.png "Windows Server 2008")
Kontrolowanie dostępu do sieci przy użyciu mechanizmu wymuszania DHCP .png "Udostępnij na: Facebook")
Autor: Greg Shields
Opublikowano: 27 sierpnia 2009
Zawartość strony
.gif){kind=icon} |
Cele stosowania technologii NAP |
|
Implementacja mechanizmu DHCP NAP, wymuszającego instalowanie aktualizacji z serwera WSUS |
Użytkownicy robią się coraz sprytniejsi. Nauczyli się już, jak wyłączać swoje zapory ogniowe - co robią zawsze w najbardziej podejrzanych kawiarenkach internetowych. Podczas comiesięcznych cykli aktualizacji trzymają swoje laptopy z dala od biurowej sieci, bo wydaje im się, że aktualizacje instalowane przez administratora są przyczyną ich ostatniego niebieskiego ekranu. Potrafią nawet wyłączyć oprogramowanie antywirusowe i antyszpiegujące w odpowiedzi na nawet najmniejsze oznaki obniżenia wydajności komputera. Użytkownicy wykonują te kroki, ponieważ sądzą, że w ten sposób pomagają sobie, podczas gdy w rzeczywistości narażają na szwank bezpieczeństwo sieci firmowej.
Komputer, który jest właściwie skonfigurowany i na którym zostały zainstalowane wszystkie potrzebne aktualizacje, to komputer zdrowy (w dobrej kondycji), ale utrzymanie go w tym stanie jest niezwykle kłopotliwe. Gdyby tylko istniał jakiś sposób pozwalający administratorowi na wymuszanie przestrzegania przyjętych zasad bezpieczeństwa. Mechanizm wymuszania gwarantuje, że znajdujące się w sieci komputery stacjonarne i laptopy będą posiadać właściwą konfigurację zapory ogniowej. Mechanizm wymuszania zapewnia również, że komputery, które nie mają zainstalowanych odpowiednich aktualizacji, nie będą mogły korzystać z sieci. Mechanizm wymuszania oznacza, że wyłączenie oprogramowania antywirusowego i antyszpiegującego oznacza brak możliwości podłączenia się do nieskazitelnie czystej sieci LAN.
Ten rodzaj mechanizmu wymuszania zasad bezpieczeństwa jest obecnie dostępny jako technologia NAP (Network Access Protection - Ochrona dostępu do sieci). NAP jest składnikiem systemu wprowadzonym wraz z usługą Usługi zasad sieciowych i dostępu sieciowego (Network Policy and Access Services) z systemu Windows Server 2008. Technologia ta wykorzystuje usługi działające zarówno po stronie serwera, jak i po stronie klientów, do okresowego sprawdzania stanu zgodności klienta z przyjętymi zasadami bezpieczeństwa. Jeśli klient nie będzie poprawnie skonfigurowany, NAP może mu automatycznie ograniczyć dostęp do sieci, do czasu, aż jego konfiguracja zostanie poprawiona. Co więcej, NAP może nawet automatycznie skorygować złą konfigurację klienta, wymuszając jego ponowne dostosowanie do ustalonych zasad bezpieczeństwa.
Technologia NAP to potężne narzędzie, które przez wielu niezależnych analityków, takich jak np. Forrester, uznawane jest za najlepsze w swojej klasie. Jest to również rozwiązanie efektywne pod względem kosztów, ponieważ implementacja technologii NAP w istniejących, współczesnych sieciach nie wymaga zakupu żadnego dodatkowego oprogramowania, gdyż jest już ona częścią posiadanej infrastruktury systemu Windows oraz usługi katalogowej Active Directory. Funkcjonalność NAP jest już dostępna we wszystkich edycjach systemu Windows Server 2008. Została ona zaprojektowana z uwzględnieniem możliwości skalowania w bardzo szerokim zakresie i może być używana do obsługi dużych przedsiębiorstw, o złożonych potrzebach i bardzo dużej liczbie klientów.
