• Статья

В поисках безопасностиЗащита доступа к сети

Джон Морелло (John Morello)

Информация о Windows Server «Longhorn», содержащаяся в этой заметке, является предварительной и в дальнейшем может быть изменена.

Одной из основных угроз безопасности, с которыми в настоящее время сталкиваются все предприятия, независимо от их размера, является попытка доступа к сети со стороны неконтролируемых устройств извне сети. Независимо от того, насколько хорошо предприятие защищается от внешних угроз из сети Интернет, его безопасности может угрожать вполне благонадежный сотрудник, не подозревающий о том, что причастен

к вредительской передаче через червя или троянскую программу. Это особенно справедливо для инфраструктуры ИТ небольших или средних предприятий, в которых личные переносные компьютеры сотрудников используются одновременно в качестве рабочих и для которых развертывание технологий контроля доступа к сети зачастую оказывается слишком дорогим и сложным. Однако обычно именно эти предприятия платят высокую цену за время простоя, поэтому защита от таких угроз является для них жизненно важной.

Технология NAP (Network Access Protection — защита доступа к сети), созданная в Майкрософт, позволяет предприятиям любого размера выполнять профилактическую проверку состояния компьютеров при их присоединении к сети и обеспечивать их защиту в течение всего периода подключения. NAP предоставляет предприятиям гибкую архитектуру, основанную на применении политик и обеспечивающую возможность защищаться от неподдерживаемых компьютеров, преднамеренно или случайно приносимых в производственные сети сотрудниками, поставщиками или посетителями. В основе NAP лежат четыре основных принципа: проверка политик, изоляция, исправление и постоянная проверка на соответствие нормативам.

Обзор технологии NAP

Первой из основных служб, обеспечиваемых NAP, является проверка политик. Проверка политик представляет собой процесс, в котором NAP выполняет оценку систему с точки зрения выполнения правил, определенных администратором, и определяет категорию текущего состояния системы.

Администраторы ИТ указывают набор элементов политики, используемых NAP с целью сравнения при попытке компьютеров подключиться к сети. Компьютеры, прошедшие проверку на соответствие элементам политики, считаются допустимыми, а не прошедшие одну или несколько проверок (в том виде, как они определены администратором) рассматриваются как недопустимые. Эти политики могут выполнять проверку, например, на наличие антивирусного и антишпионского программного обеспечения, активность главного брандмауэра и отсутствие обновлений безопасности. Кроме этого, поскольку NAP создавалась с учетом расширяемости, независимые поставщики программного обеспечения могут создавать для NAP свои собственные подключаемые модули, позволяющие выполнять проверки, ориентированные на конкретные приложения.

Еще одна основная служба, предоставляемая NAP — ограничение сетевых подключений. В зависимости от политик, определенных администратором, в NAP предусмотрен перевод компьютеров в различные состояния сетевого подключения. Например, если компьютер считается недопустимым из-за отсутствия важных обновлений безопасности, NAP может перевести этот компьютер в карантинную сеть, где он будет изолирован от остальной рабочей среды до его возврата в допустимое состояние. В отсутствие NAP недопустимый клиент имел бы беспрепятственный доступ к сети предприятия. Если бы вредоносные программы имели возможность нарушить безопасность компьютера, воспользовавшись «дырами», которые были бы закрыты отсутствующими обновлениями, они смогли бы выполнять активные попытки по распространению инфекции в остальную часть сети. На рис. 1 представлен общий архитектурный замысел.

Рис. 1 Общая архитектура NAP

Рис. 1** Общая архитектура NAP **(Щелкните изображение, чтобы увеличить его)

Простое ограничение возможностей подключения, однако, не обеспечивает эффективной обработки недопустимых компьютеров (в конце концов, пользователям требуется продолжать работу). Поэтому NAP предоставляет службы исправления, позволяющие недопустимым компьютерам, находящимся в карантине, разрешить проблемы своей собственной безопасности без вмешательства администратора. В приведенном выше примере в сети с ограничением недопустимому компьютеру разрешен доступ только к конкретным сетевым ресурсам, необходимым для установки недостающих обновлений, например, к компьютеру предприятия, на котором находятся службы Windows Server® Update Services (WSUS). Другими словами, при наличии NAP недопустимый компьютер может получить доступ только к тем сетевым ресурсам, которые дадут ему возможность достичь безопасного состояния; до этого момента он не сможет передавать информацию в остальную часть сети.

