NAP estão relacionados às maneiras em que computadores tenham acesso a sua rede. Computadores conecte-se à sua 802, 1 x-compatível com rede opções ou pontos de acesso sem fio para uma conexão física. Eles, em seguida, solicitar um endereço do servidor DHCP. Fora computadores podem se conectar por meio de um servidor VPN ou um site do TS Web Access. Se comunicar com seu domínio pode exigir autenticação de IPSec.
Como observado, o mecanismo de imposição de DHCP do NAP é o mais fácil de configurar e usar; essencialmente, o servidor DHCP se torna gatekeeper do NAP. Computadores que se conectam à rede devem primeiro solicitar um endereço do DHCP. Isso é onde a pergunta "Are you Íntegro?" é solicitada pelo servidor DHCP NAP habilitado. Se o computador responder corretamente, DHCP confere a ela um endereço com total acesso à rede. Se o computador não souber como responder ou se ele responde incorretamente, DHCP, em vez disso, confere a ela um endereço especial para correção.
Para simplificar ainda mais nosso exemplo, vai instruir NAP para monitorar somente clientes para patches do WSUS. Nesse caso, os clientes serão considerados não-íntegros somente quando eles não estão falando com o WSUS ou não tem os patches à direita. Como você vai descobrir mais tarde, pode fazer isso porque o Microsoft inclui um validador de integridade internas de segurança que permite que essas verificações ser executado.
Determinar a integridade de um computador com esse validador de integridade internas de segurança requer que dois componentes de cliente funcionam juntos, o cliente NAP, que está originalmente disponível com o Windows Vista, Windows Server 2008, Windows XP Service Pack 3 e a Central de segurança do Windows, que está disponível no painel de controle (veja a Figura 1 ). Enquanto o trabalho do cliente NAP é para interface com a infra-estrutura de servidor NAP, determinar o estado do cliente e fazer a aplicação real, é o trabalho da Central de segurança do Windows para identificar e relatar quando as configurações de segurança estão fora de whack. Será configuramos as partes do cliente bem como os componentes de servidor na próxima seção.
Figura 1 A Central de segurança do Windows
Implementar NAP DHCP para aplicar atualizações do WSUS
Vamos supor que sua rede e o domínio já estão no lugar e seu ambiente inclui um controlador de domínio chamado \\server1. Você também tem um laptop Windows Vista chamado \\client1 para usar em teste sua implementação do NAP. Apenas você ter criado um computador Windows Server 2008 chamado \\nps que irá hospedar seus serviços DHCP e NAP. Ele também será hospedar seu banco de dados do WSUS, como ele posteriormente irá operar como o servidor de correção para computadores que não possuem patches. Neste exemplo, eu estou collocating cada um desses serviços no mesmo computador, mas é possível localizar cada em seu próprio computador. Para imposição de DHCP trabalhar, você deve executá-lo na parte superior do Windows Server 2008.
Em \\nps servidor, use Server Manager para instalar o servidor DHCP, diretiva de rede e serviços de acesso e funções do WSUS. Configurar o DHCP com um escopo pequeno para testar e configurar o WSUS com a configuração necessária que faça sentido para o seu ambiente.
Em seguida, crie um grupo global no domínio chamado computadores de cliente NAP. Nesse grupo posteriormente você irá adicionar os nomes dos computadores cuja integridade desejado NAP para monitorar. Neste exemplo, esse computador será \\client1.
Imposição de DHCP do NAP pode distribuir endereços em uma sub-rede completamente diferente e isolada para computadores não-íntegros, mas para simplificar, será somente alterar o nome de domínio DNS do computador. Aqui, DHCP será informe computadores íntegros que sufixo DNS é contoso.com, enquanto os computadores não-íntegros em vez disso, obterá unhealthy.contoso.com. Deve estar ciente de que isso mantém o exemplo simples, mas não necessariamente isolar computadores não-íntegros. Depois que você compreender os conceitos básicos, mais tarde você pode voltar e implementar o isolamento de sub-rede.