Skoro technologia NAP jest tak wspaniała, to dlaczego nie jest wykorzystywana również w mniejszych środowiskach? Prawdopodobnie wielu administratorów takich sieci albo nie ma pojęcia o istnieniu tej technologii, albo zniechęca się jej pozorną złożonością. To zrozumiałe. Czytając dokumentację poświęconą technologii NAP można poczuć się przytłoczonym ilością składników wymaganych przez różne mechanizmy wymuszania konfiguracji zabezpieczeń. IPSec, 802.1x, VPN i TS Web Access (Webowy dostęp do usług terminalowych), to wszystko są mechanizmy wymuszania ochrony dostępu do sieci, wymagające dodatkowych składników, które obecnie mogą jeszcze być nieobecne w posiadanym środowisku. Natomiast w przypadku mechanizmu wymuszania opartego na protokole DHCP wszystkie potrzebne składniki są już prawdopodobnie używane.
W artykule zamierzam przedstawić czytelnikom właśnie mechanizm wymuszania oparty na protokole DHCP, który jest łatwy do zainstalowania oraz do używania. Wprawdzie wszystkie pozostałe metody wymuszania są bardziej skuteczne w zapewnianiu właściwej konfiguracji klientów, ale ich pomyślne wdrożenie wymaga również korzystania z bardziej skomplikowanych technologii, takich jak np. infrastruktura usług certyfikatów albo bardzo rozległej wiedzy o urządzeniach sieciowych.
Zacznijmy więc od podstaw.
Cele stosowania technologii NAP
Zanim przejdziemy do szczegółowego opisu postępowania, rozważmy najpierw niektóre z celów, które prawdopodobnie stawiają sobie administratorzy pragnący zabezpieczyć swoje sieci. Chcą oni zagwarantować, że komputery będą aktualizowane odpowiednimi poprawkami a także, że laptopy powracające z zewnątrz do sieci firmowej będą otrzymywały właściwe ustawienia zabezpieczeń. Administratorzy z pewnością chcą również mieć możliwość obrony przed podłączaniem do sieci oszukańczych komputerów infekujących ich serwery i stacje robocze.
Jeśli wszystkie te cele zostaną spełnione i jeśli na komputerach zainstalowano odpowiednie aktualizacje oraz właściwie skonfigurowano ustawienia zapory ogniowej i oprogramowania chroniącego przed złośliwym oprogramowaniem (ang. malware), to generalnie można przyjąć, że komputery te znajdują się w dobrej kondycji. Komputery, które są w dobrej kondycji zwykle mają również właściwe zabezpieczenia pozwalające zachować ten stan i prawdopodobnie nie będą rozpowszechniać w sieci żadnego złośliwego oprogramowania.
Zadaniem technologii NAP jest monitorowanie i wymuszanie właściwego stanu kondycji, znajdujących się w sieci komputerów. Po podłączeniu komputera do sieci NAP zadaje mu pytanie „Czy jesteś w dobrej kondycji?”. Jeśli odpowiedź komputera będzie twierdząca, NAP przyzna temu komputerowi pełen dostęp do sieci. Natomiast jeśli klient nie może odpowiedzieć na to pytanie lub jeśli jego odpowiedź będzie negatywna, zostanie on przeniesiony do specjalnej sieci „korygującej”. W sieci tej jedynymi dostępnymi zasobami będą zasoby niezbędne do przywrócenia dobrej kondycji komputera: serwer WSUS (Windows Server Update Services - Serwer aktualizacji systemu Windows), pozwalający na zainstalowanie wymaganych poprawek; serwer antywirusowy, pozwalający na pobranie najnowszych plików sygnatur; itd. NAP może również obserwować znajdujące się w sieci komputery, rozpoznawać przypadki pogorszenia się stanu ich kondycji i w razie potrzeby szybko ją korygować.
