Защита сетевого доступа для Windows - Компьютерная документация по Windows. Оптимизация Windows.
 Компьютерная документация по Windows. Оптимизация Windows.  Компьютерная документация по Windows. Оптимизация Windows. Поиск
  Здравствуйте  [ Новый пользователь ] Домой  .  Статьи по темам  .  Компьютерная документация  .  Личный кабинет  .  Toп 10  .  Карта сайта  

  Навигация

 Главная   Главная
 Главная   Магазин софта
 Темы новостей   Темы новостей
 Топ 10   Топ 10
 Архив новостей   Архив новостей
 Карта сайта   Карта сайта
 Конструктор   Конструктор
 Обзоры   Обзоры
 Интересное   Интересное
 Рассылка новостей   Рассылка новостей
    Полезные ресурсы
 Личный кабинет  Личный кабинет
 Пользователи   Пользователи
 Поиск   Поиск
 Написать нам   Написать нам
 Тест скорости   Тест скорости


  Наши темы
Windows 8
Windows 7
Windows Vista
Windows XP
Настройка Windows
Реестр Windows
Восстановление системы
MS-DOS
BIOS
Интернет
Microsoft Office
Сетевые настройки
Обработка видео
Вебмастеру
Оптимизация Windows
Обзор софта
Технологии, обзоры
Обзоры компьютеров и комплектующих
Рецензии
Полезные советы
Продвижение сайтов

Новые обзоры

Как заработать на ремонте компьютеров

Переработка отходов электроники

Типовые неисправности I:Phone, Pad, Pod и Macbook

Место для вашей электронной души

Ремонт компьютеров в Москве


Защита сетевого доступа для Windows

Размещено 07/12/2007

Сетевые настройки Введение.

Сегодня компания Microsoft предлагает функцию защиты сетевого доступа, которая не допускает в сеть компьютеры, не прошедшие проверку на безопасность. В этой статье рассказывается о принципах защиты сетевого доступа как одной из новых функций Windows Server 2008.

Защита Сетевого Доступа Microsoft (Network Access Protection, MS-NAP) действует по принципу соответствия требованиям: в сеть допускаются только те системы Microsoft, которые соответствуют установленным требованиям безопасности в сети. Важнейшее условие доступа в сеть – наличие пакета обновлений и заплаток определенной версии. Тем не менее, функция MS-NAP не предназначена для защиты от действий злоумышленников. Применение MS-NAP обеспечивает отдельным клиентам защиту при подключении к сети. В этой статье впервые в эксклюзивной серии TechRepublic будет описано применение MS-NAP.

Почему так важна защита сетевого доступа?

В сущности, главное преимущество защиты сетевого доступа заключается в том, что она не допускает в сеть тех клиентов, чья система не соответствует необходимому уровню безопасности. Критериями могут служить версия пакета обновления, настройки антивирусного программного приложения и другие аспекты. Особое значение защита сетевого доступа имеет для предотвращения доступа в сеть мобильных компьютерных систем. Взять, к примеру, пользователя ноутбука, который использует соединение VPN для доступа к офисной сети, когда решает поработать дома. В такой ситуации защита сетевого доступа не позволит пользователю войти в сеть, если его система не смогла обратиться к защитным инструментам управления сетевым доступом.

Большое значение защита сетевого имеет и в том случае, когда к сети пытаются подключить домашние компьютеры. В принципе, обеспечение доступа в сеть тем компьютерам, поддержкой и администрированием которых организация не занимается, считается плохой практикой, но тем не менее, иногда такое случается. В такой ситуации защита сетевого доступа играет огромную роль; в противном случае никто не гарантирует, что на компьютере, получившем доступ в сеть, установлен антивирус, не говоря уже о пакетах обновлений и заплатках.

Кроме того, защита сетевого доступа может применяться для управления безопасностью стандартных настольных систем и других серверов Windows Server 2008 с целью определить, могут ли они быть допущены в сеть. Это позволяет снизить уровень риска, связанного с тем, что одна из таких систем в течение долго времени долго не выходила в сеть и стала, как следствие, уязвимой. Эта ситуация, по сути, аналогична сценарию с сетевым доступом для ноутбука, описанному выше.