Configure escopos DHCP com os sufixos DNS acima. Para fazer isso no console do DHCP, clicando com o botão direito do mouse em Scope Options e escolhendo configurar opções. Na janela resultante, clique na guia Avançado onde você verá duas classes de usuário de seu interesse. A classe de usuário padrão representa o conjunto de computadores íntegros. Esses computadores devem obter acesso completo e o sufixo DNS de contoso.com na opção 15. A classe proteção de acesso padrão da rede representa os computadores não-íntegros e deve obter a unhealthy.contoso.com de sufixo DNS para a opção 15. Você deve provavelmente também inserir informações para o servidor DNS em opção 6 e informações do gateway padrão na opção 3. Quando tudo o que é feito, o resultado deve ser semelhante ao Figura 2 . Neste ponto você pode ativar o escopo DHCP NAP clicando com o botão direito do mouse o escopo propriamente dito e exibindo propriedades. Na guia Proteção de Acesso À Rede, clique em Ativar para este escopo.
A Figura 2 DHCP’sDefault NAP classe deve ser confi gured
Isso completa a configuração de serviços DHCP. A próxima etapa é configurar NAP si mesma usando o assistente configurar NAP. Localizar o link de mesmo nome no painel do Gerenciador de servidores direita quando você navegar para diretiva de rede e acesso | NPS (local). Neste exemplo, configure várias páginas o assistente como segue:
Selecionar método de conexão de rede para uso com a NAP. Selecione o DHCP para seu método de conexão de rede. O assistente, em seguida, preencherá automaticamente a caixa de nome de diretiva com o DHCP NAP.
Especificar servidores de imposição NAP que executam o servidor DHCP. Se os serviços DHCP estavam em diferentes servidores que o servidor NAP, você deve inserir os nomes de servidor aqui. Em nosso exemplo, NAP e DHCP são collocated, portanto, podem com segurança deixar esta caixa vazia.
Especifique os escopos do DHCP. Insira os escopos DHCP que pretende habilitar para NAP. Por sair dessa caixa em branco, todos os escopos DHCP são usados.
Configurar grupos de usuários e grupos de computador. Na caixa de diálogo, adicione o NAP cliente computadores global grupo criado anteriormente. Isso instrui a diretiva de NAP para gerenciar a aplicação de apenas os computadores nesse grupo. Outros computadores são deixados sozinhos.
Especifique um servidor de remediação NAP e URL. Esta página faz duas coisas. Primeiro, ele identifica os servidores de remediação encarregados de corrigir os clientes não-íntegros. Neste exemplo, os servidores de remediação ficarão \\server1 para serviços de domínio e serviços do WSUS \\npsfor. Clique no botão novo grupo e criar um novo grupo que inclui esses servidores. Em segundo lugar, a página expõe uma URL de solução de problemas. Essa URL é exibido em uma dica de balão nos computadores não-íntegros que são remanded à sua rede isolada para correção. O site, você deve criar você mesmo, pode conter instruções sobre o que está acontecendo do cliente ou instruções para a correção manual. Neste exemplo, Deixaremos o URL em branco.
Definir diretiva de integridade NAP. Esta tela final exibe um link para o validador de integridade de segurança do Windows, que irá ser personalizados em seguida, e fornece configurações para restrições de acesso a correção automática e a rede. Mantenha as configurações padrão para cada um desses aqui.
A próxima etapa é a diversão parte. Aqui, você precisa configurar os componentes do Windows segurança integridade validador (WSHV) você deseja usar para aplicação. O padrão WSHV inclui um número de componentes de Central de segurança do Windows que pode ser monitorado.
firewall do Windows. Há um firewall no sistema que foi registrado com a Central de segurança do Windows? Esse firewall está ativado para todas as conexões de rede?
vírus e proteção contra spyware. São aplicativos antivírus e anti-spyware instalados no computador e eles foram registrados com a Central de segurança do Windows? São seus aplicativos ativados e usando assinaturas atualizadas no momento? O WSHA trata aplicativos antivírus e anti-spyware separadamente, permitindo que você aplicar uma ou ambas as em destino sistemas.
