Wstęp do Network Access Protection w Windows Server 2008 - cz. I     Windows Server 2008     Wstęp do Network Access Protection w Windows Server 2008 - cz. III

Wstęp do Network Access Protection w Windows Server 2008 - cz. II Udostępnij na: Facebook

Autor: Kamil Skalski

Opublikowano: 22 stycznia 2008

Zawartość strony
Możliwości konfiguracji Network Access Protection  Możliwości konfiguracji Network Access Protection
Określenie specyficznych ustawień protokołu  Określenie specyficznych ustawień protokołu
Wykorzystanie serwerów korygujących  Wykorzystanie serwerów korygujących
Konfiguracja Network Access Protection  Konfiguracja Network Access Protection
Przeczytaj pozostałe części artykułu  Przeczytaj pozostałe części artykułu

Możliwości konfiguracji Network Access Protection

Wybierając rolę Network Policy and Access Services z konsoli Server Manager, można zapoznać się z listą zdarzeń w usługach, zatrzymać lub wykonać ponowny rozruch określonych usług systemowych oraz doinstalować dodatkowe składniki tej roli (rys. 1.). Osoby mające styczność z NAP po raz pierwszy powinny być zainteresowane modułem Zasobów i Wsparcia.

Rys. 1. Podstawowe opcje roli Network Policy and Access Protection.

Rys. 1. Podstawowe opcje roli Network Policy and Access Protection.

Dla poprawnego funkcjonowania NAP konieczne jest wykonanie podstawowej konfiguracji. Z poziomu NPS (Network Policy Server) można wybrać rodzaj konfiguracji: standardowy pozwalający na określenie rodzaju komunikacji i uzyskiwania dostępu do sieci, który będzie wykorzystany przez NAP oraz zaawansowany zezwalający chociażby na konfigurację współpracy z serwerem RADIUS (Rys. 2.).

Rys. 2. Konfiguracja Network Policy Server.

Rys. 2. Konfiguracja Network Policy Server.

Wspomniana wcześniej konfiguracja standardowa jest miejscem, w którym określane są sposoby uzyskiwania dostępu do sieci oraz metody komunikacji w sieci z użyciem, których pracować będzie NAP. Do wyboru istnieje sześć opcji: DHCP, IPsec, IEEE 802.1X (dla sieci przewodowych, jak i bezprzewodowych), VPN oraz TS Gateway. Opis dokładnej konfiguracji dla każdej z tych metod można w przewodniku Step-by-Step na stronach Microsoft (rys. 3.).

Rys. 3. Wybór metody komunikacji lub uzyskiwania dostępu w sieci, którą wykorzystywać ma NAP.

Rys. 3. Wybór metody komunikacji lub uzyskiwania dostępu w sieci, którą wykorzystywać ma NAP.

Przykładowa konfiguracja, w której zostanie wykorzystany protokół DHCP (Dynamic Host Configuration Protocol) została zaprezentowana na rysunku 4.

Rys. 4. Konfiguracja metody połączenia oraz nazwy polityki.

Rys. 4. Konfiguracja metody połączenia oraz nazwy polityki.

Serwery NPS wykorzystują do komunikacji z serwerami NAP protokół RADIUS, dzieje się tak tylko w przypadku rozdzielenia ról. Konfigurację tą można pominąć, jeśli jeden serwer będzie odpowiedzialny za działanie wszystkich składników NAP, włącznie z obsługą protokołu wymuszającego (rys. 5.).

Rys. 5. Konfiguracja serwerów zdalnych.

Rys. 5. Konfiguracja serwerów zdalnych.

 Do początku strony Do początku strony

Określenie specyficznych ustawień protokołu

Kolejny etap konfiguracji zależny jest od wyboru rodzaju wymuszenia. W przypadku wykorzystania DHCP należy określić specyficzne ustawienia z nim związane (rys. 6.).

Rys. 6. Konfiguracja specyficznych ustawień protokołu.

Rys. 6. Konfiguracja specyficznych ustawień protokołu.

Następny etap konfiguracji umożliwia wybór konkretnych komputerów lub użytkowników, które nie będą mogły korzystać z tworzonej polityki. Możliwa jest jednoczesna konfiguracja komputerów oraz użytkowników (rys. 7.).

Rys. 7. Konfiguracja wykluczeń.

Rys. 7. Konfiguracja wykluczeń.

 Do początku strony Do początku strony

Wykorzystanie serwerów korygujących

Aby umożliwić komputerom, niespełniającym założeń polityki, poprawę swojego stanu zdrowia należy wykorzystać serwery korygujące. Należy określić grupę serwerów pełniących taką rolę. Jak wiadomo użytkownik końcowy nie musi posiadać dużej wiedzy tajemnej – można ułatwić im zrozumienie, dlaczego nie mogą korzystać z sieci oraz wyjaśnić, co mają zrobić by spełnić warunki za pomocą strony WWW, na której adres także jest odpowiednie pole. Aby ułatwić użytkownikom końcowym zrozumienie powodów, dla których ich dostęp został ograniczony można stworzyć specjalną stronę intranetową opisującą powody niezgodności z politykami oraz sposoby na poprawę tego stanu (patrz rys. 8).

