Fan de Trades tout Contrôler l'accès réseau à l'aide de DHCP Enforcement
Greg Shields
Contenu
Les objectifs pour une NAP
L'implémentation NAP DHCP pour appliquer les mises à jour WSUS
Ces utilisateurs darn obtenez plus intelligents tout le temps. Ils avez trouvé comment désactiver les pare-feux, toujours en nastiest des réseaux coffee-usine. Ils empêcher leurs ordinateurs portables hors du bureau pendant votre cycle de correctif mensuel, car il pense que vos correctifs provoqué son dernier écran bleu. Ils même désactiver utilitaires antivirus et anti-logiciels espions à l'indicateur slightest d'un ralentissement des performances. Vos utilisateurs prendre ces étapes car elles pensent qu'ils vous aidant eux-mêmes, lorsque vous en fait qu'ils vous réduisent la sécurité de réseau de votre entreprise.
Un ordinateur correctement configuré et corrigé est un ordinateur sain, mais conserver ces ordinateurs sain est un harceler. Si seul un moyen est survenu vous pourriez appliquer vos stratégies de sécurité. Mise en œuvre garantit que vos ordinateurs de bureau et portables que la configuration du pare-feu droite. Mise en œuvre assure que les ordinateurs qui manquent les correctifs droite ne peut pas accéder au réseau. Mise en œuvre signifie qui s'exécute ne pas antivirus ou anti-malware ne signifie pas se connecter à votre réseau local pristine.
Ce type de mise en œuvre d'une stratégie de sécurité est disponible dès aujourd'hui avec NAP (Network Access Protection). NAP est un composant qui arrive avec stratégie de réseau Windows Server 2008 et des services d'accès. Il utilise les services sur les serveurs et clients pour vérifier régulièrement l'état de conformité d'un client à vos stratégies de sécurité. Si les clients ne sont pas configurés correctement, NAP peut restreindre automatiquement leur accès réseau jusqu'à ce qu'ils sont remediated. Mieux encore, NAP peut corriger automatiquement les clients incorrects, forcer les configurations incorrectes en ligne avec les stratégies de sécurité établies.
NAP est un outil puissant qui est considéré comme une solution de mieux de classe par des analystes indépendants comme Forrester, ce qui place NAP dans le quadrant supérieur droit « leaders ». Il est une solution économique, car implémenter NAP dans votre réseau aujourd'hui ne requiert aucun fournisseur de logiciel supplémentaire comme il fait déjà partie de votre investissement Windows et Active Directory. Fonctionnalité de NAP est déjà disponible avec chaque édition de Windows Server 2008. Il est conçu pour l'évolutivité massif et est capable de prise en charge des grandes entreprises avec besoins complexes et notes de clients.
Mais si NAP est donc idéal, pourquoi ne pas plus petits environnements prendre parti ? Vraisemblablement, nombreux jack-of-all-trades administrateurs que ne soit pas conscient d'IL faire ou sont mis hors par sa complexité apparente. C'est compréhensible. Si vous lisez le documentation sur la protection NAP, vous pouvez envahi par tous les composants mobiles requis pour ses différents mécanismes d'application des configurations de sécurité. IPSec, 802. 1 x, VPN et TS Web Access sont tous les mécanismes de mise en œuvre NAP qui requièrent des composants supplémentaires que vous n'aurez dans votre environnement dès aujourd'hui. Toutefois, il est probable que vous avez déjà que vous devez implémenter sa mise en œuvre basée sur DHCP.
Il est que facile à installer et facile à utiliser DHCP application mécanisme que je souhaitez vous afficher dans mois-ci ce. Bien que chacune des autres soient Il est vrai plus puissante dans comment ils garantir des configurations client, chacun nécessite technologies plus complexe comme infrastructures de services de certificat, ni connaissance approfondie des périphériques réseau pour implémenter avec succès.
Commençons petit et fonctionnent notre façon haut.
Les objectifs pour une NAP
Avant de nous obtenons en le clic par clic, prenons des objectifs que vous utilisez certainement par sécuriser votre réseau. Vous voulez vous assurer que les ordinateurs sont mis à jour avec les correctifs droite. Vous souhaitez votre portables on-the-route pour obtenir les paramètres de sécurité droit lorsqu'elles renvoient. Et vous devez certainement défendre contre les ordinateurs non autorisés connecter à votre réseau et d'infection de vos serveurs et stations de travail.
Si toutes ces objectifs sont remplies, si vos ordinateurs sont correctement corrigés et disposez les pare-feu droite et les paramètres logiciels anti-programme malveillant, vous pouvez généralement envisager les machines à sain. Ordinateurs sains tendant à avoir les protections droite en place pour rester sain, ils ne sont pas probablement la diffusion malware autour de votre réseau.