Atualizações do Microsoft. O computador foi configurado para verificar atualizações automáticas por meio do Windows Update ou um servidor WSUS local? Em caso afirmativo, quantas horas há foi o computador procurar atualizações? Todas as atualizações disponíveis estão instaladas? O nível de atualização criticalidade — importantes, críticas e assim por diante — deve ser instalado para um computador ser considerado Íntegro?
No Gerenciador do servidor, vá para serviços de acesso e diretiva de rede | NPS (local) | proteção de acesso À rede | validadores de integridade do sistema e clique duas vezes o validador de integridade de segurança do Windows. Na tela resultante, clique em Configurar para ver uma tela como da Figura 3 .
A Figura 3 O padrão Validador de Integridade de Segurança do Windows
Selecione as áreas que deseja NAP para gerenciar. Observe que os firewalls de terceiros, antivírus ou anti-spyware aplicativos devem registrar com a Central de segurança do Windows ou fornecer seus próprios componentes de complemento a ser monitorado por NAP. Neste exemplo, será verificamos somente as caixas indicadas na Figura 3 . Isso instrui o NAP para garantir que atualizações automáticas está ativado para todos os sistemas clientes e que todas as atualizações críticas são instaladas. Se um cliente não puder atender as duas condições, ela será automaticamente movida para a rede de correção em que o servidor WSUS automaticamente pode resolver o problema e trazer o computador volta para integridade.
Finalmente, há três configurações seja configurado que são aplicadas por meio da diretiva de grupo. Criar um novo grupo Diretiva de objetos (GPO), vinculá-lo ao domínio e abri-lo para edição.
- Habilitar o agente de Proteção de Acesso À Rede e defina-o como automático. Isso em Configuração do computador | diretivas | configurações do Windows | Configurações de segurança | serviços do sistema.
- Habilitar DHCP quarentena imposição agente do NAP, que você encontrará em Configuração do computador | diretivas | configurações do Windows | Configurações de segurança | proteção de acesso À rede | configuração de cliente NAP | clientes de imposição. Clique duas vezes o agente e na tela resultante escolha ativar este cliente de imposição. Para aplicar essa configuração, clique com o botão direito do mouse no nó a configuração de cliente NAP e escolha aplicar.
- Ativar a Central de segurança do Windows encontrado na configuração do computador | diretivas | Modelos administrativos | Componentes do Windows | Central de segurança.
Uma etapa final: fechar o Editor de gerenciamento de diretiva de grupo e em Filtro de segurança da diretiva, substituir os usuários autenticados com o grupo de computadores de cliente NAP criado anteriormente. Agora você pode começar adicionando computadores do domínio ao grupo computadores de cliente NAP para iniciar sua participação na imposição de NAP. Depois que a diretiva de grupo se aplica a computadores, suas interações com o DHCP envolverá as verificações de integridade NAP abordamos aqui.
Você pode verificar o status do cliente NAP usando napstat.exe. Executando esta ferramenta a partir um resulta de linha de comando em um ícone de bandeja do sistema bem como uma dica de balão que fornece informações sobre status de imposição do cliente. Clicando em balão que exibe uma janela de status como o mostrado na Figura 4 , que indica que o cliente não é compatível com porque ele não tenha instalado as atualizações de segurança adequado. Neste ponto, porque o NAP identificou o cliente como não-íntegro, DHCP terá renegociada sua concessão e alterado o sufixo DNS para unhealthy.contoso.com.
A Figura 4 um cliente NAP não-íntegro sem o securityupdates adequado instalado
Há, obviamente, várias maneiras de mais no qual você pode adaptar sua implementação de NAP para fornecer segurança adicional. A criação de uma rede de correção completamente isolados para clientes não-íntegros é uma opção. Configurar parâmetros de imposição adicionais in the WSHV ou adicionando novos SHVs de terceiros é outras pessoas. Se você examine no nó do serviços de acesso e diretiva de rede Gerenciador de servidor, você encontrará um host de opções adicionais para personalizar o NAP para atender às suas necessidades.
Greg Shields , MVP, é um parceiro no concentrou Technology. Aproveite mais o do Greg Jack-of-all-Trades dicas e truques em www.ConcentratedTech.com.