Разработка сценария применения защиты сетевого доступа MS-NAP

Параметры защиты сетевого доступа могут быть настроены для Windows Server 2008 в качестве сервера и Windows Vista, Windows Server 2008 или Windows XP с пакетом обновлений Service Pack 3 в качестве поддерживаемых клиентов. Пакет обновлений Service Pack 3 для Windows XP еще не появился в открытом доступе, но уже известно, что он будет включать клиент NAP для Windows XP, которое на момент написания статьи находится в стадии бета-тестирования, осуществляемого специалистами Microsoft.

Различные роли MS-NAP осуществляют применение сетевой политики, хранение данных о политике безопасности, обеспечивают текущий уровень безопасности и изолируют те устройства, которые не соответствуют установленным требованиям. Их функционирование определяется в соответствии с методами обеспечения защиты сетевого доступа, указанными при настройке сети. Предусматривается также создание изоляционной зоны (сети коррекции) для устройств, не соответствующих установленным требованиям. В этой зоне устройства проходят необходимую корректировку и настройку, прежде чем будут допущены в сеть предприятия. На рисунке А приводится общая схема функционирования защиты MS-NAP и различных ее ролей.

 
Защита сетевого доступа для Windows
Рисунок А Система защиты MS-NAP включает в себя различные роли.


Компания Microsoft уже давно предлагает продукты, способные осуществлять различные сетевые функции, такие как DNS, DHCP, маршрутизация и WINS. Появление защиты MS-NAP не означает отказа от этих продуктов. Хотя ИТ-специалисты на предприятии не всегда используют в полной мере сетевые службы, функционирование которых обеспечивает оборудование сети, применение MS-NAP позволяет использовать роли сервера Windows для аутентификации и управления политикой безопасности. В обеспечении безопасности защита MS-NAP опирается на стандартное сетевое оборудование – поэтому с точки зрения работы в сети, ее не назовешь исключительно продуктом Microsoft.

Более подробное описание MS-NAP

Основную идею MS-NAP понять довольно легко, но как же функционирует эта система? Защита MS-NAP опирается на сложный комплекс схем коммуникации и ролей сервера для обеспечения безопасности в сети. Здесь мы подробнее рассмотрим потоки трафика MS-NAP. Для обеспечения безопасности со стороны сервера система MS-NAP использует следующие компоненты:

Полномочия реестра безопасности (Health Registry Authority, HRA): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль IIS, получает сертификаты безопасности в системе центров сертификации.

Сервер политики безопасности NAP (NAP Health Policy Server, NPS): Этот компьютер с операционной системой Windows Server 2008, которому присвоена роль NPS, подтверждает уровень безопасности и содержит данные от требованиях политики безопасности.

Сервер коррекции (Remediation Server): На этом компьютере содержатся ресурсы, к которым могут обратиться те клиенты NAP, которые не соответствуют требованиям политики безопасности, с целью откорректировать свое состояние. Под ресурсами могут подразумеваться обновления баз данных антивирусов и обновления программного обеспечения.

Сервер, содержащий требования к безопасности (Health Requirement Server): Эта роль обеспечивает текущий уровень безопасности серверов MS-NAP.

Клиент NAP: Этот клиент представляет собой управляемый компьютер, к которому применяются требования политики MS-NAP (Windows XP SP3, Vista)

Сервер VPN: Эту роль может исполнять существующая система, но в любом случае, сервер VPN представляет собой точку доступа клиентов во внешнюю сеть (которая не ограничивается одним лишь Интернетом).

Сетевое оборудование: Коммутаторы или устройства WAP (Wireless Access Points, беспроводные точки доступа) с поддержкой аутентификации IEEE 802.1X.

Сервер DHCP: В системе MS-NAP сервер DHCP использует протокол RADIUS для связи с сервером NPS для определения уровня безопасности клиента NAP. Сервер DHCP – ключевой элемент MS-NAP: если система соответствует требованиям безопасности, она получит неограниченный доступ к сети; в противном случае, она будет направлена в сеть коррекции с целью повышения уровня своей безопасности в соответствии с существующими требованиями.

Примеры использования MS-NAP

Получив общее представление о функционировании защиты MS-NAP, рассмотрим, каким образом эта система может быть использована для защиты универсальных сетей. Безопасность – основной приоритет для любой организации, поэтому при введении в эксплуатацию новой сети необходимо продумать вопросы безопасности еще на стадии разработки. Защита MS-NAP может запретить доступ в сеть предприятия определенным опознанным пользователям или незащищенным системам. В сетях Windows одним из наиболее эффективных инструментов управления доступом, с точки зрения профессионалов в области информационных технологий, является домен Active Directory (AD).

