Понимание и настройка сетевой политики и служб доступа в Server 2012 (часть 1)

Опубликовано: 7 Апреля, 2023

  • Понимание и настройка сетевой политики и служб доступа в Server 2012 (часть 3)

Введение

Важной частью стратегии сетевой безопасности является защита сети от угроз, которые могут быть представлены через клиентские компьютеры, подключенные к этой сети. Это становится особенно важным в случае удаленных клиентов, таких как ноутбуки, которые работники выносят за пределы офиса, и домашние компьютеры, которые сотрудники используют для доступа к своей работе в нерабочее время или даже полный рабочий день в качестве удаленных сотрудников. Сети на базе Windows Server 2012 имеют множество механизмов, направленных на предоставление администраторам большего контроля над тем, кто подключается к корпоративной сети, и над компьютерами, которые они используют для подключения.

DirectAccess — одна из таких технологий, и я обсуждал ее в предыдущих статьях. Но не все клиенты могут использовать DirectAccess; тем, кто работает под управлением устаревших операционных систем (до Windows 7), и тем, кто не является членом домена, потребуется использовать другой метод подключения, например, виртуальную частную сеть (VPN). Операционные системы Windows Server также предоставляют функции, помогающие защитить сеть при подключении VPN-клиентов.

Защита доступа к сети (NAP) существует уже довольно давно. Он был представлен в Windows Server 2008 для предоставления встроенной технологии на основе политик, аналогичной Cisco Network Access Control (NAC). В Windows Server 2008 R2 добавлены функциональные возможности и возможности.

Поддержка сервера удаленной аутентификации по телефонной линии (RADIUS) в Windows Server существует еще дольше. Если вы переходите на Windows Server 2012 с Windows Server 2003, когда вы думаете о RADIUS в Windows, вы, вероятно, думаете о службе проверки подлинности в Интернете (IAS). В Windows Server 2008 IAS был заменен NPS — сервером сетевой политики. NPS является частью более крупной структуры: Microsoft Network Policy and Access Services (NPAS).

Понимание NPAS: что оно включает

Службы политики сети и доступа включают следующие службы ролей:

  • Сервер политики сети (NPS)
  • Орган регистрации здоровья (HRA)
  • Протокол авторизации учетных данных хоста (HCAP)
  • RADIUS-сервер и прокси

Это роль сервера, с помощью которой вы развертываете защиту доступа к сети (NAP) в Windows Server 2012, и именно об этом мы будем говорить в первой части этой серии статей.

Новой функцией Windows Server 2012 является возможность использовать PowerShell для установки и настройки сервера политики сети.

NAP применяет политики работоспособности к ряду типов соединений, включая соединения с защитой IPsec, соединения с проверкой подлинности IEEE 802.1X и соединения шлюза служб терминалов. В этой статье мы рассмотрим NAP в первую очередь как механизм принудительного подключения удаленных клиентов через VPN.

Понимание NAP: что он делает

NAP использует ряд компонентов на сервере и клиенте, чтобы дать администраторам гораздо больший контроль над тем, каким компьютерам разрешено подключаться к сети, и, в частности, для предотвращения систем, которые могут быть подвержены риску, например, те, которые не имеют до обновлений безопасности, не используют антивирусное программное обеспечение и программное обеспечение для защиты от вредоносных программ с текущими определениями, не имеют активного брандмауэра хоста и т. д. — от подключения к сети и потенциальной опасности для других систем.

NAP можно использовать с клиентскими компьютерами под управлением Windows XP SP3 и выше; эти операционные системы поддерживают агент NAP, являющийся компонентом клиента, который собирает информацию о работоспособности и управляет ею. Когда служба агента NAP установлена и запущена, клиент может сообщать о своем состоянии работоспособности серверам NAP.

Информация о состоянии работоспособности основана на состоянии конфигурации клиента и может включать такие факторы, как:

  • Состояние брандмауэра
  • Статус антивирусной сигнатуры
  • Статус пакетов обновлений и обновлений безопасности.

Понимание NAP: как это работает

NAP — это реализация Microsoft решения по обеспечению «здоровья». В контексте защиты удаленных клиентов и защиты сети от «проблем работоспособности», которые эти удаленные клиенты могут вызвать в сети, он проверяет личность каждого удаленного клиента и определяет, соответствует ли он политике работоспособности организации. Информация о работоспособности, которую каждый клиент отправляет на сервер NAP, называется отчетом о работоспособности или SoH.

Сервер оценивает эту информацию на основе настроенных политик и параметров. Он использует эту информацию вместе с членством в группе, чтобы определить, будет ли разрешено клиенту подключаться к корпоративной сети и на каком уровне доступа. Клиенты, которые не соответствуют политикам, могут быть приведены в соответствие с помощью механизмов NAP.

NAP делает это, выполняя анализ работоспособности сети, проверяя эффективность существующих политик безопасности и помогая администраторам выявлять риски, создавая профиль работоспособности для сети. Это улучшает общее состояние сети, обеспечивая соответствие политикам работоспособности сети и ограничивая доступ к удаленным клиентским компьютерам, которые не соответствуют требованиям.

