La aplicación de política

  

de Windows Server 2008 es principalmente una oficina móvil. Debido a que la base de datos de virus no se actualiza a tiempo y el parche del sistema no está instalado, el equipo de oficina móvil se encuentra en un estado peligroso. Al acceder a la red interna, es probable que amenace a toda la red. ¿Cómo defender la red para acceder a esta puerta?

El autor está en una compañía de medios con cientos de reporteros. Cada reportero está equipado con una computadora portátil y un dispositivo de Internet. Los periodistas suelen llevar computadoras portátiles en viajes de negocios y no inician sesión en la red interna durante mucho tiempo. El software antivirus y la actualización del parche del sistema se implementan en la red. Cuando el informador se conecta a la red de la empresa a través de VPN u otros medios, el tiempo de conexión es muy corto y el parche del sistema y la base de datos de virus no se pueden descargar de inmediato. Debido a que la base de datos de virus no se actualiza a tiempo y el parche del sistema no está instalado, la computadora portátil se encuentra en un estado "peligroso". Una vez que el virus esté infectado y otros virus, como virus o troyanos, lleguen a la red interna, tendrán un gran impacto en la red.

¿Hay alguna forma de detectar automáticamente la seguridad de la computadora cliente cuando inicia sesión en la red y luego le permite iniciar sesión en la red después de cumplir con los estándares de seguridad? Esa es NAP, la estrategia de protección de red.


Windows Server 2008 proporciona NAP (Protección de acceso a la red). La política de protección de red es que cualquier computadora cliente (cliente y cliente VPN) debe pasar la verificación de estado de la red, por ejemplo, si se debe instalar la última Si la revisión de seguridad, la base de datos de firmas del software antivirus se actualiza, si el firewall está habilitado, etc., se le permite ingresar a la red interna luego de cumplir con las condiciones de seguridad. Las computadoras que no pasan la verificación del estado del sistema se ponen en cuarentena en una red de acceso restringido. En una red de acceso restringido, repare el estado de la computadora (como descargar un parche especial del sistema desde el servidor de parches, abrir forzosamente una política de firewall, etc.) y luego acceder a la red interna de la compañía después de alcanzar el estándar de salud de la red.

Windows Server 2008 ofrece una variedad de métodos para la protección de acceso a la red. El método más simple es usar la política NPS (Servidor de políticas de red) con el servicio DHCP para completar la protección de acceso a la red. Para implementar esta política, debe configurar el equipo cliente: habilitar la política Habilitar el Centro de seguridad (solo PC de dominio) en la Política de grupo; habilitar la política DHCP Quarantine Force Client. Para habilitar el servicio de proxy NAP, se recomienda configurarlo en modo de inicio "automático".


Después de instalar Windows Server 2008 de forma predeterminada, el servicio NPS (Política de acceso a la red) no está instalado y el administrador de la red debe instalarlo manualmente.

Inicie el Administrador del servidor y ejecute el Asistente para agregar roles. En el cuadro de diálogo Seleccionar roles, en la lista de roles, seleccione la opción Servicios de acceso y políticas de red que desea instalar. Otros se instalan de forma predeterminada. Bien bien

Después de instalar el servicio NPS, el nuevo componente compatible con NPS reemplazará el servicio DHCP en el servidor miembro. El administrador de la red debe configurar las opciones DHCP involucradas en el NPS. De forma predeterminada, el componente asociado a NPS "Protección de acceso a la red" no está habilitado, y la política está habilitada en el atributo de alcance DHCP.

NAP cambia los equipos entre las redes restringidas y el acceso a la red sin restricciones dentro del mismo ámbito al agregar una categoría de Ámbito de clase de usuario. Este conjunto de opciones de alcance especial (servidor DNS, nombre de dominio DNS, enrutador, etc.) se utiliza cuando se proporcionan concesiones a equipos cliente con bajo rendimiento. Por ejemplo, el sufijo DNS predeterminado proporcionado a un buen cliente es "book.com" y el sufijo DNS proporcionado a un cliente malo es "Testbook.com".


La estrategia de NPS consta de cuatro partes: Validador de estado de la red, Grupo de servidores de actualización, Política de salud y Política de red, que verificará y aislará los equipos que se agregan a la red de la empresa. , remediación y revisión de la estrategia de salud.

Validador de estado de la red: evalúe el estado de funcionamiento de la computadora, las comprobaciones que deben realizarse y configure una lista de verificación para detectar qué computadoras conectadas a la red son seguras y cuáles no, como el apagado del firewall, de acuerdo con la política establecida. Se considera inseguro, no se instala ningún software antivirus, no es una computadora segura. Inicie el componente "Servidor de políticas de red", abra "NPS (local)" → "Protección de acceso a la red" → "Validador de estado del sistema", configure el estado que se detectará en la lista de atributos, como se muestra en la Figura 1.

Grupo de servidores de actualización: permite al administrador de la red configurar un sistema al que puede acceder una computadora con un rendimiento deficiente. Al acceder al sistema definido, una computadora en mal estado se restaurará a su estado normal. Durante el proceso de configuración, tenga en cuenta que la dirección IP del servidor de destino y la resolución de nombres de dominio DNS son las mismas. Inicie el componente "Servidor de políticas de red", abra "NPS" → "Protección de acceso a la red" → "Validador de estado del sistema", cree un nuevo "Grupo de servidores de actualización", configure la dirección IP y el nombre del servidor de actualización de la base de datos de virus o del servidor de actualización de parches.

Una política de salud se usa para establecer un estándar para la salud de una computadora cliente. Se recomienda crear dos políticas, una para una política de computadora segura y otra para una computadora no segura. La computadora verificada por el Validador de estado de la red se clasifica en una política de computadora segura si está segura, y si el Validador de salud de la red verifica que la computadora no es segura, se clasificará en una computadora no segura. Inicie el componente "Servidor de políticas de red", abra "NPS" → "Política" → "Política de salud", cree dos nuevas "estrategias de salud", una es la estrategia de "pase toda la verificación de seguridad", como se muestra en la Figura 2; la otra es " No existe una política de seguridad y control de salud.

Política de red: defina reglas de lógica de procesamiento para determinar cómo manejarlas según el estado de la computadora. Los validadores de estado de red, los grupos de servidores de actualización y el procesamiento de estado se agrupan a través de políticas de red. La política de red está definida por el administrador y se utiliza para instruir al NPS sobre cómo manejar la computadora según el estado de ejecución de la computadora. NPS evalúa estas políticas de arriba a abajo, y una vez que la computadora coincide con las reglas de la política, el procesamiento se detiene de inmediato.

Se han creado dos políticas, a saber, la política de "pasar toda la verificación de seguridad" y la política de "no verificación de seguridad de red". Anterior 12 Siguiente Lee la historia completa

Copyright © Conocimiento de Windows All Rights Reserved