Travail de protection NAP est de surveiller et appliquer l'intégrité des ordinateurs sur votre réseau. Lorsqu'un ordinateur se connecte en, NAP pose la question, « êtes-vous sain? » Si l'ordinateur répond dans l'affirmative, NAP accorde cet accès ordinateur complet à votre réseau. Si le client ne peut pas répondre ou réponses dans la négative, il place déplacé à un réseau correction spécial. Les ressources uniquement disponibles sur l'ordinateur sont ceux nécessaires pour que sain à nouveau : un serveur WSUS (Windows Server Update Services) pour l'application correctifs, un serveur antiviru pour télécharger les fichiers de signature plus récente, et ainsi de suite. Protection NAP peut également observer les ordinateurs de votre réseau, reconnaître lors de leur intégrité se dégrade et rapidement corriger les ce cas.
Mécanismes de mise en œuvre de NAP sont liés à la façon dans laquelle, ordinateurs accéder les à votre réseau. Ordinateurs se connecter à votre 802. 1 x compatible réseau commutateurs ou les points d'accès sans fil pour une connexion physique. Ils ensuite demander une adresse de votre serveur DHCP. En dehors ordinateurs peuvent se connecter par le biais d'un serveur VPN ou un site Web TS Web Access. Communication avec votre domaine peut-être nécessiter l'authentification IPSec.
Comme nous l'avons vu, mécanisme d'application de NAP DHCP est la plus simple à configurer et utiliser ; en fait, votre serveur DHCP devient opérateur de contrôle d'appels de NAP. Ordinateurs qui se connectent à votre réseau doivent tout d'abord demander une adresse à DHCP. C'est dans laquelle la question « êtes-vous sain? » est demandée par le serveur DHCP NAP activé. Si l'ordinateur répond correctement, DHCP il donne une adresse avec un accès réseau total. Si l'ordinateur ne sait pas comment répondre ou si elle répond incorrecte, DHCP au lieu de cela donne il une adresse particulière pour correction.
Pour simplifier davantage notre exemple, je vais ordonner à NAP pour surveiller uniquement des clients pour les correctifs WSUS. Dans ce cas, les clients sont considérés comme non intègre uniquement lorsqu'ils ne sont pas parler vers WSUS ou que vous n'avez pas les correctifs de droite. Comme vous le découvrirez plus tard, J'AI cela car Microsoft inclut un validateur d'intégrité sécurité intégrée qui permet de ces vérifications à exécuter.
Déterminer la santé d'un ordinateur avec qui validateur d'intégrité intégrée de la sécurité nécessite que deux composants clients fonctionnent ensemble, le client NAP, qui est en mode natif disponible avec Windows Vista, Windows Server 2008 et Windows XP Service Pack 3 et le Centre de sécurité Windows, qui est disponible dans le Panneau de configuration (voir figure 1 ). Tandis que travail le client NAP est pour communiquer avec l'infrastructure de serveur NAP, déterminer état du client et ne l'application réelle, il est le travail de la Windows Security Center pour identifier et signaler lorsque les configurations de sécurité sont out of whack. Nous allons configurer pièces client ainsi que les composants du serveur dans la section suivante.
Figure 1, le Centre de sécurité Windows
L'implémentation NAP DHCP pour appliquer les mises à jour WSUS
Supposons que votre réseau et le domaine sont déjà en place et votre environnement inclut un contrôleur de domaine nommé \\server1. Vous avez également un ordinateur portable Windows Vista nommé \\client1 à utiliser dans votre mise en œuvre NAP de test. Vous avez conçu simplement un ordinateur Windows Server 2008 nommé \\nps est ordinateur hôte vos services DHCP et NAP. Il est également ordinateur hôte base de votre WSUS données, qu'il fonctionnent plus tard que le serveur correction pour les ordinateurs sont manquants correctifs. Dans cet exemple, je suis collocating chacun de ces services sur le même ordinateur, mais il est possible de Recherchez chacun sur son propre ordinateur. Pour mise en œuvre DHCP travailler, vous devez l'exécuter en haut de Windows Server 2008.
Sur le serveur \\nps, utiliser Server Manager pour installer le serveur DHCP, stratégie de réseau et services d'accès et rôles WSUS. Configurer DHCP avec une portée petite pour tester et configurez WSUS avec la configuration nécessaire adaptée à votre environnement.
Ensuite, créez un groupe global de votre domaine appelé ordinateurs des clients NAP. Dans ce groupe vous allez ajouter ultérieurement les noms des ordinateurs dont intégrité souhaité NAP pour surveiller. Dans cet exemple, cet ordinateur sera \\client1.
