Usando la estrategia NPS de Windows Server 2008

La mayoría de personal de la unidad de oficina móvil una familia, ya que las actualizaciones de bases de datos de virus no son oportunas, el parche sistema no está instalado, el equipo de oficina móvil a partir de condiciones peligrosas, es suponer una amenaza para toda la red para tener acceso a la red interna. ¿Cómo defender la red para acceder a esta puerta?

El autor está en una compañía de medios con cientos de reporteros. Cada reportero está equipado con una computadora portátil y un dispositivo de Internet. Los periodistas suelen llevar computadoras portátiles en viajes de negocios y no inician sesión en la red interna durante mucho tiempo. red unificada desplegado software y sistema de actualización de parches anti-virus, reporteros a través de la conexión de red corporativa, el tiempo de conexión VPN es muy corto o de otra manera, no se puede descargar de inmediato los parches del sistema y la base de datos de virus. Dado que el virus actualizaciones de bases de datos no son oportunas, y la revisión del sistema no está instalado, por lo que el portátil se encuentra en estado "peligroso", una vez que otro software malicioso infectado con un virus y un virus o un caballo de Troya para la red interna, causando un gran impacto en la red.

¿Qué tipo de método, que sólo puede iniciar sesión en la red, detecta automáticamente la seguridad del equipo cliente, tras el cumplimiento de las normas de seguridad, se les permite iniciar sesión en la red? Es decir PAN, la estrategia de protección de la red.

PAN costumbres estrictas

Windows Server 2008 proporciona una NAP (Network Access Protection) función, la estrategia de protección de la red es a cualquier equipo cliente (cliente y el cliente VPN) deben ser controladas por la red de salud, tales como Ya sea para instalar el último parche de seguridad, si la base de datos de firmas del software antivirus está actualizada, si el firewall está habilitado, etc., se le permite ingresar a la red interna luego de cumplir con las condiciones de seguridad. Las computadoras que no pasan la verificación del estado del sistema se ponen en cuarentena en una red de acceso restringido. En las redes de acceso restringido, el estado de reparación de la computadora (como la descarga de un parche de un dedicado servidor de parches del sistema, obligó a abrir la política de cortafuegos, etc.), después de llegar a la red de normas de salud antes de permitir el acceso a la intranet corporativa.

Windows Server 2008 ofrece una variedad de métodos para la protección de acceso a la red. El método más simple es usar la política NPS (Servidor de políticas de red) con el servicio DHCP para completar la protección de acceso a la red. Para implementar esta política, debe configurar el equipo cliente: habilitar la política Habilitar el Centro de seguridad (solo PC de dominio) en la Política de grupo; habilitar la política DHCP Quarantine Force Client. Para habilitar el servicio de proxy NAP, se recomienda configurarlo en modo de inicio "automático".

instalar el servicio NPS

La instalación predeterminada es completa después de que Windows Server 2008 no está instalado servicios de NPS (Red de Políticas de Acceso), los administradores de red necesitan para instalar manualmente el servicio.

start "Administrador del servidor" Ejecutar "Agregar funciones" asistente, en la lista Seleccionar funciones de servidor de diálogo "papel", seleccione "directiva de red y servicios de acceso" opción necesita ser instalado, el otro por la instalación por defecto Bien bien Después

Instalación de servicio NPS es completa, un servidor miembro, el servicio DHCP será reemplazado por un nuevo componente contiene características de NPS, los administradores de red necesitan para configurar las opciones de DHCP NPS involucrados. De forma predeterminada, el componente asociado a NPS "Protección de acceso a la red" no está habilitado, y la política está habilitada en el atributo de alcance DHCP.

NAP cambia los equipos entre las redes restringidas y el acceso a la red sin restricciones dentro del mismo ámbito al agregar una categoría de Ámbito de clase de usuario. Este conjunto de opciones de alcance especial (servidor DNS, nombre de dominio DNS, enrutador, etc.) se utiliza cuando se proporcionan concesiones a equipos cliente con bajo rendimiento. Por ejemplo, el sufijo DNS predeterminado proporcionado a un buen cliente es "book.com" y el sufijo DNS proporcionado a un cliente malo es "Testbook.com".

Configurar directiva NPS

NPS política contiene el contenido de cuatro partes, a saber: validador red de salud del ordenador, los grupos de servidores de actualización, la política sanitaria y la política de red, se añadirá a la red corporativa Verificación, aislamiento, remediación y revisión de políticas de salud.

validadores de mantenimiento de la red: Evaluación del estado operativo de la computadora, lo que requiere la inspección y el establecimiento de la ejecución lista de verificación, el ordenador conectado a la red en función de la política de seguridad que se fija para la prueba, que no es seguro, por ejemplo, desactivar el firewall Se considera inseguro, no se instala ningún software antivirus, no es una computadora segura. Inicio "de la red del servidor de políticas" componente, se abre "el NPS (local)" → estado de configuración "Sistema validador" → "Network Access Protection" que se detecta en la lista de propiedades, como se muestra en la figura.

Actualización del grupo de servidores: permite al administrador del sistema para configurar un ordenador estado de fallo de la red puede tener acceso, el acceso al sistema, por definición, el estado de fallo para restaurar el equipo a un estado normal. Durante el proceso de configuración, tenga en cuenta que la dirección IP del servidor de destino y la resolución de nombres de dominio DNS son las mismas. Inicio "de la red del servidor de políticas" componente, abra el "NPS" → "Network Access Protection" → "Validador del sistema", un nuevo "servidor de actualizaciones de grupo", establece las actualizaciones o parches de base de datos de virus para actualizar la dirección IP del servidor y el nombre del servidor.

Una política de salud se usa para establecer un estándar para la salud de una computadora cliente. Se recomienda crear dos políticas, una para una política de computadora segura y otra para una computadora no segura. Red Validador de verificar si el equipo es seguro para clasificar Política de seguridad, si los validadores de mantenimiento de la red comprobar que el ordenador no es seguro, la política se puede categorizar en equipo inseguro. Inicio "de la red del servidor de políticas" componente, se abre "el NPS" → "Política" → "política de salud", dos nuevos "Política de Salud" es una "verificación de seguridad a través de todos" estrategia, que se muestra en la Figura 2, y el otro es " No existe una política de seguridad y control de salud.

Política de red: defina reglas de lógica de procesamiento para determinar cómo manejarlas según el estado de la computadora. Los validadores de estado de red, los grupos de servidores de actualización y el procesamiento de estado se agrupan a través de políticas de red. La política de red está definida por el administrador y se utiliza para instruir al NPS sobre cómo manejar la computadora según el estado de ejecución de la computadora. NPS evalúa estas políticas de arriba a abajo, y una vez que la computadora coincide con las reglas de la política, el procesamiento se detiene de inmediato.

Se han creado dos políticas, a saber, la política de "pasar toda la verificación de seguridad" y la política de "no verificar la seguridad de la red". Anterior 12 Siguiente Lee la historia completa