Последний принцип, на котором основана NAP — это постоянная проверка на соответствие нормативам, состоящая в принудительном применении политик безопасности в течение всего времени подключения компьютера к сети, а не только при первоначальном подключении. Рассмотрим, как развиваются события в нашем примере после того, как компьютер выполнит обновления и станет допустимым (и таким образом получит неограниченный доступ к сети). Если впоследствии этот компьютер станет недопустимым вследствие, например, отключения брандмауэра Windows, NAP сможет автоматически вернуть его в карантин. В NAP предусмотрено также выполнение администратором настройки автоматического исправления, в рамках которого состояние несоответствия автоматически исправляется без дополнительного вмешательства пользователя, даже по прошествии длительного периода времени после начального подключения к сети.

В NAP предусмотрено использование нескольких различных методик управления доступом к сети. На предприятиях с управляемыми сетевыми коммутаторами для обеспечения управления доступом, основанного на использовании порта, на уровне слоя оборудования сети можно использовать стандарт 802.1X. NAP обеспечивает также возможность использования управления на основе IPsec, при котором безопасные сети создаются посредством ассоциаций IPsec и находятся в слое над физическими сетями. С помощью управления на основе IPsec управление доступом к безопасной зоне осуществляется в NAP посредством динамического создания и удаления сертификатов, используемых обработчиком IPsec. Наконец, NAP может обеспечить управление на основе DHCP. В этом случае сервер DHCP предоставляет неисправным клиентам возможность аренды IP-адреса из пулов с ограничениями. Для такой аренды используются отдельные суффиксы DNS и маршруты IP, позволяющие управлять доступом к ресурсам со стороны клиента с ограничениями.

Компонент сервера NAP встроен в следующую версию Windows Server с кодовым названием «Longhorn», а именно в новый сервер NPS (Network Policy Server — сервер сетевых политик), являющийся значительно усовершенствованным преемником служб Internet Authentication Services. На предприятиях, использующих управление на основе 802.1X, сетевое оборудование должно поддерживать проверку подлинности 802.1X и динамические возможности VLAN (на узле NAP Partners, на боковой панели «NAP Resources» (Материалы по NAP) представлены подробные сведения о поставщиках аппаратного обеспечения). Для управления на основе DHCP требуется служба DHCP, поддерживающая NAP, например такая, как в Windows Server «Longhorn». В клиентской версии поддержка NAP встроена в Windows Vista™. Поддержка NAP будет также доступна в качестве расширения для Windows® XP, наряду с новым отправителем запроса 802.1X, который активирует управление на основе 802.1X в Windows XP.

Кроме этого, NAP интегрируется в центр безопасности Windows, так же, как и агенты безопасности сторонних разработчиков, для формирования отчетов с информацией о допустимости устройств. Вследствие этого NAP может принимать решения относительно проверки политик на основе всех данных, доступных посредством центра безопасности.

NAP является высокопроизводительным решением для управления политиками на уровне предприятия, поэтому в рамках одной статьи невозможно обсудить все компоненты и стратегии развертывания. Поэтому данная статья будет посвящена в основном развертыванию для небольших и средних предприятий, в которых рабочее время специалистов ИТ уже распределено экономно и в которых развертывание NAP можно упростить с целью быстрой окупаемости инвестиций, необходимых для развертывания. Однако многие выводы и общие соображения в равной степени применимы к любому проекту NAP на предприятии любого размера. Отметим, однако, что разбираемый мною пример не предназначен для использования в качестве пошагового руководства, а является, скорее, общим обзором основных областей, которым необходимо уделить пристальное внимание, чтобы успешно выполнить развертывание NAP на основе DHCP. Ссылка на подробное руководство по настройке имеется на боковой панели «NAP Resources» (Материалы по NAP).

Постановка задачи для предприятия Contoso

Чтобы подробнее рассмотреть, каким образом NAP удовлетворяет конкретные потребности небольших и среднего размера предприятий, возьмем в качестве примера компанию Contoso. Contoso — вымышленное предприятие среднего размера, имеющее 250 компьютеров, установленных в трех основных офисах. На предприятии работают мобильные сотрудники, имеется множество пользователей, работающих в удаленном режиме или подключающихся по обратному вызову с главным офисом из удаленного местонахождения заказчика. Результатом этого является то, что половина всего компьютерного парка состоит из переносных компьютеров и планшетных ПК. Перед Contoso, как перед многими предприятиями, стоят задачи повышения безопасности, поскольку сотрудники предприятия стали гораздо мобильнее. На мобильные компьютеры некоторых пользователей попали вредоносные программы с узлов заказчиков или в домашнем офисе, и инфицированные компьютеры были принесены во внутреннюю сеть Contoso.