Mechanizmy wymuszania ochrony dostępu do sieci związane są ze sposobem, w jaki komputery uzyskują dostęp do sieci. W celu uzyskania fizycznego połączenia z siecią, komputery mogą być podłączane do przełączników sieciowych z obsługą standardu 802.1x lub do bezprzewodowych punktów dostępowych. Następnie żądają one przydziału adresu IP od serwera DHCP. Komputery znajdujące się poza firmą mogą łączyć się z siecią firmową za pośrednictwem serwera VPN lub witryny webowego dostępu do usług terminalowych (TS Web Access). Komunikowanie się z lokalną domeną może również wymagać uwierzytelnienia za pomocą protokołu IPSec.
Jak już wspomniano, mechanizm wymuszania ochrony dostępu do sieci w oparciu o protokół DHCP jest najłatwiejszy do skonfigurowania i stosowania. Zasadniczo mechanizm ten polega na przekształceniu posiadanego serwera DHCP w strażnika dostępu do sieci. Podłączane do sieci komputery muszą najpierw zażądać przydzielenia im adresu przez serwer DHCP. To właśnie wtedy serwer DHCP z włączoną obsługą NAP ma sposobność zadania pytania „Czy jesteś w dobrej kondycji?”. Jeśli odpowiedź komputera będzie prawidłowa, serwer DHCP przydzieli mu adres dający pełen dostęp do sieci. Jeśli natomiast komputer nie będzie wiedział, jak odpowiedzieć na to pytanie lub jeśli jego odpowiedź będzie nieprawidłowa, serwer DHCP przydzieli mu specjalny adres, pozwalający na wykonanie działań korygujących.
Aby maksymalnie uprościć nasz przykład, poinstruujemy składnik NAP, by monitorował komputery klientów jedynie pod kątem zainstalowania aktualizacji udostępnianych przez lokalny serwer WSUS. W tym przypadku komputer klienta zostanie uznany za niezdrowy tylko wówczas, gdy nie korzysta z serwera WSUS lub gdy nie ma zainstalowanych właściwych aktualizacji. Jak się wkrótce przekonamy, jest to możliwe dzięki dostarczanemu przez firmę Microsoft składnikowi o nazwie Security Health Validator (Moduł sprawdzania kondycji zabezpieczeń systemu Windows), który umożliwia przeprowadzenie takiej kontroli.
Określenie stanu kondycji klienta przy użyciu tego wbudowanego modułu sprawdzania kondycji zabezpieczeń wymaga współdziałania dwóch składników klienta: klienta NAP, który jest naturalnym składnikiem systemów Windows Vista, Windows Server 2008 oraz Windows XP Service Pack 3, oraz Centrum zabezpieczeń systemu Windows, które jest dostępne za pośrednictwem Panelu sterowania (patrz Rysunek 1). Podczas gdy zadaniem klienta NAP jest komunikowanie się z infrastrukturą serwera NAP, określanie stanu klienta i faktyczne wymuszanie ustalonych przez administratora zasad, zadaniem Centrum zabezpieczeń systemu Windows jest rozpoznawanie i raportowanie niewłaściwej konfiguracji zabezpieczeń. W następnej sekcji skonfigurujemy oba te składniki klienta, a także odpowiednie składniki serwera.
.gif)
Rysunek 1: Centrum zabezpieczeń systemu Windows.