Mise en œuvre de NAP DHCP peut transmettre des adresses dans un sous-réseau complètement différent et isolé sur les ordinateurs défectueux, mais par souci de simplicité nous seulement change le nom de l'ordinateur DNS domaine. Ici, DHCP indiquera ordinateurs sains que son suffixe DNS est contoso.com, tandis que les ordinateurs défectueux au lieu de cela obtenez unhealthy.contoso.com. N'oubliez pas qu'il conserve l'exemple simple, mais n'est pas nécessairement isoler les ordinateurs défectueux. Une fois que vous comprenez les concepts de base, vous pouvez ultérieurement revenir en arrière et implémenter d'isolation du sous-réseau.
Configurez vos étendues DHCP avec les suffixes DNS ci-dessus. Cela dans la console DHCP en cliquant avec le bouton droit sur options d'étendue et en choisissant Options de configuration. Dans la fenêtre obtenue, cliquez sur l'onglet Avancé où vous découvrirez deux classes d'utilisateurs d'intérêt. La classe d'utilisateurs par défaut représente votre ensemble d'ordinateurs sains. Ces ordinateurs doivent obtenir un accès complet et le suffixe de DNS contoso.com sous option 15. La classe de protection des accès de réseau par défaut représente vos ordinateurs défectueux et doit obtenir le unhealthy.contoso.com suffixe DNS pour l'option 15. Vous devez sans doute également entrer des informations pour votre serveur DNS sous option 6 et les informations de passerelle par défaut dans option 3. Lorsque tout est terminé, le résultat doit ressembler à figure 2 . À ce stade, vous pouvez l'étendue DHCP NAP activer, cliquez avec le bouton droit sur le cadre lui-même, affichez les propriétés. Sous l'onglet Protection d'accès au réseau, cliquez sur Activer pour cette étendue.
La figure 2 classes NAP DHCP’sDefault doit être confi gured
Votre configuration des services DHCP est terminée. L'étape suivante consiste à configurer NAP lui-même l'aide de l'Assistant Configuration NAP. Recherchez le lien du même nom dans volet droit du Gestionnaire de serveur lorsque vous accédez à la stratégie de réseau et accès | NPS (local). Dans cet exemple, configurez plusieurs pages de l'Assistant comme suit :
Sélectionner la méthode de connexion réseau à utiliser avec la protection NAP. Permet de sélectionner DHCP pour votre méthode de connexion réseau. L'Assistant va remplir puis automatiquement la zone de nom de stratégie avec DHCP NAP.
spécifier les serveurs mise en Œuvre NAP en cours d'exécution serveur DHCP. Si vos services DHCP sur différents serveurs que votre serveur NAP, vous devez saisir ici, les noms de serveurs. Pour notre exemple, NAP et DHCP sont collocated, donc vous pouvez en toute sécurité laisser cette zone vide.
Définir les étendues DHCP. Entrez les étendues DHCP que vous souhaitez activer pour NAP. Laissez cette zone vide, toutes les étendues DHCP sont utilisés.
configurer les groupes d'utilisateurs et groupes de l'ordinateur. Dans cette boîte de dialogue, ajoutez la protection NAP client ordinateurs groupe global créé précédemment. Cela force la stratégie de protection NAP pour gérer la mise en œuvre pour seulement les ordinateurs de ce groupe. Autres ordinateurs sont conservés uniquement.
spécifier un serveur de correction de NAP et les URL. Cette page effectue deux opérations. Tout d'abord, il identifie les serveurs de correction facturés à corriger clients défectueux. Dans cet exemple, les serveurs de correction seront \\server1 pour les services de domaine et les services WSUS \\npsfor. Cliquez sur le bouton nouveau groupe et créer un groupe qui inclut ces serveurs. Ensuite, la page présente une URL de dépannage. Cette URL s'affiche dans une bulle sur les ordinateurs défectueux remanded à votre réseau isolé pour correction. Le site Web, qui vous devez créer vous-même, peut contenir des instructions sur ce qui se passe au client ou instructions pour la correction manuelle. Pour que cet exemple, nous laisserons l'URL vide.
définir la stratégie d'intégrité NAP. Cet écran final affiche un lien vers le validateur d'intégrité de sécurité Windows, qui sont ensuite être personnalisées et fournit des paramètres de restrictions d'accès réseau et de correction automatique. Conservez les paramètres par défaut pour chacun de ces ici.
L'étape suivante est le plaisir partie. Ici, vous devez configurer les composants de la Windows sécurité Intégrité validateur (WSHV) vous souhaitez utiliser pour la mise en œuvre. La valeur par défaut WSHV comprend un certain nombre de composants de Centre de sécurité Windows qui peuvent être surveillés.