На предприятии Contoso следят также за тем, чтобы программные средства этих удаленных компьютеров своевременно обновлялись. Зачастую пользователи, прежде чем вернуться в офис Contoso, в течение длительного времени работают там, где находится заказчик. В такой ситуации их компьютерные системы не обновляются подчас в течение нескольких месяцев, что повышает общую угрозу безопасности для остальных компьютеров сети Contoso. Компании Contoso требуется решение, обеспечивающее безопасность и работоспособность всех компьютеров, подключенных к сети предприятия, как в удаленном режиме, так и локально.

Каким образом технология NAP может помочь в достижении этих целей компанией Contoso? Вспомним основные принципы NAP. Посредством проверки политик NAP проверяет на допустимость все компьютеры, подключающиеся к сети Contoso. В рамках проверки политик определяется наличие на компьютере актуальных сигнатур антивируса и полнота обновлений безопасности. Если в процессе проверки политики NAP выясняется, что компьютер недопустим, NAP может ограничить возможности подключения к сети для недопустимых компьютеров. Это гарантирует, что компьютер, использовавшийся вне предприятия и зараженный вредоносными программами, не сможет распространить инфекцию на остальные части сети. NAP ограничит возможности подключения недопустимого компьютера, разрешая ему доступ только к ресурсам, обеспечивающим исправления, определенным администратором ИТ компании Contoso. Например, недопустимый компьютер получит доступ к серверу WSUS компании Contoso и серверу, на котором размещены сигнатуры антивируса. Наконец, NAP может гарантировать, что после восстановления допустимого состояния компьютера он будет постоянно поддерживаться в допустимом состоянии. В приведенном здесь примере, в случае, если сотрудником, работающим в удаленном режиме по сети VPN, использовался недопустимый компьютер, и пользователь отключил брандмауэр компьютера, NAP автоматически исправит неполадку. Сразу же после отключения брандмауэра инфраструктура NAP переводит компьютер в карантин, снова включает брандмауэр, оценивает состояние компьютера и, убедившись, что он допустим, возвращает компьютер в сеть без ограничений доступа. Основные задачи безопасности динамичной и мобильной вычислительной среды Contoso напрямую решаются с помощью четырех базовых принципов технологии NAP.

Проектирование NAP

Для многих небольших и среднего размера предприятий управление на основе DHCP является наиболее быстрым и простым вариантом реализации NAP. Это определяется тем, что управление на основе DHCP не требует, за исключением DHCP и NPS, дополнительных изменений сети и дополнительных служб. Варианты управления на основе IPsec и на основе 802.1X являются более гибкими, кроме того, для них требуется внесение дополнительных изменений в сеть и развертывание новых служб. В случае сред с несложной структурой использование DHCP обеспечивает основные преимущества технологии NAP при значительно меньшей стоимости реализации и накладывает меньшие ограничения на текущую эксплуатацию.

В среде Contoso в качестве центра по развертыванию NAP используется компьютер, работающий под управлением Windows Server «Longhorn». Поскольку для NAP необходим сервер NPS операционной системы Windows Server «Longhorn», разворачивание NAP на предыдущих версиях Windows Server невозможно. Для использования управления на основе DHCP в технологии NAP требуется также сервер DHCP операционной системы Windows Server «Longhorn». Для консолидации служб Contoso может развернуть как NPS, так и DHCP на одном сервере; их сосуществование не приводит к осложнениям. Поэтому базовая инфраструктура сервера NAP для компании Contoso будет крайне простой: на одном компьютере с установленной операционной системой Windows Server «Longhorn» выполняются компоненты, ответственные за политики и принудительные меры.