.gif){kind=icon}
Do początku strony
Implementacja mechanizmu DHCP NAP, wymuszającego instalowanie aktualizacji z serwera WSUS
Załóżmy, że mamy do czynienia z działającą już siecią oraz domeną, w której znajduje się kontroler domeny o nazwie \\server1. Do testowania tworzonej implementacji mechanizmu NAP używać będziemy laptopa z systemem Windows Vista o nazwie \\client1. W sieci znajduje się także komputer z systemem Windows Server 2008, o nazwie \\nps, na którym działa usługa serwera DHCP oraz usługi NAP. Na serwerze tym znajduje się także baza danych usługi WSUS, gdyż będzie on działał także jako serwer korygujący dla komputerów, które nie mają zainstalowanych wymaganych aktualizacji. W demonstrowanym przykładzie wszystkie te usługi zostały umieszczone na tym samym komputerze, ale możliwe jest umieszczenie każdej z nich na osobnym komputerze. Mechanizm wymuszania DHCP wymaga, aby serwerem DHCP był komputer z systemem Windows Server 2008.
Korzystając z programu Menedżer serwera należy zainstalować na serwerze \\nps role Serwer DHCP , Usługi zasad sieciowych i dostępu sieciowego oraz WSUS (Serwer aktualizacji systemu Windows). Na serwerze DHCP należy skonfigurować niewielki zakres adresów dla potrzeb testowania, a na serwerze WSUS utworzyć wymaganą konfigurację, która będzie odpowiednia dla posiadanego środowiska.
Następnie należy utworzyć w domenie grupę globalną o nazwie Komputery klientów NAP. Do grupy tej będziemy dodawać nazwy komputerów, których kondycja ma być monitorowana przez NAP. W tym przykładzie komputerem tym będzie komputer \\client1.
Metoda wymuszania ochrony dostępu do sieci za pomocą protokołu DHCP może przydzielać komputerom będącym w złej kondycji adresy pochodzące z całkowicie izolowanych podsieci, ale dla uproszczenia demonstrowanego przykładu będziemy jedynie zmieniać nazwę domeny DNS takiego komputera. W tym przykładzie, komputery znajdujące się w dobrej kondycji będą otrzymywać od serwera DHCP nazwę domeny DNS contoso.com, a komputery w złej kondycji będą otrzymywać nazwę domeny DNS unhealthy.contoso.com. Należy pamiętać, że takie rozwiązanie zapewnia prostotę omawianego przykładu, ale nie izoluje od sieci komputerów będących w złej kondycji. Po opanowaniu podstawowej koncepcji zaimplementowanie izolacji na poziomie podsieci nie powinno już nastręczać żadnych trudności.
Na serwerze DHCP należy zdefiniować dwa zakresy z podanymi powyżej nazwami domen DNS. Można to zrobić korzystając z konsoli DHCP, w której należy kliknąć prawym przyciskiem myszy gałąź Opcje zakresu, a następnie wybrać z menu kontekstowego polecenie Konfiguruj opcje. W otwartym wówczas oknie należy kliknąć zakładkę Zaawansowane, na której widoczne będą dwie interesujące nas klasy użytkowników. Domyślna klasa użytkowników reprezentuje zbiór komputerów znajdujących się w dobrej kondycji. Komputery te powinny otrzymać pełen dostęp do sieci oraz nazwę domeny DNS contoso.com, ustawianą za pośrednictwem opcji numer 15. Domyślna klasa ochrony dostępu do sieci reprezentuje komputery będące w złej kondycji, które powinny otrzymać za pośrednictwem opcji numer 15 nazwę domeny DNS unhealthy.contoso.com. Prawdopodobnie należy również skonfigurować adresy serwerów DNS za pomocą opcji numer 6 oraz adres domyślnej bramy za pomocą opcji numer 3. Po wykonaniu tych czynności okno konsoli DHCP powinno wyglądać podobnie jak na Rysunku 2. W tym miejscu można już włączyć obsługę technologii NAP dla zdefiniowanego zakresu adresów, klikając ten zakres prawym przyciskiem myszy i otwierając okno Właściwości. W oknie tym, należy włączyć opcję Włącz dla tego zakresu, znajdującą się na zakładce Ochrona dostępu do sieci.
.gif)
Rysunek 2: Na serwerze DHCP konieczne jest skonfigurowanie domyślnej klasy NAP.