Pare-feu Windows. Y a-t-il un pare-feu sur le système qui a inscrit avec le Centre de sécurité Windows ? Que le pare-feu est activé pour toutes les connexions réseau ?
virus et logiciels espions la protection. Les applications antivirus et anti-logiciels espions installées sur l'ordinateur, et elles enregistrées avec le Centre de sécurité Windows ? Sont activées leurs applications et actuellement l'utilisation de signatures mises à jour ? Le WSHA traite les applications antivirus et anti-logiciels espions séparément, vous permettant d'appliquer les deux ou les deux systèmes ciblés sur.
mises à jour de Microsoft. L'ordinateur a été configuré pour vérifier les mises à jour automatiques via Windows Update ou un serveur WSUS local ? Si tel est le cas, le nombre d'heures il y a n'a l'ordinateur vérifier de mises à jour ? Toutes les mises à jour disponibles installées ? Quel niveau de mise à jour rôle critique, important, critiques, etc. — doit être installé pour un ordinateur à prendre en considération sain ?
Dans le gestionnaire serveur, accédez à stratégie de réseau et Access services | NPS (local) | Network Access Protection | validateurs d'intégrité du système et double-cliquez sur le validateur d'intégrité de sécurité Windows. Dans l'écran résultant, cliquez sur Configurer pour voir un écran semblable à celui de la figure 3 .
La figure 3, le validateur d'intégrité de la sécurité Windows par défaut
Sélectionnez les zones NAP pour gérer. Notez que les pare-feu tiers, antivirus ou anti-logiciels espions applications doivent inscrire avec le Centre de sécurité Windows ou fournir leurs propres modules complémentaires à surveiller par la protection NAP. Dans cet exemple, nous vous uniquement les cases à cocher indiqués dans la figure 3 . Cette demande NAP pour vous assurer que la mise à jour automatique est activée pour tous les systèmes client et que toutes les mises à jour critiques sont installées. Si un client ne peut pas remplissent les conditions, il va être déplacé d'automatiquement dans l'action corrective réseau où le serveur WSUS peut automatiquement résoudre le problème et sortir l'ordinateur au bon fonctionnement.
Enfin, il y a trois paramètres à configurer qui sont appliqués par la stratégie de groupe. Créer un objet de stratégie nouveau groupe (GPO), liez-le au domaine et Ouvrir pour modification.
- Activer l'agent de protection d'accès réseau et définissez-le sur automatique. Cela sous Configuration ordinateur | stratégies | Paramètres Windows | Paramètres de sécurité | Services système.
- Activer de NAP DHCP contrôle application Agent, vous trouverez sous Configuration ordinateur | stratégies | Paramètres Windows | Paramètres de sécurité | Network Access Protection | configuration du client NAP | clients de mise en Œuvre. Double-cliquez sur l'agent puis, dans l'écran résultant choisissez Activer ce client de mise en œuvre. Pour appliquer ce paramètre, cliquez avec le bouton droit sur le nœud Configuration de client NAP et cliquez sur Appliquer.
- Activer le Centre de sécurité Windows trouvé dans la configuration de l'ordinateur | stratégies | Modèles d'administration | Composants Windows | Centre de sécurité.
Une étape finale : fermer l'Éditeur de gestion de stratégie de groupe et de filtrage la stratégie de sécurité, remplacez les utilisateurs authentifiés par le groupe ordinateurs des clients NAP créés précédemment. Vous pouvez maintenant commencer à ajouter ordinateurs du domaine au groupe ordinateurs des clients NAP pour lancer leur participation à la mise en œuvre NAP. Une fois la stratégie de groupe s'applique aux ordinateurs, leurs interactions avec DHCP impliquent les vérifications d'intégrité NAP nous abordées ici.
Vous pouvez vérifier le statut de client NAP à l'aide de napstat.exe. Exécutant cet outil des résultats de ligne de commande dans une icône de barre d'état système ainsi que d'une bulle qui fournit des informations sur état de mise en œuvre du client. Cliquez sur cette info-bulle affiche une fenêtre de statut comme celui de la figure 4 , qui indique que le client n'est pas compatible, car il n'a pas installé les mises à jour appropriée. À ce stade, car NAP a identifié le client comme non intègre, DHCP est ont renégociées son bail et modifié le suffixe DNS en unhealthy.contoso.com.
La figure 4, un client NAP défectueux sans le securityupdates appropriée installé
Il existe de toute évidence nombreuses manières plus dans laquelle vous pouvez adapter votre implémentation de NAP pour fournir une sécurité supplémentaire. Création d'un réseau de l'action corrective complètement isolé pour les clients défectueux est une option. Configuration des paramètres de mise en œuvre plus dans le WSHV ou Ajout de nouveau SHVs tiers est d'autres personnes. Si vous aller sur le nœud Stratégie de réseau et des services d'accès dans le Gestionnaire de serveur, vous trouverez un ordinateur hôte d'options supplémentaires pour la personnalisation NAP pour répondre à vos besoins.
Greg Shields , MVP, est un partenaire en technologie concentrés. Plusieurs de Greg Jack-of-all-Trades conseils et astuces à obtenir www.ConcentratedTech.com.