На клиентской стороне компьютеры Contoso, работающие под управлением Windows Vista, уже обладают необходимыми для поддержки NAP возможностями. Единственное, что требуется изменить на компьютерах клиентской стороны, работающих под управлением Windows Vista, это активировать набор функций NAP, что можно выполнить посредством групповой политики. Для компьютеров компании Contoso, работающих под управлением Windows XP, необходимо отдельно установить пакет клиента NAP. На присоединенных к домену компьютерах, работающих под управлением Windows XP, функции центра безопасности Windows по умолчанию отключены. Если политика NAP использует информацию о состоянии, получаемую из центра безопасности, для оценки безопасности компьютера, то для корректной работы NAP необходимо, чтобы центр безопасности находился в активном состоянии. Итак, на компьютерах компании Contoso, работающих под управлением Windows XP, центр безопасности активирован администраторами с помощью групповой политики. На клиентской стороне для поддержки NAP больше не требуется никаких изменений.

Развертывание NAP в компании Contoso.

За выполнением необходимых изменений групповой политики, обсуждавшиеся ранее, в компании Contoso следует этап развертывания NAP, заключающийся в установке операционной системы Windows Server «Longhorn». Необходимые компоненты NAP входят во все версии Windows Server «Longhorn», поэтому в Contoso можно использовать любую версию, оптимальным образом удовлетворяющую потребности компании. По завершении установки администратор ИТ использует средство «Диспетчер сервера» для добавления новых ролей компьютеру. Для используемого в компании Contoso управления на основе DHCP требуются роли Network Access Services и DHCP Server. Операции, выполняемые администратором для обработки всех зависимостей и включения дополнительных компонентов, наличие которых может потребоваться на сервере, облегчаются благодаря использованию мастера добавления ролей. После того, как роли добавлены, в Contoso можно приступать к настройке NAP.

Для доступа к оснастке DHCP консоли управления MMC (Microsoft Management Console) и добавления новой области администратор Contoso использует средство «Диспетчер сервера». Настройка сервера DHCP операционной системы Windows Server «Longhorn» приводит к необходимости замены всех существующих служб DHCP в обслуживаемых сервером сегментах. После того, как область создана и заполнена требуемыми вариантами, определяемыми сетью Contoso, необходимо активировать NAP. Это выполняется на вкладке «Защита доступа к сети» свойств области (см. рис. 2).

Рис. 2 Включение системы NAP

Рис. 2** Включение системы NAP **(Щелкните изображение, чтобы увеличить его)

Переключение режима доступа к сети с ограниченного на неограниченный для компьютеров в пределах одной области осуществляется в системе NAP посредством нового параметра области класса пользователя NAP. Этот специальный набор параметров области (включая серверы DNS, суффикс DNS по умолчанию и т.д.) используется при предоставлении аренды недопустимым клиентам. Например, в то время как допустимым клиентам по умолчанию предоставляется суффикс DNS «contoso.com», недопустимым клиентам выдается суффикс «restricted.contoso.com», как показано на рис. 3. После настройки параметров области DHCP можно настраивать сервер сетевых политик и создавать правила.

Рис. 3 Ограниченный доступ

Рис. 3** Ограниченный доступ **(Щелкните изображение, чтобы увеличить его)

Политика NPS состоит из четырех основных компонентов. Проверки допустимости системы (SHV — System Health Validators) определяют проверки, выполняемые для оценки допустимости компьютера. Группы серверов исправления (Remediation Servers Groups) содержат список систем, к которым разрешен доступ для недопустимых компьютеров с целью восстановления (например, WSUS). Компонент шаблона проверки допустимости системы (System Health Validator Template) используется для определения исправных состояний. Например, в компании Contoso может быть признан «соответствующим» компьютер, прошедший проверку Windows Security SHV, но клиенту может быть позволено не пройти другую проверку SHV, обеспечиваемую поставщиком антивируса. В конце концов, эти компоненты объединяются в набор «Сетевые политики», в котором содержится логика, определяющая судьбу компьютеров на основе их состояния допустимости.

System Health Validators представляют собой списки элементов, которые проверяет агент NAP и о состоянии которых сообщает серверу NPS. В вариант развертывания NAP по умолчанию включен компонент Windows SHV, подключаемый к центру безопасности Windows и позволяющий системе NAP проверять состояние всех компонентов безопасности, информация о которых поступает через центр безопасности. К ним относятся такие компоненты, как брандмауэр, антивирус, компонент автоматического обновления и антишпионские программы.