Na tym kończy się konfiguracja usługi serwera DHCP. Kolejnym krokiem jest konfiguracja samego składnika NAP przy użyciu kreatora Konfiguruj ochronę dostępu do sieci. Kreatora tego można uruchomić za pomocą łącza o tej samej nazwie, znajdującego się w oknie programu Menedżer serwera, na stronie Usługi zasad sieciowych i dostępu sieciowego | Serwer zasad sieciowych (Lokalny) . W tym przykładzie kolejne strony tego kreatora należy skonfigurować w następujący sposób:
Wybieranie metody połączenia sieciowego do używania z ochroną dostępu do sieci. Jako metodę dostępu do sieci wybieramy protokół DHCP. Kreator automatycznie wypełni wówczas pole Nazwa zasady nazwą NAP DHCP.
Określanie serwerów wymuszania ochrony dostępu do sieci, na których uruchomiono Serwer DHCP. Jeśli usługa serwera DHCP działa na innych komputerach niż używany serwer NAP, to na tej stronie należy podać nazwy tych komputerów. W naszym przykładzie serwery NAP i DHCP znajdują się na tym samym komputerze, a więc pole z nazwami serwerów można pozostawić puste.
Określanie zakresów DHCP. Na tej stronie należy wskazać zakresy DHCP, dla których ma zostać włączony mechanizm ochrony dostępu do sieci. Pozostawienie tego pola pustego spowoduje włączenie ochrony NAP dla wszystkich zakresów DHCP.
Konfigurowanie grup użytkowników i grup komputerów. W tym oknie dialogowym należy dodać utworzoną wcześniej globalną grupę Komputery klientów NAP . Stanowi to instrukcję dla serwera zasad sieciowych, by zarządzał wymuszaniem zasad ochrony dostępu do sieci tylko dla komputerów należących do tej grupy. Pozostałe komputery zostaną pozostawione w spokoju.
Określanie grupy serwerów korygujących z ochroną dostępu do sieci oraz adresu URL. Ta strona pozwala na wykonanie dwóch rzeczy. Po pierwsze, identyfikuje ona serwery korygujące, które będą odpowiedzialne za naprawę klientów znajdujących się w złej kondycji. W tym przykładzie serwerem korygującym będzie serwer \\server1 dla usług domenowych oraz serwer \\nps dla usługi WSUS. Należy kliknąć przycisk Nowa grupa i utworzyć nową grupę złożoną z tych serwerów. Po drugie, strona ta pozwala na określenie adresu URL dla strony Pomocy w sieci. Podany na tej stronie adres URL wyświetlany będzie w okienku podpowiedzi, wyświetlanym na komputerach o złej kondycji po skierowaniu ich do izolowanej sieci korygującej. Wskazywana przez ten adres witryna webową, którą trzeba utworzyć samodzielnie, może zawierać instrukcje wyjaśniające klientowi, co się stało lub instrukcje objaśniające sposób ręcznego przeprowadzenia wymaganych działań korygujących. W tym przykładzie pozostawimy ten adres URL pusty.
Definiowanie zasady dotyczącej kondycji ochrony dostępu do sieci. Ta ostatnia strona kreatora zawiera łącze do Modułu sprawdzania kondycji zabezpieczeń systemu Windows, który zostanie skonfigurowany jako następny, a także ustawienia dla funkcji automatycznego korygowania komputerów klienckich oraz ograniczania dostępu do sieci. W tym przykładzie, dla wszystkich ustawień należy pozostawić ich wartości domyślne.
Kolejny krok to najciekawsza część całego zadania. Polega on na skonfigurowaniu składników Moduł sprawdzania kondycji zabezpieczeń systemu Windows (WSHV - Windows Security Health Validator), które chcemy wykorzystywać do wymuszania ochrony dostępu do sieci. Domyślny Moduł sprawdzania kondycji zabezpieczeń systemu Windows obejmuje możliwość monitorowania wielu składników Centrum zabezpieczeń systemu Windows.