Понимание NAP: составные части

Сервер политики сети является основным компонентом развертывания NAP. Он используется для управления доступом к сети через сервер VPN, серверы RADIUS и другие точки доступа к сети. В зависимости от вашей сетевой среды вы можете развернуть несколько серверов NPS.

NPS может быть сервером RADIUS, прокси-сервером RADIUS или сервером политик NAP. Сервер NAP — это место, где вы настраиваете политики и параметры NAP, такие как политики работоспособности, SHV и группы серверов исправления. Серверы исправления — это серверы, к которым разрешено подключаться несоответствующим требованиям клиентам, чтобы обновить свои конфигурации, чтобы они стали совместимыми, после чего они могут быть повторно оценены и им разрешено подключаться к другим сетевым ресурсам.

Сервер политики сети работает в сочетании с другими компонентами, включая агенты работоспособности системы (SHA) и средства проверки работоспособности системы (SHV). SHA, встроенный в операционные системы Windows Vista и Windows 7, называется агентом работоспособности Windows Security (WSHA), который работает с центром безопасности Windows на клиентском компьютере и средством проверки работоспособности Windows Security Health Validator (WSHV).

Вы можете настроить параметры WSHV, чтобы сообщать о брандмауэре хоста, защите от вирусов, защите от шпионских программ, состоянии автоматического обновления и установленных обновлениях безопасности. Сторонние поставщики могут использовать NAP API для создания SHA и SHV для своих программных продуктов (например, сторонних антивирусных программ).

Центр регистрации работоспособности (HRA) — это еще один серверный компонент NAP, который используется для принудительного применения IPsec и устанавливается на компьютер с NPS и IIS. Эти службы должны быть установлены на компьютере HRA. При установке роли сервера сетевой политики и служб доступа на сервере Windows Server 2012 средство администрирования HRA будет установлено на сервере NPS. Аналогичным образом, если вы устанавливаете HRA, NPS устанавливается автоматически.

HRA утверждает выдачу сертификатов работоспособности клиентам NAP. Эти сертификаты работоспособности представляют собой сертификаты X.509, выданные центром сертификации (ЦС) Active Directory. ЦС, выдающий сертификаты работоспособности, называется ЦС NAP. Чтобы получить сертификат работоспособности от ЦС NAP, клиент должен отправить SoH в HRA. IIS используется для предоставления интерфейса, с помощью которого клиенты связываются с HRA для запроса сертификата работоспособности.

Общие сведения о политиках NPS

NPS может применять и применять три различных типа политик:

  • Политики запросов на подключение
  • Сетевые политики
  • Политика здравоохранения

Во второй части, когда мы приступим к настройке политик, мы более подробно рассмотрим, что делает каждый из этих типов политик.

NPS также поддерживает шаблоны для политик работоспособности, которые можно использовать для ускорения и упрощения настройки NPS на сервере. Они доступны в разделе «Управление шаблонами» консоли NPS (которую вы увидите во второй части). Вы можете легко создавать новые шаблоны.

Планирование NAP

Прежде чем приступить к развертыванию NAP в сети, необходимо выполнить ряд задач по планированию. Следующий контрольный список может служить руководством для планирования развертывания NAP:

  • Определите метод принудительного применения NAP (в данном случае мы ориентируемся на принудительное применение VPN)
  • Спланируйте соответствующее размещение серверов NAP в сети, чтобы они могли взаимодействовать с другими компонентами NAP и иметь подключение к доменным службам Active Directory (AD DS) для аутентификации пользователей домена, подключающихся через VPN.
  • Определите, нужны ли вам несколько серверов NAP для балансировки нагрузки и аварийного переключения.
  • Определите, какие требования к работоспособности вы хотите применить (например, брандмауэр, защита от вирусов, обновления антивирусного программного обеспечения, защита и обновления от шпионских программ, включено автоматическое обновление, обновления безопасности, устанавливаемые через WSUS и/или Центр обновления Windows).
  • Определите, как вы будете поступать с теми компьютерами, которые будут освобождены от проверки работоспособности (например, контроллеры домена и большинство других серверов, устройства, не поддерживающие NAP, и пользователи, которые должны иметь доступ в любое время). Это ваша стратегия управления исключениями.
  • Рассмотрите свою стратегию отчетности NAP.
  • Создайте пилотную программу, которая поможет вам оценить ваши решения по развертыванию NAP.
  • Задокументируйте схему развертывания NAP.

Развертывание NAP: предварительный просмотр

Чтобы развернуть NAP на Windows Server 2012, вам потребуется установить роль Network Policy and Access Services со службой роли Network Policy Server. Это можно сделать одним из двух способов: с помощью диспетчера сервера для установки NPS через графический интерфейс пользователя или с помощью PowerShell для установки NPS через командную строку. Во второй части этой серии статей мы подробно рассмотрим, как установить NPAS, используя оба этих метода, а затем рассмотрим шаги, которые необходимо выполнить, чтобы ваши VPN-серверы работали с сетевой политикой. Сервер (NPS), чтобы они могли использовать NAP для проверки работоспособности VPN-клиентов, пытающихся подключиться к вашей корпоративной сети.

  • Понимание и настройка сетевой политики и служб доступа в Server 2012 (часть 3)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023