Напомним, что система NAP проектировалась с учетом расширяемости и предоставления возможности сторонним разработчикам создавать собственные SHV с целью обеспечения более детальных проверок отдельных компонентов (подробнее см. на веб-узле по адресу microsoft.com/windowsserver2003/partners/nappartners.mspx). Например, SHV Windows Security позволяет NAP проверять, активирована ли антивирусная программ и было ли выполнено ее обновление. Однако SHV Windows Security не выполняет более детальных проверок, относящихся к антивирусному приложению, например, частоту проверки компьютера или другие параметры, присущие приложению. Поставщик антивируса, однако, может создать свой собственный компонент SHV, подключаемый к приложению на более глубоком уровне и предоставляющий больший набор проверок конкретного приложения, чем используемый по умолчанию компонент Windows SHV. Этот SHV может работать согласованно с Windows SHV и любыми другими возможными SHV; развертывание системы NAP может одновременно использовать множество SHV (см. рис. 4).

Рис. 4 Компонент SHV Windows Security

Рис. 4** Компонент SHV Windows Security **

Группы серверов исправления (Remediation Server Groups) используются для указания ресурсов, доступ к которым разрешен недопустимому компьютеру. В эти группы часто включаются такие ресурсы, как WSUS или серверы SMS (Systems Management Server — сервер управления системами), а также серверы для обновления антивируса. Крайне важно включить не только сами серверы, но также используемые клиентами для их поиска серверы разрешения имен. Поскольку, чтобы для автоматических обновлений использовать сервер wsus.contoso.com, клиенты Contoso настраиваются с помощью групповой политики, в группу серверов исправления необходимо включить не только IP-адрес сервера WSUS, но также адрес сервера DNS, используемого клиентами для преобразования полного доменного имени (FQDN) в числовой IP-адрес. Не имея доступа к ресурсам разрешения этих имен (которые могут быть как DNS, так и WINS, в зависимости от настройки клиентов), клиенты не смогут разрешить адрес ресурсов исправления и, следовательно, не смогут получить к ним доступ. На рис. 5 показаны параметры DNS и IP для рассматриваемого примера.

Рис. 5 Имена DNS и IP-адреса

Рис. 5** Имена DNS и IP-адреса **(Щелкните изображение, чтобы увеличить его)

Шаблоны проверки исправности системы (System Health Validator Template) используются для определения того, что понимается под исправным состоянием компьютера. Шаблоны проверки получают результаты проверок SHV и, основываясь на числе успешных и не успешных из этих пройденных проверок, сообщают, является компьютер допустимым или недопустимым (см. рис. 6).

Рис. 6 Проверки на соответствие

Рис. 6** Проверки на соответствие **(Щелкните изображение, чтобы увеличить его)

В вычислительной среде компании Contoso (как и во многих небольших и среднего размера развертываниях), определены только два состояния. Допустимый компьютер — это компьютер, прошедший все проверки SHV. Компьютер, не соответствующий требованиям безопасности, это компьютер, который не удовлетворяет условиям одной или нескольких из этих проверок. При необходимости на предприятии может быть выбрана более сложная логика (например, создание для пользователей различных стандартов соответствия на основе роли, отдела, местоположения и т.д.), но следует иметь в виду возможность того, что задача определения и разрешения проблем станет более сложной и потребует больше времени.

Все эти компоненты объединяются посредством сетевых политики. Сетевые политики определяются администраторами и передают инструкции серверу NPS относительно способа обращения с компьютерами в зависимости от их состояния допустимости. Эти политики оцениваются в порядке следования сверху вниз (в соответствии с отображением в пользовательском интерфейсе NPS), и обработка прекращается, как только попадается соответствующее правило.

Как всегда, простота является главной целью для сети компании Contoso, поэтому необходимыми являются всего несколько политик. Первая — политика Compliant-FullAccess. В этой политике утверждается, что компьютерам, прошедшим все проверки SHV, предоставляется неограниченный доступ к сети. А именно, при оценке состояния компьютера, после прохождения проверок сервер NPS передает инструкцию серверу DHCP относительно предоставления компьютеру аренды IP-адреса с «обычными» параметрами области. Данная политика Compliant-FullAccess должна быть, как правило, первой в списке обработки, поскольку большая часть компьютеров должна соответствовать нормативам во время проверки. Помещение этой политики на первое место в списке снижает загруженность и время работы сервера NPS.