Zapora ogniowa. Czy w systemie znajduje się zapora ogniowa, która jest zarejestrowana w Centrum zabezpieczeń systemu Windows ? Czy ta zapora ogniowa jest włączona dla wszystkich połączeń sieciowych?
Ochrona przed wirusami i przed programami szpiegującymi. Czy na komputerze zainstalowano aplikacje antywirusowe i aplikacje chroniące przed złośliwym oprogramowaniem i czy aplikacje te zostały zarejestrowane w Centrum zabezpieczeń systemu Windows ? Czy aplikacje te są włączone i używają aktualnych, najnowszych sygnatur? Moduł sprawdzania kondycji zabezpieczeń systemu Windows traktuje aplikacje antywirusowe i aplikacje chroniące przed złośliwym oprogramowaniem jako dwie różne kategorie, umożliwiając włączanie na docelowych komputerach tylko jednej z nich lub obydwu.
Aktualizacje firmy Microsoft. Czy na komputerze skonfigurowano automatyczne sprawdzanie aktualizacji za pomocą usługi Windows Update albo lokalnego serwera WSUS? Jeśli tak, to ile godzin upłynęło od ostatniego sprawdzenia dostępności nowych aktualizacji? Czy wszystkie dostępne aktualizacje zostały zainstalowane? Jakiego poziomu aktualizacje (ważne krytyczne, krytyczne, itp.) muszą być zainstalowane, aby można uznać, że komputer znajduje się w dobrej kondycji?
Korzystając z programu Menedżer Serwera należy przejść do strony Usługi zasad sieciowych i dostępu sieciowego | Serwer zasad sieciowych (Lokalny) | Ochrona dostępu do sieci | Moduły sprawdzania kondycji systemu i kliknąć dwukrotnie element Moduł sprawdzania kondycji zabezpieczeń systemu Windows. W otwartym wówczas oknie należy kliknąć przycisk Konfiguruj, co spowoduje wyświetlenie okna dialogowego pokazanego na Rysunku 3.
.gif)
Rysunek 3: Domyślny moduł sprawdzania kondycji zabezpieczeń.
W oknie tym należy zaznaczyć obszary, które mają być zarządzane przez mechanizm ochrony dostępu do sieci. Należy pamiętać, że zapory ogniowe, oprogramowanie antywirusowe i programy antyszpiegujące oferowane przez niezależnych dostawców oprogramowania muszą być zarejestrowane w Centrum zabezpieczeń systemu Windows lub oferować własne dodatki pozwalające na ich monitorowanie przez mechanizm ochrony dostępu do sieci (NAP). W tym przykładzie należy zaznaczyć tylko te pola wyboru, które zostały pokazane na Rysunku 3. Spowoduje to poinstruowanie mechanizmu ochrony dostępu do sieci, aby sprawdzał, czy na wszystkich komputerach klienckich włączona została funkcja automatycznej aktualizacji systemu i zostały na nich zainstalowane wszystkie aktualizacje krytyczne. Jeśli klient nie będzie spełniał obu tych warunków, zostanie automatycznie przeniesiony do sieci korygującej, w której możliwe będzie rozwiązanie problemu przy użyciu serwera WSUS i przywrócenie dobrej kondycji komputera.
Istnieją jeszcze trzy ustawienia, które należy skonfigurować i zastosować za pomocą ustawień zasad grupy. W tym celu należy utworzyć nowy obiekt zasad grupy (GPO - Group Policy Object), połączyć go z domeną, otworzyć do edycji i skonfigurować następujące ustawienia.
- Włączyć ustawienie Agent ochrony dostępu do sieci i ustawić dla niego wartość Automatycznie. Ustawienie to znajduje się w gałęzi Konfiguracja komputera |Zasady | Ustawienia systemu Windows | Ustawienia zabezpieczeń | Usługi systemowe .