В рамках AD возможно управление многими элементами системы, а также использование других пакетов управления, например, Systems Management Server (SMS), управление антивирусным программным обеспечением и обновлениями Windows. Защита MS-NAP позволяет обеспечить безопасность там, где обычные системы управления доступом оказываются бессильны.

Возьмем, к примеру, ситуацию, когда у поставщика или другого делового партнера предприятия может возникнуть потребность подключиться напрямую к одному из ресурсов в сети предприятия. При этом поставщик может воспользоваться для доступа в сеть компьютером, подключенным к другому домену или механизму управления, который, таким образом, не подконтролен ИТ-специалиста данного предприятия. Наконец, этот компьютер может оказаться элементом другой системы Active Directory – в этом случае после подключения к сети предприятия придется затратить значительное время на решение проблем совместимости настроек. Если в сети используется защита MS-NAP, установленные требования к безопасности будут применены к компьютеру поставщика еще до того, как он получит доступ в сеть.

Кто имеет право обновлять системы, не подконтрольные данному предприятию, – совсем другой вопрос, гораздо более спорный, чем сама мысль о том, что такие системы не могут быть напрямую допущены в сеть предприятия. Но если необходимость обеспечить прямой доступ постороннему компьютеру в сеть предприятия все-акти возникает, использование MS-NAP позволяет применить к нему требования, установленные в данной сети, еще до того, как система получит в нее доступ. Это позволяет выравнять несоответствие между стандартами, установленными в сети, и теми, что применяет компания, выпускающая оборудование.

Разумеется, одна из основных задач MS-NAP – ограничивать доступ в сеть удаленных пользователей данной организации (работающих на ноутбуках или домашних компьютерах), чтобы избежать риска в случае ошибки соединения. В тех редких случаях, когда к сети подключаются пользователи, управление компьютерами которых вообще не осуществляется, риск повышается. Использование защиты MS-NAP для всех удаленных систем позволит управлять и этими компьютерами, администрирование которых затруднено в связи с тем, что они редко бывают в сети. Клиент MS-NAP при этом не должен быть членом домена AD данной организации (то есть, наличие учетной записи для его компьютера необязательно). Однако с помощью AD можно управлять аутентификацией непосредственно.

Ресурсы Microsoft для MS-NAP

Сегодня в Интернете можно найти подробную информацию о предварительной разработке MS-NAP и тестировании этой системы защиты в бета-версиях операционной системы Windows Server 2008. Кроме того, компания Microsoft выпустила полный отчет об архитектуре системы и ее применении, в котором эти вопросы рассматриваются с более глобальных позиций. Этот отчет можно найти на сайте Microsoft в Интернете.

Межплатформенная поддержка NAP

Защита MS-NAP функционирует на основе протокола аутентификации IEEE 802.1X, который находит широкое применение в современных компьютерных сетях. Это обеспечивает совместимость MS-NAP с различными устройствами и клиентами с операционными системами Windows Server 2008, Vista и XP с поддержкой NAP. В целом, протокол аутентификации IEEE 802.1X обеспечивает безопасный доступ к беспроводным сетям и сетям Ethernet. Это становится возможным за счет протокола RADIUS, который служит стандартным протоколом для IEEE 802.1X.

Главное преимущество этого протокола аутентификации заключается в том, что для функционирования сети при этом не требуется сервер аутентификации в роли сервера базы данных, а значит сетевое оборудование, совместимое с этим протоколом, может передавать запросы на роли MS-NAP, определенные в соответствии с конфигурацией системы. При этом защита MS-NAP позволяет централизованно управлять авторизацией, учетной записью и аутентификацией с использованием системы показателей уровня безопасности. Сегодня оборудование многих производителей поддерживает этот протокол аутентификации, разработанный HP, Microsoft, Cisco, сетями Trapeze и Enterasys.

Автор: Рик Вановер (Rick Vanover)
Источник: articles.techrepublic.com.com

 
  Логин
Логин

Пароль

Не зарегистрировались? Вы можете сделать это, нажав здесь. Когда Вы зарегистрируетесь, Вы получите полный доступ ко всем разделам сайта.



Компьютерная документация по Windows Copyright © 2008-2018