Следующей применяется политика Noncompliant-Restricted. В вычислительной среде компании Contoso любой компьютер, не прошедший одну или несколько проверок SHV (и поэтому соответствующий шаблону проверки Noncompliant System Health), соответствует этой политике. При обнаружении соответствия этой политике сервер NPS передает инструкцию серверу DHCP относительно предоставления клиенту аренды IP со специальными «ограниченными» параметрами области. При этом компьютеры, не соответствующие требованиям, получают доступ только к ресурсам, определенным в группе серверов исправления компании Contoso.

Третьей применяется политика для проверки обратной совместимости. Напомним, что по умолчанию поддержка NAP существует в Windows XP и более поздних операционных системах (хотя независимые поставщики программного обеспечения могут разрабатывать клиенты NAP для более ранних версий Windows и других операционных систем). Если в компании Contoso продолжается использование Windows 2000, можно создать правило (в нашем примере Downlevel-Full-Access), позволяющее компьютерам, не поддерживающим NAP, предоставлять обычный доступ к сети (обеспечиваемый параметрами области по умолчанию, предоставляемыми сервером DHCP). Эта политика должна оцениваться последней, и ее требуется создавать и активировать только в том случае, когда компьютерам нижнего уровня требуется доступ к сети (см. рис. 7).

Рис. 7 Параметры доступа для компьютеров нижнего уровня

Рис. 7** Параметры доступа для компьютеров нижнего уровня **(Щелкните изображение, чтобы увеличить его)

Что, если в сети компании Contoso имеются ресурсы, которые не поддерживают и никогда не смогут поддерживать NAP, например, принтеры и другое оборудование? Более того, в компании Contoso могут быть компьютеры, поддерживающие NAP, которые требуется исключить из проверок посредством политик постоянно или временно. Простой способ исключения этих компьютеров состоит в использовании адреса MAC. Для обхода этих компьютеров во время проверок NAP администраторы компании Contoso могут создать новую политику (Exempt by MAC), предоставляющую полный доступ к сети. В этой политике используется условный оператор, в котором свойство Calling Station ID клиента RADIUS соответствует MAC-адресу тех устройств, которые требуется обходить в системе NAP. Если компьютер удовлетворяет этому оператору политики, сервер NPS передает инструкцию серверу DHCP относительно предоставления аренды с «обычными» параметрами области. С целью снижения общего времени работы и загрузки сервера NPS эту политику следует поместить на первое место в списке для оценки. Компьютерам, удовлетворяющим требованиям этой политики, не требуется проходить никакую оценку SHV, поэтому для их проверки не требуется организовывать циклы на NPS (см. рис. 8).

Рис. 8 Пропуск некоторых компьютеров

Рис. 8** Пропуск некоторых компьютеров **(Щелкните изображение, чтобы увеличить его)

Применяемые в совокупности, эти политики помогут гарантировать быструю и точную оценку сервером NPS компании Contoso компьютеров, подключенных к сети. При необходимости в них предусматриваются также исключения для компьютеров и устройств нижнего уровня или для тех случаев, когда необходим временный обход для устройств, поддерживающих NAP.

Заключение

В систему NAP входит широкий набор технологий, и ее требуется тщательно планировать и тестировать, в особенности в сложных ситуациях. В данной статье рассматривалась не очень сложная ситуация, но на веб-узле NAP представлены подробные инструкции по развертываниям всех масштабов. На веб-узле представлены также вспомогательные материалы по планированию использования технологий управления на основе 802.1X и на основе IPsec, которые часто лучше удовлетворяют потребности предприятий, чем управление на основе DHCP.

NAP обеспечивает мощную, допускающую расширение платформу для оценки состояния компьютеров, подключенных к сети. Для небольших и среднего размера предприятий технология управления на основе DHCP обеспечивает широкий набор преимуществ при низких затратах на реализацию и управление. NAP является основным преимуществом операционной системы Windows Server «Longhorn» и поможет вашему предприятию повысить уровень безопасности и соответствия стандартам.

Материалы по NAP

Джон Морелло (John Morello) работает в корпорации Майкрософт в течение шести лет, и за это время занимал самые разные должности. Работая в должности старшего консультанта, он разрабатывал решения в сфере безопасности для предприятий, входящих в рейтинг Fortune 100, а также для клиентов из гражданских и оборонных федеральных ведомств. В настоящее время является старшим руководителем программы в группе по разработке операционной системы Windows Server, занимающейся технологиями доступа из любого места.

© 2008 Корпорация Майкрософт и компания CMP Media, LLC. Все права защищены; полное или частичное воспроизведение без разрешения запрещено.