- Włączyć Agenta egzekwowania kwarantanny DHCP , znajdującego się w gałęzi Konfiguracja komputera |Zasady | Ustawienia systemu Windows | Ustawienia zabezpieczeń | Ochrona dostępu do sieci | Konfiguracja klienta ochrony dostępu do sieci | Klienci wymuszania . Należy dwukrotnie kliknąć tego agenta i w wyświetlonym wówczas oknie zaznaczyć pole wyboru opcji Włącz tego klienta wymuszania. W celu zastosowania tego ustawienia należy kliknąć prawym przyciskiem myszy węzeł Konfiguracja klienta ochrony dostępu do sieci i wybrać z menu kontekstowego polecenie Zastosuj.
- Włączyć ustawienie Włącz Centrum zabezpieczeń, znajdujące się w gałęzi Konfiguracja komputera |Zasady | Szablony administracyjne | Składniki systemu Windows | Centrum zabezpieczeń .
Pozostał jeszcze jeden, ostatni krok. Należy zamknąć okno dialogowe Edytor zarządzania zasadami grupy i w panelu Filtrowanie zabezpieczeń zastąpić grupę Użytkownicy uwierzytelnieni utworzoną wcześniej grupą Komputery klientów NAP . Do grupy Komputery klientów NAP można teraz dodawać komputery, które mają zostać objęte wymuszaniem ochrony dostępu do sieci. Po zastosowaniu na tych komputerach ustawień zasad grupy ich interakcja z serwerem DHCP obejmować będzie również omawiane wcześniej sprawdzanie kondycji ochrony dostępu do sieci.
Status klienta ochrony dostępu do sieci (NAP) można zweryfikować za pomocą programu napstat.exe. Uruchomienie tego programu narzędziowego z poziomu wiersza poleceń spowoduje wyświetlenie w zasobniku systemu ikony oraz wyskakującej podpowiedzi (tzw. balonika), zawierającej informacje o aktualnym stanie wymuszania dla danego klienta. Kliknięcie tej podpowiedzi spowoduje wyświetlenie okna stanu podobnego do okna przedstawionego na Rysunku 4 i pokazującego, że klient jest niezgodny z przyjętymi zasadami zabezpieczeń, ponieważ nie zainstalowano na nim odpowiednich aktualizacji zabezpieczeń. Ponieważ system ochrony dostępu zidentyfikował ten komputer jako komputer będący w złej kondycji, serwer DHCP wznowi negocjację wystawionej przez siebie dzierżawy adresu i zmieni domenę DNS tego komputera na unhealthy.contoso.com.
.gif)
Rysunek 4: Klient NAP będący w złej kondycji na skutek niezainstalowania właściwych aktualizacji zabezpieczeń.
Oczywiście istnieje znacznie więcej sposobów takiego dostosowania konkretnej implementacji mechanizmów ochrony dostępu do sieci (NAP), by zapewniały one dodatkową ochronę. Jedną z możliwości jest utworzenie dla klientów będących w złej kondycji całkowicie odizolowanej sieci korygującej. Inne możliwości to skonfigurowanie dodatkowych parametrów wymuszania w Module sprawdzania kondycji zabezpieczeń systemu Windows lub dodanie nowych modułów sprawdzania kondycji zabezpieczeń, oferowanych przez niezależnych dostawców oprogramowania. Badając zawartość gałęzi Usługi zasad sieciowych i dostępu sieciowego programu Menedżer Serwera znajdziemy mnóstwo dodatkowych opcji, pozwalających na skonfigurowanie mechanizmu ochrony dostępu do sieci (NAP) stosownie do własnych potrzeb.
O autorze
Greg Shields, posiada certyfikat MVP i jest partnerem firmy Concentrated Technology. Więcej porad praktycznych tego autora znaleźć można pod adresem www.ConcentratedTech.com.
| Do początku strony |