Rys. 8. Wybór serwerów korygujących.

Rys. 8. Wybór serwerów korygujących.

Ostatnim etapem konfiguracji jest określenie takich parametrów, jak SHV (System Health Validators) współpracujących z tą polityką, określenie automatycznej korekty, oraz określenie restrykcji dostępu dla klientów niespełniających warunków (rys. 9.).

Rys. 9. Końcowa konfiguracja polityki NAP.

Rys. 9. Końcowa konfiguracja polityki NAP.

Po zakończonej konfiguracji pozostaje już zapoznać się z podsumowaniem oraz zatwierdzić ustawienia (rys. 10.).

Rys. 10. Podsumowanie konfiguracji.

Rys. 10. Podsumowanie konfiguracji.

Konfigurację można w przyszłości rozszerzyć i tak przykładowo dla serwerów zdalnych i połączeń RADIUS można skonfigurować zaawansowane ustawienia (rys. 11.). Istnieje tutaj możliwość konfiguracji zarówno klientów RADIUS, jak i zdalnych grup serwerów RADIUS.

Rys. 11. Zaawansowana konfiguracja RADIUS.

Rys. 11. Zaawansowana konfiguracja RADIUS.

W przypadku polityk także istnieje możliwość zaawansowanej konfiguracji (rys. 12.). Rodzaje polityk można podzielić na:

  • polityki żądania połączenia;
  • polityki sieciowe;
  • polityki zdrowia.

Rys. 12. Zaawansowana konfiguracja polityk.

Rys. 12. Zaawansowana konfiguracja polityk.

 Do początku strony Do początku strony

Konfiguracja Network Access Protection

Podobnie, jak w poprzednich dwóch sytuacjach, istnieje możliwość zaawansowanej konfiguracji samego mechanizmu Network Access Protection. Możliwe jest określenie szczegółowych zasad weryfikacji klienta z wykorzystaniem SHV oraz definiowanie grup serwerów korygujących (rys. 13.).

Rys. 13. Zaawansowana konfiguracja NAP.

Rys. 13. Zaawansowana konfiguracja NAP.

Bardzo istotne jest określenie wymogów dla komputerów klienckich. Konfiguracja polityki zawierającej wymagania odnośnie konfiguracji systemu i komponentów bezpieczeństwa odbywa się z poziomu System Health Validators (rys. 14.). W pierwszym oknie właściwości SHV określić można rodzaj zwracanego błędu w przypadku niespełnienia wymagań oraz wykonanie dodatkowej konfiguracji, określającej szczegółowe wymagania wobec konfiguracji klientów, poprzez przycisk Configure.

Rys. 14. Konfiguracja SHV.

Rys. 14. Konfiguracja SHV.

Konfiguracja systemów klienckich zarówno dla Windows Vista, jak i Windows XP nie różni się znacząco od siebie. W zależności od tego, jak restrykcyjne wymogi mają zostać narzucone klientom możliwe jest wymaganie:

  • Zawsze włączonego firewalla dla wszystkich połączeń;

  • Programu antywirusowego (oraz posiadania aktualnych baz sygnatur);

  • Programy anti-spyware (oraz posiadania aktualnych baz sygnatur);

  • Włączonego mechanizmu aktualizacji automatycznych;

  • Posiadanie zainstalowanych aktualizacji systemu:

    • Określenie poziomu ważności wymaganych aktualizacji,
    • Wyznaczenie maksymalnej liczby dni, od których nie były sprawdzane aktualizacje,
    • Wybór źródła aktualizacji (WSUS / Windows Update).

Odpowiedni wybór tych ustawień będzie mieć kluczowe znaczenie do prawidłowego funkcjonowania mechanizmów Network Access Protection (rys. 15.).

Rys. 15. Określenie wymogów dla uzyskania certyfikatu zdrowia.

Rys. 15. Określenie wymogów dla uzyskania certyfikatu zdrowia.

Accounting jest opcją pozwalającą na zdefiniowanie miejsca przechowywania logów o zdarzeniach w rozwiązaniu Network Access Protection. Możliwe jest zapisywanie logów lokalnie (domyślnie: C:\Windows\System32\LogFiles) oraz wybór serwera SQL) (patrz rys. 16.).

Rys. 16. Konfiguracja miejsca przechowywania logów.

Rys. 16. Konfiguracja miejsca przechowywania logów.

W części Health Registration Authority możliwe jest określenie serwera CA (Urzędu Certyfikacji), który będzie wydawał certyfikaty zdrowia przy współpracy z HRA. Jeśli agenci muszą wykorzystywać określony protokół do komunikacji z HRA w politykach szyfrowania oraz transportu możliwe jest dokładne określenie wymogów dla agentów (rys. 17.).

Rys. 17. Konfiguracja Health Registration Authority.

Rys. 17. Konfiguracja Health Registration Authority.

 Do początku strony Do początku strony

Przeczytaj pozostałe części artykułu

 Do początku strony Do początku strony

Wstęp do Network Access Protection w Windows Server 2008 - cz. I     Windows Server 2008     Wstęp do Network Access Protection w Windows Server 2008 - cz. III